Twilio, maker van MFA app Authy, wederom gehackt

Twilio kwam eerder dit jaar negatief in het nieuws omdat het besloot de desktop uitvoering van de MFA app Authy nog eerder uit te faseren dan gecommuniceerd. Dat leidde tot veel kritiek en verlies van gebruikers van de gratis dienst. authy-logoTwee dagen terug kwam het bedrijf nog eens met vervelend nieuws naar buiten. Men zou gezien hebben dat: “threat actors were able to identify data associated with Authy accounts, including phone numbers, due to an unauthenticated endpoint.” De MFA apps in kwestie heeft een telefoonnummer nodig om te werken. Wie dat nummer heeft en kan spoofen kan in principe een werkende Authy app klonen. Daarna is het kinderspel toegang tot de MFA codes te krijgen.

App updaten

Wat er is gezien is dus ernstig en het is goed dat Twilio aan de bel trekt. Waarom die melding gepaard gaat met het dringende advies de apps voor Android en Apple zo spoedig mogelijk te updaten is niet helemaal duidelijk. Deze hack is de tweede van Twilio in evenveel jaren. Na de details van de eerste panne duidelijk waren is er door experts al aangegeven dat migreren naar een andere MFA omgeving dan Authy beter zou zijn. Nu de tweede hack een feit is wordt dat verhaal nog eens herhaald.

Uitleggen

Die adviezen zijn begrijpelijk, want MFA hoort tot meer veiligheid te leiden. MFA is zelfs in steeds meer gevallen verplicht.  Als de MFA omgeving lek is, dan neemt die veiligheid niet toe, maar houdt eigenlijk op te bestaan. Probeer als IT dienstverlener maar eens uit te leggen aan klanten die jarenlang vertrouwden op de combinatie van username / wachtwoord dat MFA ook gehacked kan worden maar dat het toch nodig blijft er gebruik van te maken.
Gerelateerde berichten

Vorige week werd bekend dat de oprichter van de Franse telecom- en internetprovider Iliad 16,2 procent van de aandelen van de Vodafone Group heeft gekocht. Dit is meer dan de...

Vijf jaar geleden, midden in de coronaperiode, begon Open Dutch Fiber (ODF) met een klein team in een hotel in Zeist. Inmiddels is het bedrijf uitgegroeid tot de grootste onafhankelijke...

Dinsdagochtend tijdens het versturen van de ITchannelPRO nieuwsbrief kwam het bericht dat de Rechtbank in Rotterdam het verbod op de overname van Solvinity door Kyndryl in stand houdt. Zo kort...

Panik Button is een Nederlands Cyber Resilience (Weerbaarheid) bedrijf dat organisaties helpt wanneer zij worden getroffen door een cyberaanval, zoals een hack, ransomware of een grote IT-storing. Op zo’n moment...

De afgelopen dagen is in de nationale en internationale pers veel aandacht besteed aan gehackte IP-camera’s in Nederland. Het gaat om een grootschalige Russische spionageactie waarvoor een berucht zwakke schakel...

Laatste nieuws
Personalia
Magazine
Evenementen
sep
02
17:00 - 21:30 - La Cantina, Scheveningen
17:00 - 21:30 | La Cantina, Scheveningen
sep
04
09:00 - 17:00 - Online
09:00 - 17:00 | Online
sep
09
13:00 - 21:00 - Mereveld
13:00 - 21:00 | Mereveld
Vacatures
Q data solutions
Den Bosch
TP-Link
Nieuwegein
TP-Link
Nieuwegein