3300 万 Authy 用户手机号泄漏

198 天前
t0rp3d0  t0rp3d0

站里每次讨论 2FA 的相关话题,总会有很多朋友说他自己在用 Authy 。它通过手机号注册,而且可以多终端同步。因为看到站里有多例微软验证器丢失验证信息的案例,我曾经也考虑使用 Authy 作为第二个篮子,但因为拖延症一直没有行动。没想到 Authy 出个这么个事故。

原因是有一个没有鉴权的 API 接口,攻击者通过这个接口批量验证手机号是否用于注册 Authy 。攻击者最终收集了 33M 个注册了 Authy 的手机号。

shinyhunters-twilio

Authy 的公司 Twilio 确认了该事故,并发布了更新。他们同时表示 Twilio 的基础设施和敏感数据没有受到威胁。

Source

6363 次点击
所在节点   信息安全  信息安全
45 条回复
linil
linil
197 天前
之前 Authy 取消 Desktop 版本後覺得沒什麼優勢了,目前換到了 2FAS 。
2FA 不和密碼管理的放一起的話,單邊洩漏還是沒那麼可怕。
lzhd24
lzhd24
197 天前
不过话又说回来,手机号就和微信号似的,一种联系方式而已,即便是泄露了,攻击者能拿来干啥呢?批量发短信钓鱼?好像影响也不大吧
cdlnls
cdlnls
197 天前
@lzhd24 看截图上的数据,是有账号 id 的,如果账号 id 是公开的。那么就可以根据这个 id 找到对应的手机号。

假如 v 站有这个类似的漏洞,攻击的人批量验证手机号/邮箱
cdlnls
cdlnls
197 天前
继续上一条回复。就可能可以得到一个对应关系,就能通过账号 id 查询到这个 id 对应的账号和邮箱。在现在这种环境下,就相当于实名。
zx900930
zx900930
197 天前
Aegis 长舒一口气,只有本地的不经过服务器的才是安全的
lhwj1988
lhwj1988
197 天前
一个 2fa 软件需要手机作为账号本身就很离谱,竟然还会有人用
Dragonphy
Dragonphy
197 天前
欢迎使用 ente auth 喵
linhongjun
linhongjun
197 天前
还好我用 WINAUTH 本地存储 随身携带
yumizhao888
yumizhao888
197 天前
别能绕过手机号直接读验证码就行,要不就是大灾难。
Rehtt
Rehtt
197 天前
我是自建 bitwarden
RobinHuuu
RobinHuuu
197 天前
问题不大
Imindzzz
Imindzzz
197 天前
@lzhd24 把你手机号微信号回复在这,我就告诉你
kmephisto
197 天前
所以还是 keepass 加坚果云。稳稳的。
ladypxy
197 天前
手机号泄露影响不大,国内都泄露到天上去了。。。
jackmod
197 天前
迁移到内网上的自建 bitwarden 已经一年了。
不过 account_status 这种字段,估计这公司也不那么体面。
uuhhme
197 天前
还是有危险的。手机号做用户名和 2fa 的邮箱一起泄露,精准定位了属于是。还是喜欢 ente auth
poorcai
197 天前
有没有可以在换手机后自动同步的 2fa 软件?我目前用的是微软的,换手机后里面的东西就没了。。。
NICEghost
197 天前
authy 可以自建的吧...
poorcai
197 天前
@uuhhme 你说的这个 App ,是新出的吗?我看 play store 上面才 5k 次下载
Huelse
197 天前
之前用 Authy 就总感觉不对劲,后换到微软的也差点意思,最后全转到自建 bitwarden 上了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1054980

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX