L'app MFA Authy mise à mal par une API non sécurisée

Une API sans authentification a permis à des tiers de valider les numéros de téléphone associés à des millions de comptes Authy.

Prière de télécharger la dernière version de l’app mobile Authy. C’est Twilio qui le dit, dans le cadre d’un bulletin de sécurité.

L’éditeur invoque le principe de précaution après que des attaquants ont « pu identifier des données associées à des comptes Authy ». Dont des numéros de téléphone. En cause, nous explique-t-on, un endpoint sans authentification.

Tout numéro de téléphone envoyé à l’API et effectivement présent dans la base déclenchait une réponse. Celle-ci contenait semble-t-il l’identifiant et les statut du compte, ainsi que le nombre d’appareils enregistrés. En tout cas si on s’en fie au contenu d’un CSV que le groupe ShinyHunters avait publié fin juin. On y retrouve les données en question… pour environ 33 millions de numéros de téléphone.

Twilio affirme qu’il n’a pas eu d’accès à ses systèmes, ni à des données sensibles. Phishing par SMS et SIM swapping apparaissent donc comme les principaux risques pour les utilisateurs concernés.

L’entreprise américaine avait déjà déploré par deux fois, en 2022, des attaques. Signées du même acteur, elles ont reposé sur le vol d’authentifiants d’employés.

À consulter en complément :

Snowflake au cœur d’une campagne de cyberattaques
MFA obligatoire sur Azure : ce que prépare Microsoft
Pour un MFA conforme au RGPD : ce que recommande la CNIL
Quand le MFA fait le jeu des cyberattaquants
Les axes d’amélioration des solutions MFA et SSO