Come spesso accade, quando trova il suo fondamento in un server, un servizio può cedere a un attacco hacker, nel caso quest’ultimo sia particolarmente sofisticato. Qualcosa del genere è appena accaduto ai danni del servizio di autenticazione a due fattori (2FA) noto come Authy, realizzato dalla californiana Twilio.
Secondo quanto reso noto dall’azienda, il 4 Agosto scorso alcuni hacker hanno condotto un attacco di phishing che, mediante alcuni messaggi di testo, è stato indirizzato ai suoi dipendenti: nello specifico, i messaggi, compilati in forma quasi impeccabile in modo che risultassero provenire dal reparto IT di Twilio, richiedevano, mediante il link a una falsa pagina di accesso di Twilio, di rigenerare la password degli account ai dipendenti, essendo la stessa scaduta.
A quanto pare, nel tranello è caduto almeno uno dei dipendenti (l’azienda ha assicurato di aver migliorato i piani di formazione interna sulla sicurezza per “garantire che i dipendenti siano in allerta per gli attacchi di ingegneria sociale“), con la conseguenza che i criminali informatici han avuto accesso ai sistemi interni aziendali, anche se, a fronte dei 75 milioni di utenti di Authy, solo 93 sono stati colpiti, all’insegna di un attacco molto mirato che, tra questi partner, ha coinvolto anche LastPass.
Twilio ha assicurato di aver avvertito gli utenti presi di mira e di aver rimosso dai loro account alcuni dispositivi non autorizzati che vi erano stati aggiunti: per evitare problemi similari in futuro, lo staff del servizio di sicurezza Authy ha consigliato una piccola procedura, che dovrebbe impedire “a chiunque non sia in possesso dei tuoi dispositivi connessi di aggiungere altri dispositivi, incluso te“.
In particolare, per ottenere tale risultato basta configurare l’app di Authy su anche due dispositivi di backup (routine sempre utile per recuperare l’accesso al proprio account nel caso si perda o si venga derubati del proprio telefono): a quel punto, recandosi nell’impostazione nota come “Dispositivi“, basterà deselezionare l’opzione “Consenti multi-dispositivo”.