33 millones de usuarios de Authy expuestos a la pesadilla de seguridad de la propia aplicación de autenticación
Un hacker afirmó de haber robado 33 millones de números de teléfono del gigante estadounidense de mensajería Twilio. La empresa confirmó a CyberGuy que los actores de amenazas obtuvieron acceso a los datos asociados con su servicio de autenticación de dos factores Authy.
Obtener una lista de números de teléfono por sí solo no es el mayor ciberataque, pero aún así podría representar una amenaza para los propietarios de esos números.
Los piratas informáticos pueden utilizar estos números para lanzar ataques de phishingEnviar mensajes de texto spam o intentar cambiar la tarjeta SIM. Twilio ha parcheado su aplicación para evitar futuros incidentes de seguridad y también ha advertido a los usuarios.
Ilustración de un hacker en el trabajo (Kurt «CyberGuy» Knutsson)
Lo que necesitas saber
El 3 de julio, el grupo de hackers conocido como ShinyHunters habría recurrido a un foro de hackers para jactarse de haber robado 33 millones de números de teléfonos celulares. Twilio dijo que el incidente «no fue un ataque ni una violación de seguridad», sino que los actores de la amenaza explotaron un «punto final no autenticado». En términos simples, los piratas informáticos explotaron una parte específica del sistema de Twilio que no requería autenticación.
El gigante estadounidense de mensajería confirmó que los piratas informáticos pudieron identificar datos asociados a Cuentas Authyincluidos números de teléfono, pero no especificó cuántas cuentas fueron afectadas. La compañía afirmó que no hay evidencia que indique que los piratas informáticos obtuvieron acceso a los sistemas de Twilio o a otros datos confidenciales.
Twilio proporcionó esta declaración a CyberGuy: «Twilio ha detectado que los actores de amenazas pudieron identificar datos asociados con cuentas de Authy, incluidos números de teléfono, debido a un punto final no autenticado. Hemos tomado medidas para proteger este punto final y ya no permitir solicitudes no autenticadas.
«No hemos visto ninguna evidencia de que los actores de amenazas hayan obtenido acceso a los sistemas de Twilio ni a otros datos confidenciales. Como medida de precaución, solicitamos a todos los usuarios de Authy que actualicen las aplicaciones de Android e iOS a las últimas actualizaciones de seguridad y alentamos a todos los usuarios de Authy a que sean diligentes y tengan una mayor conciencia sobre los ataques de phishing y smishing».
OBTENGA FOX BUSINESS EN MOVIMIENTO HACIENDO CLIC AQUÍ
Ilustración de hackers en acción (Kurt «CyberGuy» Knutsson)
LOS USUARIOS DE ANDROID ESTÁN EN RIESGO A MEDIDA QUE UN TROYANO BANCARIO ATACA A MÁS APLICACIONES
¿Qué deben hacer los usuarios afectados?
Si se ha visto afectado por el incidente de seguridad de Twilio, lo primero que debe hacer es descargar la última versión de la aplicación Authy. Twilio ha lanzado una nueva versión de la aplicación que incluye correcciones de errores y actualizaciones de seguridad. Los usuarios de Android pueden Actualiza la aplicación desde Play Storey los usuarios de iPhone pueden dirigirse a la App Store.
También hay que tener cuidado con ataques de phishingSi bien su cuenta de Authy es segura, los piratas informáticos podrían usar el número de teléfono vinculado a su cuenta para intentar algunos trucos de phishing. Esto significa que podrían comunicarse con usted haciéndose pasar por Authy o Twilio para engañarlo y lograr que proporcione información personal.
Ilustración de un hacker (Kurt «CyberGuy» Knutsson)
Un troyano bancario para Android se disfraza de Google Play para robar tus datos
5 pasos a seguir para proteger tu privacidad y tus datos personales
Si bien los piratas informáticos pueden hacer un mal uso de su información personal de diversas maneras, existen varias medidas que puede tomar para evitar daños.
1. Tenga un software antivirus potente: Android tiene su propia protección antimalware incorporada Se llama Play Protect, pero no es suficiente para detener todo el software malicioso. Históricamente, Play Protect no ha sido 100% infalible para eliminar todo el malware conocido de los teléfonos Android. La mejor manera de protegerse de hacer clic en enlaces maliciosos que instalan malware que puede obtener acceso a su información privada es tener una protección antivirus instalada en todos sus dispositivos. Esto también puede alertarlo sobre cualquier correo electrónico de phishing o estafas de ransomware. Obtenga mis selecciones de los mejores ganadores de protección antivirus de 2024 para sus dispositivos Windows, Mac, Android e iOS.
2. Utilice un servicio de protección contra el robo de identidad: Las empresas de robo de identidad pueden monitorear información personal como su número de Seguro Social, número de teléfono y dirección de correo electrónico y alertarlo si se está vendiendo en la red oscura o se está utilizando para abrir una cuenta. También pueden ayudarlo a congelar sus cuentas bancarias y de tarjetas de crédito para evitar un uso no autorizado por parte de delincuentes.
HAGA CLIC AQUÍ PARA OBTENER MÁS NOTICIAS DE EE. UU.
Una de las mejores partes de usar algunos servicios es que pueden incluir un seguro contra robo de identidad. hasta $1 millón para cubrir pérdidas y honorarios legales y un equipo de resolución de fraudes de guante blanco donde un Un administrador de casos con sede en EE. UU. lo ayuda a recuperar cualquier pérdida. Vea mis consejos y mejores opciones sobre cómo protegerse del robo de identidad..
3. Invierta en servicios de eliminación de datos: Si bien ningún servicio promete eliminar todos sus datos de Internet, tener un servicio de eliminación es excelente si desea monitorear y automatizar constantemente el proceso de eliminación de su información de cientos de sitios de forma continua durante un período de tiempo prolongado. Elimina tus datos personales de Internet con mis mejores opciones aquí.
4. Utilice la autenticación multifactor: Permitir Autenticación de dos factores en sus cuentas importantes para agregar una capa adicional de seguridad más allá de una contraseña. Esto requiere un segundo paso, como un código enviado a su teléfono, para iniciar sesión.
5. Utilice una VPN: Considere utilizar una VPN para protegerse contra el seguimiento y para identificar su posible ubicación en los sitios web que visita. Muchos sitios pueden leer su dirección IP y, según su configuración de privacidad, pueden mostrar la ciudad desde la que se comunica. Una VPN disfrazará su dirección IP para mostrar una ubicación alternativa. Para obtener el mejor software VPN, consulte mi revisión experta de las mejores VPN para navegar por la web de forma privada en su dispositivo. Dispositivos Windows, Mac, Android y iOS.
CÓMO SER MÁS INTELIGENTE QUE LOS HACKERS CRIMINALES BLOQUEÁNDOLO DEL ACCESO A SUS CUENTAS DIGITALES
La conclusión clave de Kurt
Authy es un servicio de autenticación de dos factores en el que los usuarios confían, pero un fallo de seguridad en su sistema les recuerda a los usuarios que ningún servicio es infalible. El fabricante del servicio sostiene que los piratas informáticos no tienen acceso a las cuentas de Authy, lo que es un alivio. Las empresas deberían invertir más en infraestructura de seguridad para garantizar que los datos confidenciales de sus clientes no se vean comprometidos tan fácilmente.
HAGA CLIC AQUÍ PARA OBTENER LA APLICACIÓN FOX NEWS
¿Cómo crees que las empresas deberían mejorar sus medidas de seguridad para evitar incidentes como el de Twilio? Cuéntanoslo escribiéndonos a Cyberguy.com/Contacto.
Para recibir más consejos técnicos y alertas de seguridad, suscríbase a mi boletín gratuito CyberGuy Report dirigiéndose a Cyberguy.com/Boletín informativo.
Hazle una pregunta a Kurt o cuéntanos qué historias te gustaría que cubriéramos..
Sigue a Kurt en sus canales sociales:
Respuestas a las preguntas más frecuentes de CyberGuy:
Copyright 2024 CyberGuy.com. Todos los derechos reservados.