ABD’de popüler bir mesajlaşma uygulaması olan Twilio’ya düzenlenen siber saldırıda, 33 milyon kullanıcının telefon numarası çalındı.
Saldıgranların, Twilio’nun kimlik doğrulama sistemindeki bir açığı kullanarak yetkisiz erişim elde ettiği biliniyor.
Saldırganlar, bu sayede kullanıcılara gönderilen SMS kodlarına erişerek, hesaplarına giriş yapabildiler.
Kullanıcılar bilgilendirildi
Saldırının ardından Twilio, etkilenen kullanıcıları bilgilendirmeye başladı ve sorunun çözümü için çalışmalar yürüttüğünü açıkladı.
Şirket ayrıca, kimlik doğrulama sistemini daha da güvenli hale getirmek için ek önlemler aldığını da duyurdu.
İki adımlı doğrulama güvenli mi
Twilio’ya göre telefon numaraları,Authyisimli sistem nedeniyle açığa çıktı.
Twilio’nun sahip olduğu bu sistem, biriki faktörlü kimlik doğrulama uygulamasıydıve kullanıcılar tarafından hesaplarına giriş yaparken kullanılıyordu.
Sistemdeki bir açık nedeniyle hesaplarla ilişkili verilere erişebildiğini söyleyen Twilio, iki adımlı doğrulama sistemlerine olan güvenin sarsılmasına neden oldu.
Günümüzde birçok uygulama, kullanıcılara iki adımlı doğrulama sunuyor. Bu sayede kullanıcılar, hesaplarına giriş yaparken gelen SMS kodunu da girmeleri gerekiyor.
Twilio, Authy’i kullanan tüm kullanıcılarından Android ve iOS uygulamalarını güncellemelerini ve saldırılar konusunda dikkatli olmaları gerektiğini önerdi.