二次验证应用 Authy 证实泄漏了 3300 万用户的手机号码,但未获得系统或其他敏感数据的访问权限

大家的板块 青蛙的应用
1

原始链接在: 二次验证应用 Authy 证实泄漏了 3300 万用户的手机号码,但未获得系统或其他敏感数据的访问权限 - 小众软件

来自 Techcrunch 7月3日的消息,以及 Authy 母公司 Twilio 7月1日发布的消息,著名的二次验证应用 Authy 泄漏了大约 3300 万用户的绑定手机号码,但系统或其他敏感数据的访问权限。@Appinn


Authy 是什么

Authy 是流行的二次验证程序,它可以帮你保存第三方网站的 2FA 信息,并在多个设备上同步这些数据。青小蛙也在使用他们的服务。

2FA 可以让你在登录时输入一组基于时间生成的不可伪造的数字,这样就能确保及时在泄漏用户名、密码的情况下,也不会被登录。

发生了什么

Techcrunch 的消息称「上周,在知名黑客论坛上的一篇帖子中,名为 ShinyHunters 的黑客写道,他们入侵了 Twilio,并获取了 3300 万用户的手机号码。」

Twilio 称「Twilio 检测到,由于端点未经身份验证,威胁行为者能够识别与 Authy 帐户相关的数据,包括电话号码。我们已采取措施保护此端点,不再允许未经身份验证的请求。」

该怎么做?

Twilio 说:我们没有看到任何证据表明威胁行为者获得了 Twilio 系统或其他敏感数据的访问权限。作为预防措施,我们要求所有 Authy 用户更新到最新的 Android 和 iOS 应用程序以获得最新的安全更新。

替代品

如果你需要替代品,可以尝试:

等服务。

青小蛙觉得,仅泄漏手机号码意味着黑客知道这个手机号码注册了 Authy,黑客并无法登录 Authy 从而获取你的 2FA 信息。但可能在未来遇到钓鱼等黑客行为,不要轻信任何宣称自己是 Authy 的邮件、短信。

以及,Authy 已于 2024 年 3 月 19 日不再支持桌面应用程序,包括 Linux、MacOS 和 Windows 的 Authy Desktop 应用程序。

一个「比较好」的消息是国内绝大多数服务都不支持 2FA,所以,对国内用户来说影响不大。

原文:https://www.appinn.com/authy-leak-phone-number-33m-users/

1 Like
2

Authy的短信验证国内也收不到……当时被劝退,现在反而是好事。
推荐其他开源的吧,G家M家都可能因同步搞砸。

3

我觉得这种数据还是不同步的好吧,变化频率也不高。

4

EMP攻击伤害不了原始人 :joy:

5

是的,我的意思就是不要采用这两家的验证器,他们的同步有弄丢数据的事例。
不同步也要想办法做多地备份,单一实例出事直接账号玩完。

6

感谢大佬分享这则重要资讯,知道 Auth 泄露了手机号码,令人感到不安,但庆幸系统和敏感资料没有受到影响,这让我们可以放心使用。还好小弟使用google而现在又可以同步很不错。

7

这种跟密码相关的东西,一直以来只敢使用开源+本地的软件,例如一直在使用中的 keepass 。至于其他的软件,尤其是联网的还是算了吧。没记错的话以前 lastpass 还是 1password 来着了,貌似就有过泄露

1 Like
8

我有用过。。。不过不记得是登录什么帐号了。

9

还好只是手机号码,没有更敏感的数据。

keepass也有相应插件可以使用。

少了句“没有被泄露”。

10

我补充一个免费开源的APP

11

其实这种事情都是不可控的,没有丢过就不知道以后会不会丢,丢过了也不能说之后一定会丢,所以我一般都是两处保存的。

12

青蛙不要再推荐 Microsoft Authenticator 了

13

建议使用(建议导出数据自己备份):

  1. 2fas
  2. Bitwarden
  3. Bitwarden Authenticator

可以使用:

  1. Google Authenticator
  2. 1Password

千万不要使用:

  1. Microsoft Authenticator

微软的 Authenticator 有坑,账户不互通,有很多人使用它丢了账号。site:v2ex.com/t Microsoft Authenticator - Google Search

1 Like
14

三哥主导的微软,各种神经病
Microsoft Authenticator 的操作逻辑就有病
一般换机同步的逻辑是新机登录旧机的账号,通过云恢复账号下的内容
MA 换机同步是新机不能登录,直接在登录界面选下面的小字恢复
那么大一个登录诱导,你一旦登录了再同步,云上就清空了……

15

Bitwarden的iPhone客户端,是不是不支持添加其他网站的2fa验证?

16

一些比较新的keepass系客户端,比如keepassdx、keepassdx。
不过添加方式比较单一,有时候得手动。
至少我加google、github还是挺容易的。

17

Bitwarden需要开会员才能用2fa功能,哪端都有这功能。提前是开会员

18

PC端没啥好用的纯2FA工具,要么付费(Bitwarden、1password)要么就是不知名的浏览器2FA拓展工具要么就是带有免费2FA功能的密码管理器客户端(keepass)。
所以我打算自己开发一个桌面端的自用 :rofl:

19

我就是其中一个,之前最早同步很好用,就一直用着,中间谷歌出了同步也懒得换了。只是验证码而已,就算最坏结果被破解,还用着bitwarden,那他还要同时破解bit的密码,当今世界得什么样的黑客可以同时攻破这俩?至于手机,觉得没啥担心的,国外得到手机号能整出啥幺蛾子,先不说现在反诈对国外的拦截力度,广告诈骗啥的能比国内的凶。。 :joy:

20

其实f2a算法是固定的,完全可以不依赖任何网络服务,不过把密钥保存在服务器上和本地,二者到底哪个更安全,这个问题就见仁见智了。

1 Like