Sicherheitsvorfall bei 2-Faktor-App
Authy: Millionen Handynummern ergaunert, Update verfügbar
Der Softwareanbieter Twilio hat seine iOS-Anwendung Authy zur Zwei-Faktor-Authentifizierung aktualisiert, nachdem es Berichten zufolge zu einem Hack gekommen sein soll, bei dem über 30 Millionen Handynummern gestohlen wurden.
Authy ist eine der bekanntesten Zwei-Faktor-Applikationen, die zeitbasierte Zugangscodes für Webseiten und Online-Dienste generiert. Wie berichtet, hatte die App erst kürzlich den Support für ihre Mac-Desktop-Anwendung eingestellt und sich ausschließlich auf die mobilen Ausgaben für iPhone und Android konzentriert.
„Security Alert“ im Hausblog
Mit einem sogenannten „Security Alert“ hat Twilio mittlerweile auch im Hausblog bestätigt, dass es zu einem Hack gekommen ist. Ohne genaue Angaben zur Anzahl der betroffenen Personen zu machen, erklärt Twilio, dass der Angriff auf Telefonnummern beschränkt gewesen sei.
Zwar macht Twilio keine Angaben zur genauen Anzahl der betroffenen Anwender, in einschlägigen Foren ist jedoch die Rede von 33 Millionen Handynummern, die beim Twilio-Hack abhanden gekommen sein sollen.
Nach Angaben des Unternehmens gibt es keine Hinweise darauf, dass die Angreifer Zugang zu Twilios Systemen oder anderen sensiblen Daten erlangt hätten, auch die Authy-Konten selbst seien nicht kompromittiert worden. Twilio warnt jedoch, dass die Angreifer versuchen könnten, die mit Authy-Konten verknüpften Telefonnummern für Phishing-Angriffe zu nutzen. Authy-Bestandskunden sind dazu aufgerufen, eingehende Textnachrichten sorgfältig zu prüfen.
Der Hack sei über eine bislang nicht abgesicherte Schnittstelle erfolgt, die Twilio mittlerweile gesperrt habe. Nutzer sind dazu aufgerufen, auf die neueste Version der iPhone-Anwendung zu aktualisieren. Anwender, die nicht auf ihr Authy-Konto zugreifen können, sollten sich umgehend an das Support-Team von Twilio wenden.
Zum Glück habe ich kürzlich alle Daten und meinen Account bei Authy gelöscht…
Was genau beweist Dir, dass Deine Daten wirklich gelöscht wurden?
Nicht, dessen bin ich mir absolut bewusst. Ich meinte damit, dass es gut ist, dass ich nicht WEITER bei diesem Unternehmen Daten Abspeicherung in der Zukunft…
+1
Also sind sie bei dir nicht sichtbar, aber in einer DB garantiert noch vorhanden ;)
Naja, sie behaupten in der Bestätigungsmail (08/2023) „This is a reminder that your Authy account will be permanently deleted in 29 days. You will continue to have limited access to your Authy apps across your devices – as they wiil be in a „suspended state“ for 30 days until your account is permanently deleted.“
„Permanently deleted“ heisst nicht, dass er unsichtbar für mich ist und gleichzeitig noch in deren DB vorhanden ist.
Aber ja, „Papier ist geduldig“. Und ich bin mir auch sicher, dass mein Konto nur auf inaktiv/unsichtbar gesetzt wurde und die noch alle Daten haben …
Wofür war denn die Handynummer? Das generieren der Codes geht doch offline.
Für das Konto bei Authy, um eine Synchronisierung über die Plattform hinweg zu ermöglichen.
Ganz schlecht :( Authy
Deswegen kamen vielleicht Spam Nachrichten bei Telegram
Bei mir auch…
Sehr unschön. Habe zwar meinen langjährigen Account vor zwei oder drei Monaten gelöscht, aber meine Nummer ist bestimmt trotzdem dabei. Ärgerlich! Vielleicht kann man das bald via Have I Been Pwned und Konsorten überprüfen.
Die prüfen doch keine Handynummern.
Apple Keychain (unter iOS 18: Passwords) und gut ist. Keine Kosten, keine Probleme, integriert.
Wenn dir aktuell Keychain vorgaukelt 2FA zu unterstützen, würde ich an deiner Stelle schauen, ob du da wirklich Keychain nutzt. Ändert sich erst mit iOS 18.
OTPs kann der Schlüsselbund auch schon mit iOS 17 und früher verwalten bzw. generieren
Genau iOS 17 kann das bereits und akzeptiert auch Fremdverwaltung durch geeignete Apps
Einstellungen -> Passwörter -> Passwortoptionen -> Codes konfigurieren in
Danke für die genaue Angabe. Wieder etwas gelernt
Sehr vertrauenswürdig, wenn man die eigenen Daten nicht schützen kann.
Das sollte für so ein Unternehmen der Todesstoß sein.
Von denen war ich noch nie begeistert, hat sich nun bewahrheitet. Danke für den Bericht.
Ja und? Wo ist jetzt das Problem? Eine Software hat „Fehler“?!? What a surprise.
Und die Handynummern sind jetzt warum und für wen ein Problem?
Hm, 2-Faktor wird als der heilige Gral der Sicherheit nahezu überall eingeführt. Da sollten die Anbieter schon besonderen Wert auf ihre Sicherheitsstruktur legen.
Kenne mich zu wenig aus, um den möglichen Exploit per se darzulegen.
Aber Datenabgriff ist grundsätzlich schon mal nicht so geil. Wenn mein Papa Phishing auf sein Handy bekommt, ist er zumindest verunsichert. Inzwischen fragt er mich bevor er was klickt.
Wer eine komplett lokale 2FA-App möchte (Achtung: Backup dann nicht vergessen): OTP Auth von Roland Moers oder den Bitwarden Authenticator nehmen. Ersterer ist ein Urgestein, letzterer ist eine App von Bitwarden, aber ohne Konten oder sonstigen Bezug zu deren Haupt-App.
Bei OTP Auth bin ich voll bei Dir, bei Bitwarden nicht, obwohl ich mit deren PW-Manager. Ollauf zufrieden bin. Die Auth-App von Bitwarden hat wenige und dazu relativ schlechte Bewertungen.
Sollte „vollauf“ heißen.
Also bei mir funktioniert der Bitwarden Authenticator einwandfrei, auch mit 8-stelligen TOTP und anderen Hashmethoden als SHA-1. Habs seit dem Release im Einsatz. Bewertungen seh ich nicht, hab keinen deutschen Apple Store-Account. In meiner Region nutzen den wohl nicht genug Menschen.
Also so sehr ich OTP Auth von Roland Moers auch mag, eine gleichwertige Alternative zu haben, die nicht nur von einer Einzelperson kommt, finde ich gut. Stichwort „bus factor“.
Nutze auch OTP Auth … kann man, wenn man will auch per iCloud syncen, es gibt eine Mac-App und das Schlüsselbund akzeptiert sie als OTP Code Konfigurator
2FAS
Typisch Security-Firma, viel Theater – wenig Sicherheit.
Ich empfehle Ente authenticator samt zugehörigem Foto Speicher.
Betreffene sollten direkt mal haveibeenpwned.com checken und sich überlegen YubiKeys zu kaufen ;)
Yubikeys sind in der Tat echt super. Aber immer mehrere kaufen! Nicht, dass man einen verliert und sich selbst aussperrt.
Was ich gut finde, sind die detaillierte Infos, die sie zeitnah veröffentlichen. Ein angenehmer Kontrast zu Apple’s Vorgehensweise in solchen Fällen.
Die Kunden wurden noch nicht persönlich informiert, der Verlust ist extrem. Wieder viel mehr Spam SMS und Anrufe für Millionen. Was soll immer das einfältige und primitive Apple Bashing, absolut zusammenhangslos. Bei Apple gab es solche Vorfälle nicht.
@Sebastian
Es geht mir nicht um die Vorfälle, die können ohnehin nie identisch sein. Es geht mir darum, dass Apple sich sehr (!) zögerlich und spartanisch über Probleme äußert, oftmals erst nach erheblichen und mehrfachen Druck durch die Öffentlichkeit. Im Übrigen betreibe ich nie Apple-Bashing, da ich seit 3 Jahrzehnten überzeugter Kunde bin, erlaube mir aber auch, vorhandene Schwachstellen zu kritisieren.
Mein Einwand war weder einfältig/primitiv noch zusammenhanglos.
Dann formuliere doch deine Kommentare richtig und spreche nicht von „SOLCHEN FÄLLEN“, in diesem Fall hier wurden Millionen sensible Kundendaten entwendet. Meine Güte…
Ich meine „solche“ Fälle, in denen ein Unternehmen Probleme hat, welche sich auf Kunden negativ auswirken.
Apple stellt sich in diesen Fällen erstmal tot, hier wurde umfangreich kommuniziert.
Werde Dir mal einig, was Du mir eigentlich vorwerfen möchtest: Applebashing oder falsches Formulieren. Oder noch was anderes? Meine Güte …
Hm nicht schön, leider gabs bisher noch keine Info von Authy an mich, weder per Mail noch per sms
Bis heute nicht. Konto gelöscht.
Habe alle 2FA in 1Password migriert und Authy Account gelöscht. Das ist inakzeptabel.
Das erklärt zumindest, warum ich auf meiner bis jetzt „sauberen“ Mobilnummer seit gestern Phishing Nachrichten per WhatsApp und iMessage bekomme :'(
Hier auch…
Ich leider auch :-)
Schadensersatz?!! Wieso müssen solche Firmen nicht Schadensersatz blechen?!!!
Dazu musst Du Schaden in Euro nachweisen können. Bei Telefonnummernklau dürfte das schwer sein.