V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
t0rp3d0
V2EX  ›  信息安全

3300 万 Authy 用户手机号泄漏

  •  
  •   t0rp3d0 · 132 天前 · 6191 次点击
    这是一个创建于 132 天前的主题,其中的信息可能已经有所发展或是发生改变。

    站里每次讨论 2FA 的相关话题,总会有很多朋友说他自己在用 Authy 。它通过手机号注册,而且可以多终端同步。因为看到站里有多例微软验证器丢失验证信息的案例,我曾经也考虑使用 Authy 作为第二个篮子,但因为拖延症一直没有行动。没想到 Authy 出个这么个事故。

    原因是有一个没有鉴权的 API 接口,攻击者通过这个接口批量验证手机号是否用于注册 Authy 。攻击者最终收集了 33M 个注册了 Authy 的手机号。

    shinyhunters-twilio

    Authy 的公司 Twilio 确认了该事故,并发布了更新。他们同时表示 Twilio 的基础设施和敏感数据没有受到威胁。

    Source

    45 条回复    2024-07-08 11:01:50 +08:00
    linil
        1
    linil  
       132 天前 via Android
    之前 Authy 取消 Desktop 版本後覺得沒什麼優勢了,目前換到了 2FAS 。
    2FA 不和密碼管理的放一起的話,單邊洩漏還是沒那麼可怕。
    lzhd24
        2
    lzhd24  
       132 天前 via Android
    不过话又说回来,手机号就和微信号似的,一种联系方式而已,即便是泄露了,攻击者能拿来干啥呢?批量发短信钓鱼?好像影响也不大吧
    cdlnls
        3
    cdlnls  
       132 天前 via Android
    @lzhd24 看截图上的数据,是有账号 id 的,如果账号 id 是公开的。那么就可以根据这个 id 找到对应的手机号。

    假如 v 站有这个类似的漏洞,攻击的人批量验证手机号/邮箱
    cdlnls
        4
    cdlnls  
       132 天前 via Android
    继续上一条回复。就可能可以得到一个对应关系,就能通过账号 id 查询到这个 id 对应的账号和邮箱。在现在这种环境下,就相当于实名。
    zx900930
        5
    zx900930  
       132 天前   ❤️ 1
    Aegis 长舒一口气,只有本地的不经过服务器的才是安全的
    lhwj1988
        6
    lhwj1988  
       132 天前 via iPhone   ❤️ 9
    一个 2fa 软件需要手机作为账号本身就很离谱,竟然还会有人用
    Dragonphy
        7
    Dragonphy  
       132 天前 via Android
    欢迎使用 ente auth 喵
    linhongjun
        8
    linhongjun  
       132 天前
    还好我用 WINAUTH 本地存储 随身携带
    yumizhao888
        9
    yumizhao888  
       132 天前 via iPhone
    别能绕过手机号直接读验证码就行,要不就是大灾难。
    Rehtt
        10
    Rehtt  
       132 天前 via Android
    我是自建 bitwarden
    RobinHuuu
        11
    RobinHuuu  
       132 天前 via iPhone
    问题不大
    Imindzzz
        12
    Imindzzz  
       132 天前 via Android   ❤️ 4
    @lzhd24 把你手机号微信号回复在这,我就告诉你
    kmephisto
        13
    kmephisto  
       132 天前
    所以还是 keepass 加坚果云。稳稳的。
    ladypxy
        14
    ladypxy  
       132 天前
    手机号泄露影响不大,国内都泄露到天上去了。。。
    jackmod
        15
    jackmod  
       132 天前
    迁移到内网上的自建 bitwarden 已经一年了。
    不过 account_status 这种字段,估计这公司也不那么体面。
    uuhhme
        16
    uuhhme  
       132 天前 via Android
    还是有危险的。手机号做用户名和 2fa 的邮箱一起泄露,精准定位了属于是。还是喜欢 ente auth
    poorcai
        17
    poorcai  
       132 天前 via Android
    有没有可以在换手机后自动同步的 2fa 软件?我目前用的是微软的,换手机后里面的东西就没了。。。
    NICEghost
        18
    NICEghost  
       132 天前
    authy 可以自建的吧...
    poorcai
        19
    poorcai  
       132 天前 via Android
    @uuhhme 你说的这个 App ,是新出的吗?我看 play store 上面才 5k 次下载
    Huelse
        20
    Huelse  
       132 天前
    之前用 Authy 就总感觉不对劲,后换到微软的也差点意思,最后全转到自建 bitwarden 上了
    shijingshijing
        21
    shijingshijing  
       132 天前   ❤️ 1
    @lzhd24 很多用户的多个系统帐号都是关联的同一个手机号码,如果手机号泄漏最直接的是社工库里该手机号对应的用户画像多了一个特征;如果不幸同时泄漏了该用户的密码(没有做哈希,没有加盐),则有可能被彩虹表获取其他网站的用户信息。
    t41372
        22
    t41372  
       132 天前 via Android
    存 totp 的东西就不该联网
    Davic1
        23
    Davic1  
       132 天前
    2fas ,一个优点是浏览器扩展,自动填充验证码
    lisxour
        24
    lisxour  
       132 天前
    @poorcai #17 不存在这种东西,要么自己导入导出,要么登录账号备份上云,你微软的重新登陆你的号应该能同步下来的啊
    Achophiark
        25
    Achophiark  
       132 天前
    这种中心化的数据存储,迟早要出问题。keepass 解君愁
    Achophiark
        26
    Achophiark  
       132 天前
    @kmephisto keepass 虽然数据是加密的,但还是 keepass 加本地,稳一些吧
    hazy
        27
    hazy  
       132 天前 via iPhone
    2fa 这东西就不应该依赖云同步,特别是 Authy 还依赖于手机号,首先就该排除。最好选择可以完全离线的应用,每次录入时顺手额外备份一下 secrets 。
    Nitsuya
        28
    Nitsuya  
       132 天前
    @kmephisto keepass+自建. 才是稳的
    mscsky
        29
    mscsky  
       132 天前
    这种东西联网就是不科学的
    tyzrj766
        30
    tyzrj766  
       132 天前
    恰好前几个月换到 2FAS 了
    JimmyLX
        31
    JimmyLX  
       132 天前
    Authy 国内手机号是不是收不到验证码啊?没法注册啊
    poorcai
        32
    poorcai  
       132 天前 via Android
    @lisxour 楼中说的 aute enth 好像就可以
    username321
        33
    username321  
       132 天前
    现在的谷歌 auth 也可以用谷歌帐号同步 虽然可以减少换设备之后本地 2fa 丢失的危害 不过我觉得还是有风显得
    username321
        34
    username321  
       132 天前
    风险的
    Chiqing
        35
    Chiqing  
       132 天前
    怎么迁移比较方便
    adeweb
        36
    adeweb  
       132 天前
    像 1Password 这种存数据在服务器上的密码管理器,也是有同样的风险。之前 LastPass 不是就被拖库过。
    我现在把重要应用的 2FA 存在 iCloud 的密码管理里面,苹果的安全性保障终归是高一些的。
    cusuanan
        37
    cusuanan  
       132 天前
    @mscsky enpass+onedrive/webdav 这种还好吧,去中心化
    uuhhme
        38
    uuhhme  
       132 天前 via Android
    @poorcai 也有一段时间了,google 方便的话还是推荐谷歌。这个 ente 就是多平台同步方便,可以导出二维码,app 图标也比较全。缺点只发现一个:不是大厂出品。
    YlxhjP0CEnQO54M5
        39
    YlxhjP0CEnQO54M5  
       132 天前
    @lzhd24 诈骗犯欢迎你
    KKFantasy
        40
    KKFantasy  
       131 天前
    蛮早之前就想换来着,借这个契机换掉吧
    v2wp
        41
    v2wp  
       130 天前
    @Huelse 还是加个自建的 2fa 更安全些,单单是用 bitwarden 存储密码还是不安全。
    K2
        42
    K2  
       130 天前 via iPhone
    @KKFantasy Authy 数据如何导出?
    KKFantasy
        43
    KKFantasy  
       130 天前
    @K2 #42 我是 bitwarden 还有一份数据,直接导入了。网上有 authy 导出的教程,我没试过。
    sfdev
        44
    sfdev  
       129 天前
    之前本来想用,但是注册居然要手机号,果断放弃使用。
    hez2010
        45
    hez2010  
       129 天前 via Android   ❤️ 1
    我选择用卡巴斯基的密码管理器 Kaspersky Password Manager 。既然黑客大本营在俄罗斯,那想必俄罗斯起家的老牌安全软件公司应对各种安全威胁应该很熟练。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1802 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 16:44 · PVG 00:44 · LAX 08:44 · JFK 11:44
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.