L'exploit, confirmé par Twilio, fait suite à une double violation de données remontant à 2022 et serait à l'origine de la divulgation d'une liste de 33 millions de numéros de téléphone sur un forum de piratage.
Deux ans après avoir essuyé deux intrusions coup sur coup, au cours desquels les cyberattaquants avaient pu pénétrer son infrastructure et accéder aux informations de comptes Authy, Twilio vient d'annoncer que son application d'authentification multifactorielle a subi une nouvelle charge malveillante.
Cette fois-ci, c'est un point de terminaison API non sécurisé qui a permis aux pirates de vérifier les numéros de téléphone de millions d'utilisateurs et d'utilisatrices, les rendant vulnérables aux attaques de phishing par SMS et de SIM swapping.
Des dizaines de millions de comptes exposés
Les premiers indices concernant cette brèche remontent au mois de juin dernier et à la publication d'un fichier CSV sur un forum de piratage. Ce fichier contient plus de 33 millions d'entrées, chacune comprenant un identifiant de compte auquel sont associés un numéro de téléphone, l'état du compte et le nombre d'appareils liés. Ces informations sensibles ont été compilées à partir de l'exploitation d'un point de terminaison API non authentifié, comme l'a confirmé Twilio à Bleeping Computer.
En exploitant cette brèche, les pirates ont massivement pu confirmer l'existence et la validité de dizaines de millions de numéros de téléphone associés aux comptes Authy. Un commentaire associé à la divulgation du fichier CSV enjoint par ailleurs les utilisateurs et utilisatrices du forum sur lequel il a été partagé à comparer ces numéros à ceux exposés lors de supposées violations de données Gemini et Nexo. Cette allusion laisse penser que les hackers pourraient dès lors orchestrer des campagnes de phishing et de SIM swapping en croisant les données personnelles recueillies sur les trois plateformes.
Mise à jour d'Authy et vigilance recommandées
Dans un post de blog officiel, Twilio a annoncé avoir sécurisé le point de terminaison exploité. L'entreprise a par ailleurs indiqué n'avoir trouvé aucune preuve que les hackers ont pu s'introduire dans les systèmes Twilio pour dérober d'autres données autrement sensibles. En l'état actuel, seuls les numéros de téléphone auraient fuité.
Malgré tout, les utilisateurs et utilisatrices de l'application d'authentification à deux facteurs sont invités à mettre à jour Authy sur Android (v. 25.1.0) et iOS (v. 26.1.0) dans les plus brefs délais et à rester vigilants face aux possibles tentatives de phishing qui pourraient en découler. Il est également conseillé de modifier son mot de passe maître, d'activer l'authentification biométrique et de configurer Authy pour bloquer les transferts de numéros de téléphone sans fournir de mot de passe.
Pour rappel, Twilio avait déjà subi deux intrusions en juin et en août 2022. Les pirates avaient alors pu pénétrer les infrastructures de l'entreprise et accéder aux informations clients des comptes Authy.
Sources : Twilio, Bleeping Computer
