3300 万 Authy 用户手机号泄漏

198 天前
t0rp3d0  t0rp3d0

站里每次讨论 2FA 的相关话题,总会有很多朋友说他自己在用 Authy 。它通过手机号注册,而且可以多终端同步。因为看到站里有多例微软验证器丢失验证信息的案例,我曾经也考虑使用 Authy 作为第二个篮子,但因为拖延症一直没有行动。没想到 Authy 出个这么个事故。

原因是有一个没有鉴权的 API 接口,攻击者通过这个接口批量验证手机号是否用于注册 Authy 。攻击者最终收集了 33M 个注册了 Authy 的手机号。

shinyhunters-twilio

Authy 的公司 Twilio 确认了该事故,并发布了更新。他们同时表示 Twilio 的基础设施和敏感数据没有受到威胁。

Source

6363 次点击
所在节点   信息安全  信息安全
45 条回复
v2wp
v2wp
195 天前
@Huelse 还是加个自建的 2fa 更安全些,单单是用 bitwarden 存储密码还是不安全。
K2
K2
195 天前
@KKFantasy Authy 数据如何导出?
KKFantasy
KKFantasy
195 天前
@K2 #42 我是 bitwarden 还有一份数据,直接导入了。网上有 authy 导出的教程,我没试过。
sfdev
sfdev
194 天前
之前本来想用,但是注册居然要手机号,果断放弃使用。
hez2010
hez2010
194 天前
我选择用卡巴斯基的密码管理器 Kaspersky Password Manager 。既然黑客大本营在俄罗斯,那想必俄罗斯起家的老牌安全软件公司应对各种安全威胁应该很熟练。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1054980

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX