GN⁺: Twilio, 해커가 3,300만 Authy 사용자 전화번호 데이터 유출한 것을 확인
(securityweek.com)- 악명 높은 ShinyHunters 해커 그룹이 BreachForums 웹사이트에서 Twilio의 2FA 앱 Authy와 관련된 무작위 전화번호 3,300만 개를 유출한다고 발표함
- 유출된 정보에는 계정 ID와 일부 비개인 데이터도 포함됨
- Twilio는 웹사이트에 보안 경고를 게시하여 데이터 유출을 확인함
- "Twilio는 인증되지 않은 엔드포인트를 통해 Authy 계정과 관련된 데이터를 식별할 수 있었던 위협 행위자를 감지했습니다. 우리는 이 엔드포인트를 보호하기 위한 조치를 취했으며 더 이상 인증되지 않은 요청을 허용하지 않습니다"라고 회사는 밝힘
- Twilio는 해커가 시스템에 접근하거나 다른 민감한 데이터를 획득한 증거는 없지만, 예방 차원에서 Authy 사용자에게 최신 Android 및 iOS 보안 업데이트를 설치할 것을 권장함
- "Authy 계정이 손상되지 않았지만, 위협 행위자가 Authy 계정과 관련된 전화번호를 피싱 및 스미싱 공격에 사용할 수 있으므로 모든 Authy 사용자가 수신하는 문자 메시지에 대해 경계심을 갖고 주의할 것을 권장합니다"라고 Twilio는 말함
GN⁺의 의견
- Twilio의 데이터 유출 사건은 인증되지 않은 엔드포인트의 중요성을 강조함. 보안 엔드포인트를 유지하는 것이 얼마나 중요한지 보여줌
- Authy 사용자들은 피싱 및 스미싱 공격에 대한 경계심을 높여야 함. 전화번호 유출로 인해 이러한 공격이 증가할 가능성이 있음
- Twilio는 빠르게 대응하여 엔드포인트를 보호했지만, 다른 회사들도 유사한 상황에 대비해야 함. 예방 조치가 중요함
- ShinyHunters와 같은 해커 그룹의 활동이 계속 증가하고 있음. 기업들은 지속적으로 보안 상태를 점검하고 강화해야 함
- 유사한 기능을 제공하는 다른 보안 앱으로는 Google Authenticator, Microsoft Authenticator 등이 있음. 사용자는 다양한 옵션을 고려해 볼 수 있음
Hacker News 의견
-
내 전화번호가 여러 데이터 유출에 포함되어 스팸이 많아졌음
- 전통적인 전화 네트워크는 스팸 문제로 인해 팩스처럼 사라질 위험이 있음
- 가족과의 통화도 FaceTime, Zoom, Meet 등을 사용하고 있음
- 전통적인 전화 네트워크를 통한 합법적인 통화를 기억하지 못함
- 이러한 플랫폼들은 시장을 완전히 장악하면 광고를 추가할 가능성이 있음
- Gmail이 이메일을 통해 수익을 창출한 사례를 보면 알 수 있음
-
Authy가 휴대폰 번호와 이메일 주소를 요구하는 것은 불합리함
- 클라우드 동기화나 백업이 필요하지 않음
- 사용자 정보를 클라우드에 저장하는 것은 공격 대상이 될 수 있음
- 이는 2FA의 정신에 맞지 않음
-
Twilio는 SendGrid와 Twilio 자체의 2FA를 위해 Authy를 요구함
- 표준화된 2FA를 지원하지 않아 1Password를 사용할 수 없음
- Authy를 사용하도록 강요받았지만 여전히 문제가 발생함
- Twilio는 사용자에게 맞춤형 솔루션을 강요하지 말아야 함
-
많은 조직과 기업이 첫 접촉 시 개인 정보를 요구하는 것에 불만을 가짐
- 의료 서비스 제공 업체도 클라이언트 데이터를 명확한 텍스트 이메일로 전송함
- 의료 결과를 제공하는 문서의 저작권이 자신들에게 있다고 주장함
- 사람들은 이러한 서비스에 높은 평점을 주지만, 실제로는 이용 약관을 읽지 않음
-
사용자 등록 엔드포인트에서 정보 노출 취약점을 발견했음
- Authy 사용자의 전화번호를 통해 다른 번호, 기기, 타임스탬프, 이메일 주소 등을 조회할 수 있었음
- 이 문제를 해결하는 데 2년이 걸렸음
-
Authy의 iOS 앱을 사용하여 2FA 토큰을 생성하지만 전화번호를 입력한 기억이 없음
- iOS 클라이언트 앱 자체의 문제인지, 온라인 계정을 생성한 사용자만 영향을 받는지 확인 중임
-
Twilio가 인증되지 않은 엔드포인트로 인해 Authy 계정과 관련된 데이터를 식별할 수 있었음
- 이 엔드포인트를 보안 조치하여 더 이상 인증되지 않은 요청을 허용하지 않음
- 자신의 앱에서 이러한 문제를 피하려면 모든 요청에 대해 인증을 강제하고, 행 수준 보안을 적용해야 함
- 테스트 프레임워크를 사용하여 이러한 문제를 감지할 수 있음
-
Authy의 커스텀 인증 스킴을 사용하지 않는 경우, 지금이 데이터를 내보낼 때임
- 데스크탑 버전에서만 raw totp 토큰을 내보낼 수 있음
- 데스크탑 앱에 토큰을 로드한 후, 이전 버전으로 다운그레이드하여 자바스크립트 함수를 실행해야 함
-
iPhone에서 방해 금지 모드를 설정하면 모든 전화가 음성 사서함으로 전송됨
- 긴급 연락처, 즐겨찾기, 1by1 포커스에 있는 사람의 반복 전화만 울림
- Android에서는 동일한 설정이 작동하지 않음
- Google Voice나 Fi로 전화번호를 포팅하면 스팸 전화를 필터링할 수 있음
-
ente.io/auth를 구축했음
- 크로스 플랫폼 인증기가 필요하면 확인해볼 것
- FOSS, 선택적 e2ee 백업 제공