Twilio用户信息泄露事件更新

关键要点

• Twilio的双因素认证应用Authy的用户手机号码在网络攻击中被确认泄露。
• 攻击者通过未认证的端点获取了信息，但Twilio表示其系统并未被破解。
• 用户应立即更新Android和iOS版本的Authy应用，以增强安全性。
• 网络安全专家对事件表示担忧，认为这可能诱发更严重的网络钓鱼攻击。

更新日期：7月10日 下午5:30 ET

根据，数百万使用Twilio双因素认证应用Authy的用户手机号码在一次网络攻击中被确认受到损害。此次攻击由所致，涉及3300万用户的私人信息。

Twilio与SCMedia取得联系并发布声明，强调公司的平台并未被黑客入侵。相反，Twilio承认与Authy账户相关的数据是由于未认证的端点被攻击而泄露，但该端点现已得到保护。

公司在声明中表示：

“Twilio发现攻击者通过未认证的端点识别了与Authy账户相关的数据，包括手机号码。我们已采取行动确保该端点的安全，并不再允许未认证的请求。

我们没有发现证据表明攻击者入侵了Twilio的系统，或获得了对Twilio系统或其他敏感内部数据的访问。为了防范风险，我们要求所有Authy用户更新到最新版本的Android和iOS应用，以获得最新的安全更新，并鼓励所有Authy用户保持警觉，提高对网络钓鱼和短信钓鱼攻击的警惕。”
- Twilio发言人

攻击者能够通过未认证的端点获取Authy客户的手机号码和其他数据，目前该端点已得到保护，但Twilio发言人卡里·拉米雷斯表示，没有迹象表明Twilio的系统或敏感数据遭到进一步的泄露。Authy用户被敦促立即更新Android和iOS上的最新版本应用以防止信息泄露。该事件引发了网络安全专家的担忧，包括SocialProofSecurity首席执行官瑞秋·托巴克（RachelTobac）表示：“如果攻击者能够列出用户的手机号码，那么这些攻击者可以假装是Authy/Twilio，从而增加对该号码进行网络钓鱼攻击的可信度。”

（关于此新闻简报的更新于7月10日澄清了Twilio平台并未被黑客入侵。报道标题已作修改以强调这一事实，并增加了来自Twilio的额外声明。）