Twilio Authy 数据泄露：3300 万用户处于危险之中

最近有关 Twilio Authy 数据泄露的曝光再次将该公司推到了网络安全问题的聚光灯下。继 2022 年发生影响众多客户的重大数据泄露事件后，该公司上周面临新的挑战。以 ShinyHunters 为别名的黑客声称已经访问了数百万 Twilio 用户的数据，其中包括其广泛使用的 Authy 双因素身份验证应用程序的用户。

2022 年，该公司遭遇了一次更严重的数据泄露，黑客窃取了 100 多名 Twilio 客户的数据。这次数据泄露引发了一场网络钓鱼活动，导致 130 家公司约 10,000 名员工的凭证被盗。在此事件中，黑客瞄准了 93 名个人 Authy 用户，在这些用户的帐户上注册了其他设备并窃取了真实的双因素代码。那么，Twilio Authy 数据泄露会带来类似的后果吗？让我们先更好地了解一下情况。

Twilio Authy 数据泄露：发生了什么？

上周，一则消息震惊了网络安全界：黑客以 ShinyHunters 的别名窃取了美国著名通讯服务公司 Twilio 的 3300 万个电话号码。此次入侵尤其令人担忧，因为它涉及 Authy 用户，Authy 是 Twilio 旗下一款广泛使用的双因素身份验证 (2FA) 应用程序。

在一个流行的黑客论坛上，ShinyHunters 宣布他们成功入侵了 Twilio，并声称获得了 3300 万用户。当 Twilio 向 TechCrunch承认“威胁行为者”通过未经身份验证的端点访问了与 Authy 帐户相关的数据。

“检测到威胁行为者能够通过未经身份验证的端点识别与 Authy 帐户相关的数据，包括电话号码。我们已采取措施保护此端点，不再允许未经身份验证的请求。”

我们没有看到任何证据表明威胁行为者获得了对 Twilio 系统或其他敏感数据的访问权限。作为预防措施，我们要求所有 Authy 用户更新到最新的 Android 和 iOS 应用程序以获取最新的安全更新，并鼓励所有 Authy 用户保持警惕并提高对网络钓鱼和短信钓鱼攻击的认识，”

-Twilio 发言人 Kari Ramirez 告诉 TechCrunch

探索最新的 Twilio Authy 数据泄露事件，揭示网络安全风险以及 Twilio 对 3300 万用户电话号码泄露事件的响应 — 尽管 Twilio 确认没有证据表明存在更广泛的系统访问或数据泄露，但此次入侵凸显了利用被盗电话号码进行网络钓鱼和短信钓鱼攻击的潜在风险（图片来源）

Ramirez 表示，该公司发现威胁行为者通过不安全的端点访问了与 Authy 帐户相关的数据。他还强调，没有证据表明黑客访问了 Twilio 的更广泛系统或其他敏感数据。作为预防措施，Twilio 建议所有 Authy 用户将其 Android 和 iOS 应用程序更新到最新版本，其中包括重要的安全更新。他们还敦促用户对潜在的网络钓鱼和短信钓鱼攻击保持警惕。

Twilio Authy 数据泄露的官方安全警报

Twilio 发布其网站上的官方安全警报详细说明了漏洞和采取的措施：

安全警报：更新 Authy Android（v25.1.0）和 iOS 应用程序（v26.1.0）

Twilio 检测到威胁行为者能够通过未经身份验证的端点识别与 Authy 帐户相关的数据（包括电话号码）。我们已采取措施保护此端点，不再允许未经身份验证的请求。

我们没有发现任何证据表明威胁者获得了 Twilio 系统或其他敏感数据的访问权限。作为预防措施，我们要求所有 Authy 用户更新到最新的 Android 和 iOS 应用程序以获取最新的安全更新。虽然 Authy 帐户没有受到损害，但威胁者可能会尝试使用与 Authy 帐户关联的电话号码进行网络钓鱼和短信钓鱼攻击；我们鼓励所有 Authy 用户保持警惕并提高对所收到短信的警惕性。

本次最新更新修复了错误，包括安全更新。请点击链接下载最新版本：

安卓

iOS

我们知道，系统安全是赢得和保持您的信任的重要部分。我们对发生这种情况深表歉意。如果有任何变化，Twilio 安全事件响应团队将在此处发布任何更新。如果您还有其他问题，请联系您的技术客户经理或我们的支持团队。

注意： 如果您无法访问 Authy 帐户，我们建议您立即联系 Authy 支持。我们的一位专家将回复您的请求并与您合作，让您的 Authy 帐户恢复正常运行。