Twilio, el proveedor de comunicaciones en la nube, informó que ha detectado un punto final no autenticado en su servicio Authy, que fue aprovechado por actores de amenazas desconocidos para acceder a datos asociados con cuentas de Authy, incluyendo números de teléfono celular de los usuarios.
La empresa ha confirmado la adopción de medidas correctivas para garantizar que el punto final ya no acepte solicitudes no autenticadas.
Esto sucedió poco después de que un individuo conocido como ShinyHunters publicara en BreachForums una base de datos con 33 millones de números de teléfono, supuestamente extraídos de cuentas de Authy.
Authy, adquirida por Twilio en 2015, es una popular aplicación de autenticación de dos factores (2FA) que brinda un nivel adicional de seguridad a las cuentas.
En un aviso de seguridad emitido el 1 de julio de 2024, la compañía afirmó que no se ha encontrado evidencia de que los actores de amenazas hayan accedido a los sistemas de Twilio u otros datos sensibles.
No obstante, por precaución, se recomienda a los usuarios actualizar sus aplicaciones para Android (versión 25.1.0 o posterior) e iOS (versión 26.1.0 o posterior) a la última versión disponible.
Además, se alertó sobre la posibilidad de que los actores de amenazas intenten utilizar los números de teléfono asociados con las cuentas de Authy para llevar a cabo ataques de phishing y smishing.
Se insta a todos los usuarios de Authy a mantenerse atentos y ser cautelosos con los mensajes de texto que reciban.
Vía The Hacker News