iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 845 Artikel

Sicherheitsvorfall bei 2-Faktor-App

Authy: Millionen Handynummern ergaunert, Update verfügbar

Artikel auf Mastodon teilen.
44 Kommentare 44

Der Softwareanbieter Twilio hat seine iOS-Anwendung Authy zur Zwei-Faktor-Authentifizierung aktualisiert, nachdem es Berichten zufolge zu einem Hack gekommen sein soll, bei dem über 30 Millionen Handynummern gestohlen wurden.

Authy ist eine der bekanntesten Zwei-Faktor-Applikationen, die zeitbasierte Zugangscodes für Webseiten und Online-Dienste generiert. Wie berichtet, hatte die App erst kürzlich den Support für ihre Mac-Desktop-Anwendung eingestellt und sich ausschließlich auf die mobilen Ausgaben für iPhone und Android konzentriert.

„Security Alert“ im Hausblog

Mit einem sogenannten „Security Alert“ hat Twilio mittlerweile auch im Hausblog bestätigt, dass es zu einem Hack gekommen ist. Ohne genaue Angaben zur Anzahl der betroffenen Personen zu machen, erklärt Twilio, dass der Angriff auf Telefonnummern beschränkt gewesen sei.

Zwar macht Twilio keine Angaben zur genauen Anzahl der betroffenen Anwender, in einschlägigen Foren ist jedoch die Rede von 33 Millionen Handynummern, die beim Twilio-Hack abhanden gekommen sein sollen.

Authy Iphone

Nach Angaben des Unternehmens gibt es keine Hinweise darauf, dass die Angreifer Zugang zu Twilios Systemen oder anderen sensiblen Daten erlangt hätten, auch die Authy-Konten selbst seien nicht kompromittiert worden. Twilio warnt jedoch, dass die Angreifer versuchen könnten, die mit Authy-Konten verknüpften Telefonnummern für Phishing-Angriffe zu nutzen. Authy-Bestandskunden sind dazu aufgerufen, eingehende Textnachrichten sorgfältig zu prüfen.

Der Hack sei über eine bislang nicht abgesicherte Schnittstelle erfolgt, die Twilio mittlerweile gesperrt habe. Nutzer sind dazu aufgerufen, auf die neueste Version der iPhone-Anwendung zu aktualisieren. Anwender, die nicht auf ihr Authy-Konto zugreifen können, sollten sich umgehend an das Support-Team von Twilio wenden.

Laden im App Store
‎Twilio Authy
‎Twilio Authy
Entwickler: Authy Inc.
Preis: Kostenlos
Laden

05. Jul 2024 um 06:50 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    44 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Zum Glück habe ich kürzlich alle Daten und meinen Account bei Authy gelöscht…

    Antworten moderated
    • Was genau beweist Dir, dass Deine Daten wirklich gelöscht wurden?

    • Also sind sie bei dir nicht sichtbar, aber in einer DB garantiert noch vorhanden ;)

      • Naja, sie behaupten in der Bestätigungsmail (08/2023) „This is a reminder that your Authy account will be permanently deleted in 29 days. You will continue to have limited access to your Authy apps across your devices – as they wiil be in a „suspended state“ for 30 days until your account is permanently deleted.“
        „Permanently deleted“ heisst nicht, dass er unsichtbar für mich ist und gleichzeitig noch in deren DB vorhanden ist.
        Aber ja, „Papier ist geduldig“. Und ich bin mir auch sicher, dass mein Konto nur auf inaktiv/unsichtbar gesetzt wurde und die noch alle Daten haben …

  • Wofür war denn die Handynummer? Das generieren der Codes geht doch offline.

    Antworten moderated
  • Ganz schlecht :( Authy
    Deswegen kamen vielleicht Spam Nachrichten bei Telegram

  • Sehr unschön. Habe zwar meinen langjährigen Account vor zwei oder drei Monaten gelöscht, aber meine Nummer ist bestimmt trotzdem dabei. Ärgerlich! Vielleicht kann man das bald via Have I Been Pwned und Konsorten überprüfen.

  • Apple Keychain (unter iOS 18: Passwords) und gut ist. Keine Kosten, keine Probleme, integriert.

    • Wenn dir aktuell Keychain vorgaukelt 2FA zu unterstützen, würde ich an deiner Stelle schauen, ob du da wirklich Keychain nutzt. Ändert sich erst mit iOS 18.

      • OTPs kann der Schlüsselbund auch schon mit iOS 17 und früher verwalten bzw. generieren

      • Genau iOS 17 kann das bereits und akzeptiert auch Fremdverwaltung durch geeignete Apps
        Einstellungen -> Passwörter -> Passwortoptionen -> Codes konfigurieren in

      • Danke für die genaue Angabe. Wieder etwas gelernt

  • Sehr vertrauenswürdig, wenn man die eigenen Daten nicht schützen kann.
    Das sollte für so ein Unternehmen der Todesstoß sein.

  • Der, der mit der Kuh tanzt

    Von denen war ich noch nie begeistert, hat sich nun bewahrheitet. Danke für den Bericht.

  • Ja und? Wo ist jetzt das Problem? Eine Software hat „Fehler“?!? What a surprise.
    Und die Handynummern sind jetzt warum und für wen ein Problem?

    Antworten moderated
    • Hm, 2-Faktor wird als der heilige Gral der Sicherheit nahezu überall eingeführt. Da sollten die Anbieter schon besonderen Wert auf ihre Sicherheitsstruktur legen.
      Kenne mich zu wenig aus, um den möglichen Exploit per se darzulegen.
      Aber Datenabgriff ist grundsätzlich schon mal nicht so geil. Wenn mein Papa Phishing auf sein Handy bekommt, ist er zumindest verunsichert. Inzwischen fragt er mich bevor er was klickt.

  • Wer eine komplett lokale 2FA-App möchte (Achtung: Backup dann nicht vergessen): OTP Auth von Roland Moers oder den Bitwarden Authenticator nehmen. Ersterer ist ein Urgestein, letzterer ist eine App von Bitwarden, aber ohne Konten oder sonstigen Bezug zu deren Haupt-App.

    • Constantin Opel

      Bei OTP Auth bin ich voll bei Dir, bei Bitwarden nicht, obwohl ich mit deren PW-Manager. Ollauf zufrieden bin. Die Auth-App von Bitwarden hat wenige und dazu relativ schlechte Bewertungen.

      • Constantin Opel

        Sollte „vollauf“ heißen.

      • Also bei mir funktioniert der Bitwarden Authenticator einwandfrei, auch mit 8-stelligen TOTP und anderen Hashmethoden als SHA-1. Habs seit dem Release im Einsatz. Bewertungen seh ich nicht, hab keinen deutschen Apple Store-Account. In meiner Region nutzen den wohl nicht genug Menschen.

        Also so sehr ich OTP Auth von Roland Moers auch mag, eine gleichwertige Alternative zu haben, die nicht nur von einer Einzelperson kommt, finde ich gut. Stichwort „bus factor“.

    • Nutze auch OTP Auth … kann man, wenn man will auch per iCloud syncen, es gibt eine Mac-App und das Schlüsselbund akzeptiert sie als OTP Code Konfigurator

      Antworten moderated
  • Typisch Security-Firma, viel Theater – wenig Sicherheit.

  • Ich empfehle Ente authenticator samt zugehörigem Foto Speicher.

    Antworten moderated
  • Betreffene sollten direkt mal haveibeenpwned.com checken und sich überlegen YubiKeys zu kaufen ;)

  • Was ich gut finde, sind die detaillierte Infos, die sie zeitnah veröffentlichen. Ein angenehmer Kontrast zu Apple’s Vorgehensweise in solchen Fällen.

    • Die Kunden wurden noch nicht persönlich informiert, der Verlust ist extrem. Wieder viel mehr Spam SMS und Anrufe für Millionen. Was soll immer das einfältige und primitive Apple Bashing, absolut zusammenhangslos. Bei Apple gab es solche Vorfälle nicht.

      • @Sebastian
        Es geht mir nicht um die Vorfälle, die können ohnehin nie identisch sein. Es geht mir darum, dass Apple sich sehr (!) zögerlich und spartanisch über Probleme äußert, oftmals erst nach erheblichen und mehrfachen Druck durch die Öffentlichkeit. Im Übrigen betreibe ich nie Apple-Bashing, da ich seit 3 Jahrzehnten überzeugter Kunde bin, erlaube mir aber auch, vorhandene Schwachstellen zu kritisieren.
        Mein Einwand war weder einfältig/primitiv noch zusammenhanglos.

      • Dann formuliere doch deine Kommentare richtig und spreche nicht von „SOLCHEN FÄLLEN“, in diesem Fall hier wurden Millionen sensible Kundendaten entwendet. Meine Güte…

      • Ich meine „solche“ Fälle, in denen ein Unternehmen Probleme hat, welche sich auf Kunden negativ auswirken.
        Apple stellt sich in diesen Fällen erstmal tot, hier wurde umfangreich kommuniziert.

        Werde Dir mal einig, was Du mir eigentlich vorwerfen möchtest: Applebashing oder falsches Formulieren. Oder noch was anderes? Meine Güte …

  • Hm nicht schön, leider gabs bisher noch keine Info von Authy an mich, weder per Mail noch per sms

  • Habe alle 2FA in 1Password migriert und Authy Account gelöscht. Das ist inakzeptabel.

  • Das erklärt zumindest, warum ich auf meiner bis jetzt „sauberen“ Mobilnummer seit gestern Phishing Nachrichten per WhatsApp und iMessage bekomme :'(

  • Schadensersatz?!! Wieso müssen solche Firmen nicht Schadensersatz blechen?!!!

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38845 Artikel in den vergangenen 6323 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven