Cyberattaque de Twilio : les attaquants ont eu accès à des comptes d’Authy, son application 2FA
Au début du mois d'août, l'entreprise Twilio spécialisée dans les services de communication, a subi une fuite de données à cause d'une attaque de type phishing basée sur l'envoi d'un SMS. Aujourd'hui, nous apprenons qu'il y a eu également la compromission de certains comptes d'Authy.
Twilio vient de révéler que les cybercriminels à l'origine de l'attaque sont parvenus à compromettre les comptes de certains utilisateurs d'Authy, son application d'authentification à deux facteurs. Pour ceux qui ne connaissent pas cette application, elle est similaire à Google Authenticator, FreeOTP ou encore Microsoft Authenticator. Cette annonce fait suite à l'attaque informatique subie le 4 août 2022.
En comparaison du nombre total de clients d'Authy, le nombre touché par cette compromission est assez faible, mais il n'est pas négligeable : 163 clients sur une base de plus de 270 000 clients. En accédant aux données d'authentification de certains clients d'Authy, les pirates ont pu enregistrer des appareils supplémentaires afin d'obtenir des accès via leurs propres machines. Désormais, Twilio a fait le ménage et l'entreprise affirme qu'elle a procédé à la suppression des appareils contrôlés par les pirates.
Dans un bulletin de sécurité mis en ligne sur le site de Twilio au sein duquel l'entreprise partage les dernières avancées de l'enquête, il est précisé : "Après avoir mis en place un certain nombre d'améliorations de sécurité en interne, nous n'avons pas observé d'autres cas d'accès non autorisé à des comptes depuis notre dernière mise à jour.
À ce jour, notre enquête a identifié 163 clients de Twilio - sur une base totale de plus de 270 000 clients - dont les données ont été consultées sans autorisation pendant une période limitée, et nous les avons tous informés.
En outre, à ce jour, notre enquête a permis d'identifier que les acteurs malveillants ont eu accès aux comptes de 93 utilisateurs individuels d'Authy - sur un total d'environ 75 millions d'utilisateurs - et ont enregistré des dispositifs supplémentaires sur leurs comptes. Nous avons depuis identifié et supprimé les appareils non autorisés de ces comptes Authy."
Pour éviter qu'un appareil tiers soit ajouté à un compte, comme ce fût le cas ici, Twilio recommande à ses utilisateurs d'ajouter un appareil de secours puis de désactiver l'option "Allow Multi-Device" pour empêcher l'ajout d'appareils supplémentaires (voir cette doc).
Twilio tente de rassurer ses clients, notamment sur l'aspect de la sécurité : "La confiance est primordiale chez Twilio, et nous reconnaissons que la sécurité de nos systèmes et de notre réseau est un élément important pour gagner et conserver la confiance de nos clients. [...] Nous mettrons à jour ce blog avec de plus amples informations dès qu'elles seront disponibles".
