Authy: Angreifer könnten eure Telefonnummer erbeutet haben
von caschy | 26 Kommentare
Authy – Lösung für 2FA-Tokens
Authy ist eine Anwendung für Zwei-Faktor-Authentifizierung (2FA) und bietet zusätzliche Sicherheit für Online-Konten. Die App haben wir vor Jahren schon vorgestellt, sie konnte in den Anfängen schon durch Backups und Synchronisation auf mehreren Plattformen überzeugen. Letzte Woche wurde bekannt, dass ein Hacker angeblich über 30 Millionen Telefonnummern von Twilio, dem Unternehmen hinter Authy, erbeuten konnte. Twilio hat mittlerweile auch eine Sicherheitswarnung veröffentlicht, mit dem Hinweis, dass man die aktuelle Version einsetzen solle.
Man habe festgestellt, dass Bedrohungsakteure in der Lage waren, Daten, die mit Authy-Konten verbunden sind, einschließlich Telefonnummern, aufgrund eines nicht authentifizierten Endpunkts zu identifizieren. Obwohl Authy-Konten nicht kompromittiert sind, könnten Angreifer versuchen, die Telefonnummer, die mit Authy-Konten verbunden ist, für Phishing- und Smishing-Angriffe zu verwenden, so das Unternehmen (Smishing ist eine Form des Phishing, bei der Betrüger versuchen, persönliche Informationen oder finanzielle Daten über SMS-Nachrichten zu stehlen. Der Begriff „Smishing“ ist eine Kombination aus „SMS“ (Short Message Service) und „Phishing“.
- SUPERLEICHT. M3GAPOWER. – Das ultraschnelle MacBook Air mit dem M3 Chip ist ein supermobiler Laptop,...
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Kann ich bestätigen. Seit einigen Tagen erhalte ich verschiedene Spam und Fishing-Angriffe.
Bei mir war es unter Anderem auch Telegram über die ich nun dubiose Anfragen bekomme.
Langsam sollte man überlegen einen Anwalt zu beauftragen. Anders scheinen Unternehmen es nicht zu lernen.
Deshalb gilt: weder Passwortsafe noch 2FA bei einem „Cloudanbieter“.
Doch kann man machen – aber halt dann z.B. wie KeePass die Datenbank selbst verwalten. Damit Endpunkt und Datenbank getrennt voneinander sind. Dann ist auch keine Telefonnummer notwendig.
Beides schwierig in der Praxis umzusetzen. Und: personenbezogenen Daten liegen auch bei duztzenden anderen Anbietern, wo man ein Konto hat – die können genauso Leaks haben. Ist mir alles schon passiert….
Deswegen überlasse ich das Passwort Management auch der NSA unter Abteilung namens Google, die die nachrichtendienste kennen sich besser aus mit dem absichern von Servern, no joke! 🙂
Wieso gibt man seine Daten in einer OTP-App ein?! Datensparsamkeit tut immer gut. 😉
Ich verstehe deinen Post nicht. Natürlich muss man sich gut überlegen, wo man einen 2F-Code speichert. Was das aber mit Datensparsamkeit zu tun haben soll, erschließt sich mir nicht
Nutzt du einen extra Hardware-OTP-Generator, damit du den Seed nicht irgendwo speicher musst? Oder rechnest du mit einem Taschenrechner den OTP-Response aus? Oder wolltest du sagen, dass man 2F-Tokens nicht in der Cloud speichern soll?
Keine Ahnung ob du nicht weißt wie das mit OTP funktioniert, aber man muss als OTP App ja nur einen alphanumerischen Code auf dem Endgerät speichern und kann damit dann die 2 Faktor Codes generieren. Da braucht es weder bestimmte Hardware noch eine Cloud für.
Wenn man das dann auf Krampf einbaut macht man Sicherheitslücken auf die gar nicht notwendig wären.
Ich denke ich verstehe wie OTP funktioniert. 😉 Aber wie es schon selbst schreibst: Man muss den Code auf dem Endgerät speichern, um mit einer App den 2F Code zu generieren. Oder wie machst du das ohne App? Und wo speicherst du? Sicher nicht im Download Ordner.
Ich merke gerade: Vielleicht reden wir auch aneinander vorbei. Meinst du, dass jemand seine persönlichen Daten in einer OTP-App eingibt? Auf die Idee bin ich nicht gekommen ….
Die Telefonnummer kann z.B. durch eine Authentifizierungs-SMS gesammelt werden (der Cloud-Account muss ja verifiziert werden). Und außerdem darfst du nicht die Datenübertragung durch App-Frameworks und ähnlichen Krempel vergessen. Authy schreibt im Playstore:
„Diese App kann die folgenden Datentypen erheben
Standort, Personenbezogene Daten und 3 andere“
Damit deine persönlichen Daten bei twilio landen, musst du also nicht direkt in der OTP-App deine Daten eingeben.
Ach deswegen hab ich seit kurzem ganz dubiose SMS und Whatsapp Nachrichten….
Zum Glück schon vor einem guten Jahr zu 2FAS App gewechselt. Das ist übrigens nicht der erste Vorfall bei Authy.
Und du glaubst, dass deine Telefonnummer dort nicht mehr gespeichert war…
Dort muss gar keine angeben – wofür auch?
Ich kenne Authy nicht, aber einige Apps nutzen SMS zur Verifizierung. Damit hast du deine Nummer schon weiter gegeben. Außerdem nutzen einige andere Dienste (erwähnt wird z.B. twitch und pinterest) die Authy API für ihre eigene 2F-Authentifizierung. Eine weitere denkbare Datenquelle.
Ich wäre mir daher nicht sicher, dass deine Telefonnummer nicht bei Authy gelandet ist.
Laut der Meldung auf Heise war es tatsächlich eine Lücke in der API.
Laut Bleepingcoputer war es wohl ein indirekter Angriff. Über eine nicht genügend gesicherte API wurde eine vorhandene Liste von Telefonnummern abgefragt. Wenn die Nummer bei Authy registriert war, hat die API weitere Daten raus gerückt. Diese Daten enthielten wohl nichts wichtiges, aber sie ermöglichten den Angreifern die Gültigkeit der Rufnummer zu bestätigen.
Die Telefonnummern wurden als schon vorher irgendwo abgegriffen, z.B. beim Facebook Hack von 2019 oder anderen Gelegenheiten.
Authy Popup „Maintenance notice The System will undergo maintenance on Saturday at 2 AM“
Von dem Security Problem steht da nix.
Warum sichert man sowas nicht einfach lokal? Ist auch wirklich nicht kompliziert. Versprochen. Dafür gibt es tolle Lösungen wie Keepass + Syncthing zum Beispiel.
Gute Idee die Passwörter und 2 FA Keys in Keepass zu speichern.
Dann mach es getrennt voneinander du Genie. Du hast mich schon verstanden.
War früher bei Authy. Die Mobilfunknummer musste man hinterlegen, damit man dort einen Account erhält, der die Synchronisation über mehrere Geräte hinweg erlaubt. Die Daten waren/sind verschlüsselt, daher war/ist das nicht das Problem (sofern die Verschlüsselung richtig angewandt wurde, nicht wie bei Lastpass). Bin weg von Authy aufgrund von früheren Security Vorfällen bei Twilio. Hoffe mal, dass sie meine Daten sauber gelöscht haben. Bisher noch kein Spam via Mobilfunk oder Telegram. 2FAS oder ENTE Authenticator sind deutlich besser, da sie datensparsamer unterwegs sind. Bei Ente muss man aber eine E-Mail Adresse für die Sync angeben. Kann man aber einen Alias verwenden. 2FAS legt das Backup verschlüsselt in Google Drive oder iCloud ab und synchronisiert sich darüber.
‚Danke, das beantwortet wohl meine Frage darunter.
Frage: Waren Telefonnummern (offenbar unverschlüsselt) dort nur als Teil einer 2FA gespeichert (statt E-Mail-Adresse z. B.), oder muss man sich bei Authy als Kunde mit Telefonnummer registrieren und diese unverschlüsselten Kundendaten wurden dann gehackt?
Mir ist wohler, meine OTP-Seeds nicht einer Firma ohne klar kommuniziertes Geschäftsmodell anzuvertrauen. Authy fand ich schon immer dubios.
Ich nutze für OTP die Open Source App Aegis. Die kann verschlüsselte Backups machen, damit ich die Daten auf ein anderes Gerät übertragen kann. Als zweiten Weg nutze ich die OTP-Möglichkeiten meines Passwort-Managers. Außerdem speichere ich die QR-Seed-Codes als Screenshots in einem Veracrypt-Container, der nur aufgemacht wird, um neue Codes hinzuzufügen. So kann ich bei Bedarf die Seeds auch später auf andere Geräte oder andere Apps übertragen.
Ist das dann eine 2Faktor-Unsicherheit ? 😛
Hatte meine Tokens schon vor einiger Zeit von Authy weg migriert, aber den Account nicht gelöscht. Das habe ich jetzt auch Mal nachgezogen – auch wenn natürlich zu spät.
Also die beta Android App hat KEIN Update erhalten! Letztes Update da war am 05 06.2024