ក្រុមហ៊ុន Twilio បានបញ្ជាក់ថា API Endpoint ដែលគ្មានសុវត្ថិភាពបានអនុញ្ញាតឱ្យហេគឃ័រអាចធ្វើការបញ្ជាក់ (Verify) បានទៅលើលេខទូរស័ព្ទរាប់លានរបស់អ្នកប្រើកម្មវិធី Authy MFA បានបណ្តាលឱ្យពួកគេងាយធ្លាក់ចូលក្នុងការឆបោក (Phishing) និងការវាយប្រហារប្តូរស៊ីម (SIM Swapping)។
កម្មវិធី Authy គឺជាកម្មវិធីទូរស័ព្ទ ដែលបង្កើតកូដផ្ទៀងផ្ទាត់ MFA នៅលើវេបសាយដែលមាន MFA អាចដំណើរការបាន (Enabled)។ កាលពីចុងខែមិថុនា ហេគឃ័រឈ្មោះ ShinyHunters បានទម្លាយ CSV Text File ដែលមានផ្ទុកលេខទូរស័ព្ទ ៣៣លាន បានធ្វើការចុះឈ្មោះចូលក្នុងសេវា Authy ។ ឯកសារ CSV មានទិន្នន័យចំនួន ៣៣,៤លានជួរ ហើយជួរនីមួយៗមាន Account ID និងលេខទូរស័ព្ទ “Over_the_Top” Column, Account Status រួមទាំង Device Count។ ឥឡូវនេះក្រុមហ៊ុន Twilio បានបញ្ជាក់ទៅកាន់ BleepingComputer ថាហេគឃ័របានធ្វើការ Compiled ទៅលើបញ្ជីលេខទូរស័ព្ទដោយប្រើប្រាស់ Unauthenticated API Endpoint។ ជាងនេះ Twilio ក៏បានបន្ថែមថា ក្រុមហ៊ុនបានរកឃើញថាក្រុមហេគឃ័រអាចកំណត់ទិន្នន័យជាមួយនឹងគណនី Authy រួមមានលេខទូរស័ព្ទ ដោយអាស្រ័យលើ Unauthenticated Endpoint។ ក្រុមហ៊ុនបានចាត់វិធានការសុវត្ថិភាពលើ Endpoint និងមិនអនុញ្ញាតបន្តទៀតចំពោះ Unauthenticated Requests ទេ។ ក្រុមហ៊ុនក៏មិនបានរកឃើញភស្តុតាងថាហេគឃ័របានលួចចូលប្រព័ន្ធរបស់ Twilio ឬប្រើប្រាស់ទិន្នន័យសម្ងាត់ផ្សេងនោះដែរ។ ដើម្បីសុវត្ថិភាព ក្រុមហ៊ុនកំពុងស្នើទៅកាន់អ្នកប្រើប្រាស់កម្មវិធី Authy ទាំងអស់ឱ្យធ្វើបច្ចុប្បន្នភាពទៅកាន់កម្មវិធី Android និង iOS ជំនាន់ចុងក្រោយ និងលើកទឹកចិត្តឱ្យអ្នកប្រើប្រាស់ Authy ទាំងអស់បង្កើនការយល់ដឹងអំពីការវាយប្រហារបែប Phishing និង Smishing។ កាលពីឆ្នាំ២០២២ ក្រុមហ៊ុន Twilio បានបង្ហាញថាខ្លួនបានរងគ្រោះដោយសារការលួចចូលកាលពីខែមិថុនា និងសីហា ដែលអនុញ្ញាតឱ្យហេគឃ័រលួចហេដ្ឋារចនាសម្ព័ន្ធរបស់ក្រុមហ៊ុន និងចូលប្រើប្រាស់ព័ត៌មានអតិថិជន Authy។
ការកេងចំណេញលើ APIs ដែលគ្មានសុវត្ថិភាព៖ BleepingComputer បានឲ្យដឹងថាទិន្នន័យត្រូវបាន Compiled ដោយការបញ្ចូលបញ្ជីលេខទូរស័ព្ទដ៏ច្រើនទៅក្នុង Unsecured API Endpoint។ ប្រសិនបើលេខទូរស័ព្ទនោះត្រឹមត្រូវ Endpoint នឹងផ្ញើត្រលប់នូវព័ត៌មានអំពីគណនីដែលបានចុះបញ្ជីជាមួយនឹងកម្មវិធី Authy។ បច្ចេកទេសនេះស្រដៀងនឹងរបៀបដែលហេគឃ័រកេងចំណេញលើ Unsecured Twitter API និង Facebook API ដើម្បី Compile Profiles របស់អ្នកប្រើប្រាស់រាប់សិបលាននាក់ ដែលមានផ្ទុកទាំងព័ត៌មានសាធារណៈ និងឯកជន។ ខណៈពេលដែលកម្មវិធី Authy Scrape មានផ្ទុកតែលេខទូរស័ព្ទ វានៅតែគ្រោះថ្នាក់ដល់អ្នកប្រើប្រាស់ចំពោះហេគឃ័រដែលមានបំណងវាយប្រហារបែប Smishing និង SIM Swapping។ ហេគឃ័រ ShinyHunters បានថ្លែងថា អ្នកទាំងអស់គ្នាអាចស្វែងរកលេខទូរស័ព្ទរបស់ខ្លួននៅលើ “Gemini ឬក៏ Nexo db” ដើម្បីស្នើសុំហេគឃ័រផ្ទៀងផ្ទាត់ចំពោះលេខទូរស័ព្ទដែលត្រូវបានបើកចំហនៅលើ Gemini និង Nexo ។ ប្រសិនបើលេខទូរស័ព្ទត្រូវគ្នា ហេគឃ័រអាចនឹងធ្វើការវាយប្រហារបែប SIM Swapping ឬ Phishing ដើម្បីលួចចូលទៅក្នុងគណនីប្រាក់គ្រីបតូ និងលួចប្រាក់ទាំងអស់។ ឥឡូវនេះ ក្រុមហ៊ុន Twilio បានបញ្ចេញបច្ចុប្បន្នភាពសុវត្ថិភាពថ្មី និងណែនាំអ្នកប្រើឱ្យធ្វើបច្ចុប្បន្នភាព (Upgrade) ទៅកាន់កម្មវិធី Authy Android (v25.1.0) និង iOS App (v26.1.0)។ វាមិនច្បាស់ថាតើបច្ចុប្បន្នភាពសុវត្ថិភាពនេះជួយការពារអ្នកប្រើប្រាស់អាចគេចពីហេគឃ័រដែលប្រើ Scraped Data នៅក្នុងការវាយប្រហារដែរឬអត់នោះទេ។
អ្នកប្រើកម្មវិធី Authy គួរតែធានាថាគណនីទូរស័ព្ទរបស់ពួកគេបាន Block Number Transfers ដោយមិនបានផ្តល់នូវ Passcode ឬ Turn Off Security Protections។ ជាងនេះ អ្នកប្រើប្រាស់ Authy គួរតែប្រុងប្រយ័ត្នចំពោះការវាយប្រហារបែប SMS Phishing ដែលគ្រោងនឹងលួចទិន្នន័យសម្ងាត់បន្ថែមទៀត ដូចជាលេខសម្ងាត់ជាដើម។ ក្រៅពីនេះ ក្រុមហ៊ុន Twilio ក៏បានចាប់ផើ្តមផ្ញើការជូនដំណឹងអំពីការរំលោភទៅលើទិន្នន័យ (Data Breach) បន្ទាប់ពី AWS S3 bucket ដែលមិនមានសុវត្ថិភាពរបស់អ្នកលក់ភាគីទីបីត្រូវបានបង្ហាញទិន្នន័យដែលទាក់ទឹងនឹងសារ SMS ត្រូវបានផ្ញើតាមរយៈក្រុមហ៊ុន៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៣ ខែកក្កដា ឆ្នាំ២០២៤