Tweefactorauthenticatie is wat ons betreft een goede manier om je accounts van een extra laag beveiliging te voorzien. Echter, het blijkt ook gevaren te kunnen opleveren. De apps die worden gebruikt voor de authenticatie kunnen worden gehackt. Zo is nu gebeurd met Twilio.
Lees verder na de advertentie.
Tweefactorauthenticatie
Tweefactorauthenticatie werkt op verschillende manieren. Sommige sites sturen een sms naar je telefoonnummer waarmee je nadat je je wachtwoord hebt ingevoerd nog een code moet gebruiken als een tweede slot. Je kunt er ook een authenticator-app voor gebruiken, die voor een x aantal seconden een code genereren die je kunt invoeren. Google heeft met de Authenticator-app een van de grootste authenticatie-apps ter wereld, maar er zijn meer flinke jongens. Twilio is er een van.
De Twilio Authy Authenticator-app blijkt zodanig te zijn gehackt dat telefoonnummers bekend werden bij hackers. De telefoonnummers van miljoenen mensen. Nu is het geluk dat er verder geen persoonlijke of gevoelige informatie op straat ligt, maar zelfs een telefoonnummer kan al veel macht geven. Telefoonnummers worden vaak gebruikt voor phishing waarmee juist nog meer informatie wordt gestolen.
Twilio
Twilio zegt dat het komt omdat de hacker een oude API-endpoint gebruikte die niet langer beveiligd was (via BleepingComputer). Hierdoor kon de hacker moeiteloos door hele lijsten met Twilio-ID’s en telefoonnummers gaan en dat is toch erg belangrijke informatie. Er zouden wel 33 miljoen accountnamen en telefoonnummers bekend zijn. Wachtwoorden zijn niet gedeeld, maar met een telefoonnummer kunnen kwaadwillenden al veel bewerkstelligen.
Twilio zegt dat het de API nu heeft verwijderd, maar mocht je Authy op je telefoon hebben, dan wordt aangeraden die app direct te updaten. Ook is het verstandig om bedacht te zijn op gedoe met je telefoonnummer, dus houd je accounts in de gaten. Het kan ook nooit kwaad om bijvoorbeeld je ouders of opa en oma te wijzen op phishing en dat er soms wordt gedaan alsof iets bij jou vandaan komt, terwijl dat helemaal niet het geval is. Denk aan zogenaamde urgente noodgevallen waardoor de hacker namens jou om geld vraagt aan mensen. Je kunt daarover altijd beter afspraken maken met je ouders, om ze te laten weten wat je wel doet als het echt is.
Helaas is er verder weinig aan te doen wanneer je telefoonnummer in zo’n lek voorbij komt, behalve rekenen op waarschijnlijk meer spam op je nummer.
Gebruik jij een tweefactorauthenticatie-app? Deel het in de reacties.
Reacties
Inloggen of registreren
om een reactie achter te laten