アカウントを保護する際には、常に最新のセキュリティ対策を使用することをお勧めします。 たとえば、当社のオンライン サービスでは、長くて安全なパスワードを使用することが重要です。また、これらのパスワードは一意であり、コンピュータ攻撃を可能な限り封じ込めるために他の Web サイトで再利用しないことが重要です。 さらに、可能な限り、パスワードが盗まれた場合でもデータにアクセスできないことを保証する二重認証を使用することをお勧めします。 しかし、私たちを危険にさらす人物が、これらのセキュリティ キーを保管している会社である場合はどうなるでしょうか。 これが起こったことです Authy。
二重認証はセキュリティを維持するために不可欠ですが、キーを生成するために最もよく使用されるアプリケーションは、 、多くのことが望まれます。 このため、多くのユーザーは、Authy がセキュリティ キーを保護し、さらにあらゆる種類のデバイス (携帯電話、タブレット、PC など) で手元に置くことができると信頼しています。
しかし、最新のセキュリティ対策を施しても、そのセキュリティ対策を統括する会社が十分に守らなければ意味がありません。 そして、これが Authy を担当する Twilio で起こったことです。
フィッシング攻撃により、セキュリティが危険にさらされています
同社が確認したように、ハッカーのグループが米国に拠点を置くこの会社の従業員数人に対してフィッシングキャンペーンを実行し、最終的にインフラストラクチャ全体のセキュリティを侵害することに成功しました. このフィッシング攻撃では、攻撃者は Twilio の IT 部門になりすまして、従業員に パスワードをリセットする そのため、引き続きイントラネットにアクセスできます。 言うまでもなく、SMS で提供されたリンクは偽物でした。
現在、同社はハッカーがどこまでアクセスでき、どのような情報が盗まれたかを調査しています。 透明性計画の一環として、Twilio は、データが盗まれたことが確認され次第、影響を受けるユーザーに通知します。 もちろん、現時点では Authy に何が起こったのかはわかっていません。なぜなら、この件に関して Authy は一切の声明を出すことを拒否しているからです。
ハッカーは Authy キーを使用して私の Web サイトに侵入できますか?
Twilio は他にも多くのサービスを提供していますが、ユーザーが本当に心配しているのは Authy です。 ハッカーが秘密鍵とタイムスタンプを盗むことに成功した場合、文字通り二重認証コードを生成して、任意の Web サイトに侵入することができます。 ただし、これはほとんどありません。
Authy は典型的なユーザー名/パスワード ログインを使用せず、代わりに携帯電話をユーザー ID として使用するため、キーが盗まれた場合に特定のユーザーに関連付けることができるのは非常に複雑です。 もちろん、別の Web サイトから盗まれた携帯電話番号を所有している場合を除きます。 さらに、PIN を使用する場合、データは常にエンドツーエンドで暗号化されるため、最悪の場合、彼らが私たちの携帯電話を持っていて、私たちが誰であるかを知っている場合、PIN がなければ.データを復号化できます。 データ。
信頼できず、セキュリティを保護したい場合は、生成されたすべての 2FA キーを無効にして、それらを再リンクするだけです。 したがって、ハッカーによって盗まれたとされるすべてのデータは役に立たなくなります。