Über eine ungesicherte API (Application Programming Interface) hatten Unbekannte Zugang zu Telefonummern.
IMAGO/Zoonar

Der Kommunikationsplattform-Anbieter Twilio hat am Dienstag bestätigt, dass Unbekannte Zugang zu den Telefonnummern aller Authy-Nutzerinnen und -Nutzer hatten. Die in den USA beliebte Zwei-Faktor-Authentifzierungs-App Authy gehört zu Twilio. Dem Unternehmen zufolge wurden abgesehen von Telefonnummern keine sensiblen Daten entwendet. Dennoch warnt das Unternehmen jetzt vor Phishing-Attacken.

"Wir ermutigen alle Authy-Nutzerinnen und -Nutzer, aufmerksam zu bleiben und allen empfangenen Textnachrichten mit Argwohn zu begegnen", schreibt das Unternehmen in einem Statement. Zudem wird darauf hingewiesen, die App-Updates einzuspielen. Die Sicherheitslücke will Twilio bereits geschlossen haben.

Gefahr von Smishing

Nutzerinnen und Nutzer der App könnten nun im Visier von sogenannten Smishing-Attacken stehen. Das Kofferwort aus SMS und Phishing bezeichnet Phishing-Attacken, die über SMS erfolgen. Dabei geben sich Kriminelle als vertrauenswürdige Unternehmen aus. Beliebt sind unter anderem Lieferdienste, die das eigene Paket scheinbar nicht zustellen können. Meistens wird um Kontaktaufnahme gebeten und in weiterer Folge darum, persönliche Informationen bekanntzugeben.

Ebenfalls denkbar wären SIM-Swapping-Angriffe. Dabei handelt es sich um eine Form des Identitätsdiebstahls, wo Angreiferinnen und Angreifer sich beim Mobilfunkbetreiber als Eigentümerin oder Eigentümer ausgeben. In weiterer Folge können sie die SIM-Karte als gestohlen melden, um eine neue SIM-Karte zu erhalten.

Bereits 2022 ähnlicher Angriff

Die Daten des Hacking-Angriffs hat dem Newsportal Bleeping Computer zufolge eine Gruppe namens Shiny Hunter entwendet und publiziert. Der Name ist eine Anspielung auf das Fangen seltener Pokémons in der gleichnamigen Videospiel-Reihe. Die veröffentlichte Liste soll neben der Telefonnummer auch weitere Details enthalten – darunter Informationen über den Account-Status, die Zahl der Geräte oder ob Geräte gesperrt sind.

Phishing war auch 2019 bei Twilio Thema – DER STANDARD berichtete. Damals griff die Hackergruppe Lapsus$ ausgerechnet Angestellte des auf Zwei-Faktor-Authentifizierung spezialisierten Unternehmens per Phishing an. In weiterer Folge sollten Konten von Mitarbeitern von Cloudflare geknackt werden. Das Content-Delivery-Network zählt zu den wichtigsten Internetunternehmen. Der Angriff scheiterte nur, weil Cloudflare Hardwareschlüssel als zusätzlichen Faktor verwendete. Meta verzeichnete 2019 einen ähnlichen Vorfall: Damals wurden über 400 Millionen Telefonnummern von Facebook-Nutzerinnen und -Nutzern veröffentlicht.

Multi-Faktor-Authentifizierung bleibt wichtig

Dabei ist gegen eine Multi-Faktor-Authentifizierung nichts einzuwenden, im Gegenteil: Ein starkes Passwort nützt unter Umständen nichts mehr, wenn es bei Hacking-Angriffen auf Onlineplattformen, wo es verwendet wird, gestohlen wird. Für solche Fälle bieten sich neben dem Passwort zusätzliche Sicherheitsfaktoren an. Die bekanntesten dürften die Authenticator-Apps von Google und Microsoft sein. Die Idee dabei: Bei jedem Login wird neben dem Passwort zusätzlich ein Code der Authenticator-App benötigt, der nur eine gewisse Zeitlang gilt. Um Zugriff auf diesen Einmal-Code zu bekommen, bräuchten Angreiferinnen und Angreifer neben dem Passwort auch Zugriff auf das entsprechende Gerät. (jsa, 5.7.2024)