Lo scorso 27 giugno, l'hacker (o il gruppo di hacker) noto come ShinyHunters ha postato un messaggio su un popolare forum di hacking annunciando di aver violato Twilio e il suo servizio Authy, sottraendo circa 33 milioni di numeri di telefono registrati.
Come ha scritto BleepingComputer, il file CSV pubblicato contiene esattamente 33.420.546 record, ogni riga del file riporta l'id dell'account, il numero di telefono associato, tipologia di lock, stato dell'account e numero di device associati.
In un avviso di sicurezza pubblicato questa settimana, Twilio ha dichiarato che gli autori del furto di dati hanno utilizzato un'API del servizio Authy che non richiedeva autenticazione. Gli sviluppatori sono immediatamente corsi ai ripari per proteggere l'endpoint in questione e ora non consente più richieste prive di autenticazione.
BleepingComputer riferisce che gli autori delle minacce hanno raccolto i dati degli utenti inserendo un enorme elenco di numeri di telefono nell'endpoint API non protetto. L'endpoint a questo punto, per ogni numero telefonico valido restituisce le informazioni degli account associati registrati con Authy.
