Hackers roban 33 millones de números de teléfono en Twilio

Hackers roban 33 millones de números de teléfono de usuarios de Twilio

La semana pasada, un hacker afirmó haber robado 33 millones de números de teléfono de Twilio, el gigante estadounidense de mensajería. En un foro de piratería conocido, el hacker o hackers conocidos como ShinyHunters escribieron que hackearon Twilio y obtuvieron los números de teléfono celular de 33 millones de usuarios.

Un portavoz de Twilio, Kari Ramirez, confirmó que los "actores de amenazas" pudieron identificar los datos asociados con las cuentas de Authy, incluidos los números de teléfono, debido a un punto final no autenticado. Se han tomado medidas para asegurar este punto final y ya no se permiten solicitudes no autenticadas.

Posible peligro para los usuarios de Authy

Aunque obtener una lista de números de teléfono por sí sola no parezca ser una de las violaciones de datos más peligrosas, aún podría representar una amenaza para los propietarios de esos números. Según Rachel Tobac, experta en ingeniería social y CEO de SocialProof Security, si los atacantes pueden enumerar una lista de números de teléfono de usuarios, pueden hacerse pasar por Authy/Twilio ante esos usuarios, aumentando la credibilidad en un ataque de phishing a ese número de teléfono.

Tobac explicó que ahora los hackers pueden dirigirse específicamente a las personas que saben que son usuarios de Authy, lo que les da la oportunidad de hacer que sus mensajes maliciosos parezcan realmente provenir de Authy y Twilio.

Antecedente de brecha de datos en Twilio

En 2022, Twilio sufrió una brecha de datos más grande, cuando un grupo de hackers accedió a los datos de más de 100 clientes de la empresa. Armados con esa información, los hackers lanzaron una amplia campaña de phishing que resultó en el robo de alrededor de 10.000 credenciales de empleados de al menos 130 empresas. Como parte de esa brecha en ese momento, Twilio dijo que los hackers apuntaron con éxito a 93 usuarios individuales de Authy y pudieron registrar dispositivos adicionales en las cuentas de Authy de esas víctimas, lo que les permitió robar efectivamente códigos reales de dos factores.