Twilio kwam eerder dit jaar negatief in het nieuws omdat het besloot de desktop uitvoering van de MFA app Authy nog eerder uit te faseren dan gecommuniceerd. Dat leidde tot veel kritiek en verlies van gebruikers van de gratis dienst.
Twee dagen terug kwam het bedrijf nog eens met vervelend nieuws naar buiten. Men zou gezien hebben dat: “threat actors were able to identify data associated with Authy accounts, including phone numbers, due to an unauthenticated endpoint.”
De MFA apps in kwestie heeft een telefoonnummer nodig om te werken. Wie dat nummer heeft en kan spoofen kan in principe een werkende Authy app klonen. Daarna is het kinderspel toegang tot de MFA codes te krijgen.
App updaten
Wat er is gezien is dus ernstig en het is goed dat Twilio aan de bel trekt. Waarom die melding gepaard gaat met het dringende advies de apps voor Android en Apple zo spoedig mogelijk te updaten is niet helemaal duidelijk.
Deze hack is de tweede van Twilio in evenveel jaren. Na de details van de eerste panne duidelijk waren is er door experts al aangegeven dat migreren naar een andere MFA omgeving dan Authy beter zou zijn. Nu de tweede hack een feit is wordt dat verhaal nog eens herhaald.
Uitleggen
Die adviezen zijn begrijpelijk, want MFA hoort tot meer veiligheid te leiden. MFA is zelfs in steeds meer gevallen verplicht. Als de MFA omgeving lek is, dan neemt die veiligheid niet toe, maar houdt eigenlijk op te bestaan. Probeer als IT dienstverlener maar eens uit te leggen aan klanten die jarenlang vertrouwden op de combinatie van username / wachtwoord dat MFA ook gehacked kan worden maar dat het toch nodig blijft er gebruik van te maken.