Postar

Bluesky, Mastodon, Telegram e RSS

[en] Authy: Twilio confirma vazamento de dados de 33 milhões de usuários traduzir securityweek.com

8 votos · Rodrigo Ghedin · 4/7/24, 9h03

Alerta para quem usa o Authy como TOTP. Segundo a Twilio, dona do aplicativo, gente não autorizada teve acesso a dados de 33 milhões de usuários.

Dados sensíveis não foram comprometidos, mas conseguiram os números de telefone dos usuários. Por isso, a Twilio pede atenção redobrada dos usuários a tentativas de phishing e outros golpes via mensagens ou ligações telefônicas. Além de, claro, que atualizem o aplicativo (Android e iOS).

21 comentários

21 comentários

  1. Adorei essa parte: “Dados sensíveis não foram comprometidos, mas conseguiram os números de telefone dos usuários”
    Acho super bacana que possam classificar o número de celular do cliente como dado não sensível.
    Fantástico para uma empresa de segurança! Foi tipo a Próton alegando que não era culpa dela um usuário ter usado o email pessoal da Apple como email de segurança e que foi repassado às autoridades francesas. Só não disseram que eles obrigam o cliente a cadastrar um email e não salientam que essa informação pode ser entregue a autoridades para rastreá-lo.

    1. Isso é bastante subjetivo, na real. No Brasil, pela LGPD o número de telefone não é considerado dado pessoal sensível, por exemplo:

      Art. 5º Para os fins desta Lei, considera-se:

      I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

      II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

      1. Bom dia, Ghedin.
        Pois é, depois de postar, também fui pesquisar a LGPD. Fiquei surpreso com a Lei, mas entendi o motivo de ordem operacional.
        Caso haja um vazamento de dados no Manual, prefiro que vaze minha etnia e religião do que meu celular, email ou nome, tudo bem? Rsrs
        Ótimo domingo!

  2. Aproveitando o gancho, algum app do tipo que tenha versão portátil para PC?

    A grande vantagem do Authy para mim era o app desktop. Eu mantinha uma cópia “offline” dos dados do app no HD externo, que poderia ser acessada sempre que eu precisasse ao instalar o app num computador e restaurar a pasta no devido lugar. Essa opção caiu por terra quando descontinuaram o app desktop um tempo atrás.

    Minha primeira opção seria o Authenticator da Microsoft, que uso com a minha conta MS (passwordless), mas ele também é exclusivo dos celulares. Na falta de opção devo migrar as chaves pra ele, nem que seja só pra me livrar do Authy

    Eu tenho o Enpass naquela oferta de ~R$ 16/ano, mas a versão portátil não é atualizada desde 2021 (!). Inclusive foi o que me impediu de concentrar as 2FA’s nele até hoje, mesmo sendo o principal incentivo pra eu pagar além do meu Pro vitalício.

    Eu só queria um backup “offline” nos moldes do que eu tinha com o Authy.

    1. O ente Auth permite que você acesse as chaves através do site https://auth.ente.io/login (necessário ter o aplicativo configurado primeiro).

      Bom, não é offline e nem portátil, mas como pra acessar qualquer conta é necessário estar online, creio que serve.

  3. Alguém usa o 2FAS? Vi que ele é free e open source, tem app para iOS e Android, além de extensão para os principais navegadores.

    https://2fas.com/

    1. Eu usava até semana passada. Nada a reclamar a não ser da opção de preencher o código pela extensão do navegador, que não funcionava direito comigo. Troquei pro senhas do iCloud porque compartilho alguns códigos (e senhas) com outra pessoa e o preenchimento automático é menos trabalhoso.

  4. Ainda bem que migrei tudo pro iCloud, mas infelizmente não cheguei a deletar minha conta, com certeza meu número está no meio dos vazamentos.
    Com o aplicativo “Senhas” chegando nas próximas versões dos sistemas da maçã não vejo mais motivos para as pessoas ainda utilizarem apps de terceiro para isso. A Apple com certeza tem maior segurança para não vazar seus dados do que qualquer outro app focado em só armazenar senha.

    1. Existe meio de importar os cofres para o iCloud de uma vez só?

      1. Se o Authy exportar as “assinaturas” dos códigos TOTP, sim.

        Tanto o iCloud quanto o KeePassXC fazem isso, daí fica bem fácil importar/exportar entre eles. (Fiz recentemente, nos dois sentidos.)

        1. Ghedin, sabe se além dos TOTP, o o iCloud importa arquivos de senhas? Tipo .json.

  5. Eu gostava muito desse app. Vocês estão usando qual?

    1. Bitwarden na versão paga. E para o Bitwarden, uso o Ente Auth.
      Quando a assinatura expirar, pretendo ficar somente no Ente Auth. Por ter versão web, ele me parece a forma mais segura de separar gerenciador e autenticador, pois não preciso manter o app instalado, logando apenas para o uso. Acaba sendo uma das poucas senhas a serem memorizadas.

  7. Ainda bem que eu saí dessa bomba. Pra mim acabou quando mataram os apps para desktop.

    1. O mesmo pra mim, saí quando descontinuaram o aplicativo pra desktop. Pior que foi um parto pra migrar, eles não facilitam a exportação dos dados de jeito nenhum.

      1. Nossa sim, foi trabalhoso migrar tudo na mão. Tinha alguns Scripts que faziam isso, mas era muita gambiarra e nada confiável.