Twilio: los piratas informáticos también comprometieron a los usuarios de Authy

Twilio ha anunciado que los usuarios de Authy, que confían en la aplicación de autenticación multifactor (MFA) para generar códigos de acceso de un solo uso, se vieron comprometidos durante una violación de datos reciente.

la empresa dijo(Se abre en una nueva ventana) el 7 de agosto que una exitosa campaña de phishing contra sus empleados le dio acceso a un pirata informático a los sistemas internos que luego se usaron para «acceder a ciertos datos de los clientes». Twilio dijo el 10 de agosto que creía que 125 de sus clientes se vieron afectados por la filtración. Ahora ese número ha aumentado a 163 clientes, y eso no incluye a los usuarios de Authy comprometidos.

Twilio dice que su «investigación identificó que los actores maliciosos obtuvieron acceso a las cuentas de 93 usuarios individuales de Authy, de un total de aproximadamente 75 millones de usuarios, y registraron dispositivos adicionales en sus cuentas». También dice que «desde entonces identificó y eliminó dispositivos no autorizados de estas cuentas de Authy» y se comunicó con los usuarios afectados.

La compañía ha aconsejado a esos usuarios que revisen las cuentas vinculadas a Authy en busca de actividad sospechosa, verificando todos los dispositivos conectados a su cuenta de Authy y deshabilitando la configuración «Permitir dispositivos múltiples» dentro de la aplicación. Las primeras dos recomendaciones podrían ayudar a minimizar el impacto de este compromiso; la última recomendación está destinada a reducir el riesgo de futuros incidentes.

Notas de Twilio en un artículo de soporte(Se abre en una nueva ventana) que «Permitir varios dispositivos» está habilitado de forma predeterminada para que los usuarios de Authy puedan mantener el acceso a sus tokens MFA si su dispositivo se pierde, se lo roban o no está disponible. La compañía también destaca la capacidad de crear estas copias de seguridad (o simplemente acceder a tokens en múltiples dispositivos sin repetir un proceso de configuración) en una comparación.(Se abre en una nueva ventana) al Autenticador de Google.

El problema, como demostró esta infracción, es que la sincronización de tokens en varios dispositivos pone en riesgo a los usuarios de Authy, y el enfoque de Twilio para deshabilitar esta función es algo complicado:

Authy deshabilitará automáticamente Multidispositivo cuando detecte que ha agregado una aplicación de Authy a más de un dispositivo. Aún podrá acceder a su cuenta desde todas las instalaciones existentes, pero deberá habilitar manualmente varios dispositivos para agregar otro dispositivo. Una vez que se vuelve a habilitar, Authy recuerda esta opción y no la volverá a deshabilitar. Recomendamos a los usuarios que mantengan la función multidispositivo desactivada cuando no deseen agregar dispositivos adicionales a su cuenta como un paso de seguridad adicional.

Este enfoque podría ser contraproducente de múltiples maneras. Es posible que los usuarios de Authy que nunca configuraron la aplicación en otro dispositivo no se den cuenta de que «Permitir varios dispositivos» está habilitado de manera predeterminada, y es posible que los usuarios que vuelvan a habilitar la configuración tampoco recuerden deshabilitarla más tarde. (Estos desafíos probablemente explican por qué Google Authenticator dificulta la configuración(Se abre en una nueva ventana) múltiples dispositivos tan engorrosos como lo hace).

«La confianza es primordial en Twilio, y reconocemos que la seguridad de nuestros sistemas y redes es una parte importante para ganar y mantener la confianza de nuestros clientes», dice Twilio. «A medida que continuamos con nuestra investigación, nos comunicamos con los clientes afectados para compartir información y ayudarlos en sus propias investigaciones. Actualizaremos este blog con más información a medida que esté disponible».