#互联网观察 ▎多因素身份验证器Authy泄露3342万名用户敏感数据

#互联网观察 ▎多因素身份验证器Authy泄露3342万名用户敏感数据 美国Twilio公司于7月1日宣布,由于未保护的API端点,黑客获得了其多因素认证工具Authy的大量用户电话号码。Twilio已采取措施保护该端点,并不再允许未经认证的请求。公司呼吁用户立即将Authy应用更新到最新版。 6月27日,黑客组织ShinyHunters在暗网发布了从Twilio获取的包含约3300万用户电话号码的CSV文件。文件中包含Authy的账号ID和电话号码。攻击者通过向未保护的API端点输入大量电话号码,获取了有效号码的相关信息。Twilio已保护其API,防止进一步滥用。 Twilio警告称,尽管Authy账号未被侵害,威胁行为者可能会利用关联的电话号码进行钓鱼或短信欺诈攻击,呼吁所有Authy用户提高警惕。公司在2022年也曾遭遇钓鱼攻击,导致客户数据泄露。 ▎新闻来源 频道 @AppDoDo

相关推荐

封面图片

Twilio 提醒 Authy 双重认证应用的用户,称“威胁行为者”已获取他们的电话号码,这次泄露可能会使客户面临被定向钓鱼攻击

Twilio 提醒 Authy 双重认证应用的用户,称“威胁行为者”已获取他们的电话号码,这次泄露可能会使客户面临被定向钓鱼攻击的风险。 据早些时候 TechCrunch 的报道,Twilio 表示有人获得了与其双因素身份验证服务(2FA),Authy 相关的电话号码。在周一的安全警报中,Twilio 警告说,“威胁行为者”可能会尝试使用被盗的电话号码进行网络钓鱼攻击和其他骗局。 此前, 2022 年也发生过泄漏事件,当时一次网络钓鱼活动欺骗了员工,让他们泄露了登录凭证。攻击者访问了 163 个 Twilio 账户的数据,并在 93 个 Authy 账户上访问并注册了额外的设备。 Twilio 追踪到这次泄露源于“一个未验证的端点”,该端点现已被加固。上周,威胁行为者 ShinyHunters 在暗网发布了来自 Authy 账户的 3300 万个电话号码列表。据 BleepingComputer 指出,威胁行为者似乎是通过将大量电话号码输入 Authy 的未加密 API 端点,从而验证它们是否与该应用相关,进而获取了这些信息。 “我们鼓励所有 Authy 用户保持警惕,并高度关注他们收到的短信,”Twilio 写道。它补充说,“没有证据表明威胁行为者获取了 Twilio 的系统或其他敏感数据的访问权限”,并且 Authy 账户没有受到影响。Twilio 建议用户更新其在 Android 和 iOS 上的 Authy 应用程序(Authy 桌面应用程序已被停止使用)。 标签: #2FA #Authy #Twilio 频道: @GodlyNews1 投稿: @GodlyNewsBot
封面图片

#互联网观察 #数据泄露

#互联网观察 #数据泄露 ▎多邻国 :260万用户数据被再次公开 Duolingo是一个拥有超过5亿注册用户和6000万月活跃用户的语言学习平台,该用户数据早在今年1月份被有偿出售,但现在已经被BreachForums论坛用户提供代价为8个论坛币(约为2美元)的下载。 ▎数据内容 电子邮件地址、用户名、真实姓名、电话号码(如果用户提供的话)、社交网络信息,以及其他如语言学习、经验、进度和成就等一般信息 ▎泄露原因 Duolingo的API中存在漏洞,只要向该API发送一个有效的电子邮件,就可以返回该用户的一般帐户信息。该用户数据目前仍然可以被抓取。 频道 @AppDoDo
封面图片

#互联网观察 #数据泄露

#互联网观察 #数据泄露 ▎多邻国 :260万用户数据被再次公开 Duolingo是一个拥有超过5亿注册用户和6000万月活跃用户的语言学习平台,该用户数据早在今年1月份被有偿出售,但现在已经被BreachForums论坛用户提供代价为8个论坛币(约为2美元)的下载。 ▎数据内容 电子邮件地址、用户名、真实姓名、电话号码(如果用户提供的话)、社交网络信息,以及其他如语言学习、经验、进度和成就等一般信息 ▎泄露原因 Duolingo的API中存在漏洞,只要向该API发送一个有效的电子邮件,就可以返回该用户的一般帐户信息。该用户数据目前仍然可以被抓取。
封面图片

Authy 2FA应用程序遭遇数据泄露,用户需警惕短信钓鱼攻击

Authy 2FA应用程序遭遇数据泄露,用户需警惕短信钓鱼攻击 PANews 7月4日消息,据Cointelegraph报道,根据应用程序开发商Twilio于7月1日发布的安全警报帖子,黑客获得了对Authy Android应用程序数据库的访问权限,能够识别与账户相关联的数据,包括电话号码。帖子中指出,账户本身没有受到损害,这意味着攻击者无法获得身份验证凭据。然而,泄露的电话号码可能会在未来用于“钓鱼和短信钓鱼攻击”。因此,Twilio鼓励Authy用户“保持警惕,对接收到的短信保持高度警觉”。 据悉,中心化交易平台的用户通常依赖于 Authy 进行双因素认证(2FA)。它在用户设备上生成一个代码,交易平台在执行提现、转账或其他敏感任务之前可能会要求输入此代码。Authy有时会与Google的Authenticator应用进行比较,后者具有类似的功能。
封面图片

#互联网观察 辟谣:Clubhouse数据未泄露 官方已声明

#互联网观察 辟谣:Clubhouse数据未泄露 官方已声明 最近网传Clubhouse数据遭到黑客入侵,并且数据在暗网出售。此消息Twitter()和Telegram频道()亦有报道。 经查询,此消息除一张论坛截图外,并没有其它可靠的信息来源。 7月24日,推特用户Rajshekhar Rajaharia()下载了所谓3.8亿的数据后发现,该数据只包含电话号码,并无用户其他信息(PII)。他推测,该数据有可能是随机生成,对数据外泄持怀疑态度。 7月25日,IANS辟谣()该消息,并称Clubhouse官方人员声称数据未被泄露,且电话号码为机器人生成(There are a series of bots generating billions of random phone numbers)。 此外,发表该数据的论坛已将此帖标为“低质量数据”,多名推特用户也证实此数据库仅仅包含电话数据,可能是来自任何地方或者由机器生成。网上流传的包含其它信息的数据也已经被证实为今年4月的数据外泄,且当时被官方辟谣。 新闻消息鱼龙混杂,请大家仔细辨别。 频道 @AppDoDo
封面图片

GitHub:2023年底前所有用户账户需启用双因素身份验证

GitHub:2023年底前所有用户账户需启用双因素身份验证 据 GitHub 此前的内部统计显示,只有约 16.5% 的活跃用户在账户上启用了增强的安全措施,鉴于该平台的用户群体,这个数字低得令人惊讶。根据新的规定,如果用户账户没有在规定的最后期限内启用 2FA,账户将会被 GitHub 注销。 谷歌此前也曾透露,只需在账户中添加一个辅助电话号码,就可以阻止多达 100% 的自动机器人攻击、99% 的批量网络钓鱼攻击和 66% 的定向攻击。 这届用户不行

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人