Twilio, el proveïdor de comunicacions al núvol,  ha revelat que uns actors d’amenaces no identificats van aprofitar un punt final no autenticat a Authy per identificar les dades associades als comptes d’Authy, inclosos els números de telèfon mòbil dels usuaris.

L’empresa va dir que va prendre mesures per assegurar el punt final per deixar d’acceptar sol·licituds no autenticades.

El desenvolupament arriba dies després que una persona en línia anomenada ShinyHunters publiqués a BreachForums una base de dades que inclou 33 milions de números de telèfon suposadament extrets dels comptes d’Authy.

Authy, propietat de Twilio des del 2015, és una aplicació popular d’autenticació de dos factors (2FA) que afegeix una capa addicional de seguretat del compte.

«No hem vist cap evidència que els actors de l’amenaça hagin obtingut accés als sistemes de Twilio o a altres dades delicades», va dir en una alerta de seguretat de l’1 de juliol de 2024.

Però per precaució, es recomana als usuaris que actualitzin el seu Android (versió 25.1.0 o posterior) i iOS (versió 26.1.0 o posterior) a la darrera versió.

També va advertir que els actors de l’amenaça poden intentar utilitzar el número de telèfon associat als comptes d’Authy per a atacs de pesca i pesca per SMS (smishing).

«Animem tots els usuaris d’Authy que siguin diligents i tinguin una major consciència sobre els textos que reben», va assenyalar.