Authy: autenticazione a due fattori interessata dall'attacco subìto da Twilio?

Una delle più popolari applicazioni per la gestione dell’autenticazione a due fattori si chiama Authy.
Sviluppata e aggiornata da Twilio, società statunitense con sede principale in California, consente di accedere in sicurezza a un ampio numero di siti e servizi.
Installata sul proprio dispositivo mobile, Authy consente di generare un codice OTP da digitare, dopo l’inserimento di nome utente e password corretti, per autenticarsi sui vari servizi online.

Il fatto è che di recente Twilio ha subìto un attacco con il conseguente furto di dati da parte di aggressori sconosciuti. L’azienda riassume l’accaduto in un comunicato ufficiale nel quale si spiega che alcuni dipendenti sono stati vittime di un attacco phishing.

Gli aggressori hanno inviato alcuni messaggi di testo agli attuali ed ex dipendenti Twilio spacciandoli per comunicazioni legittime. Un link, che accompagnava i testi, indirizzava gli utenti verso URL controllati dai criminali informatici: questi hanno raccolto le credenziali utili per accedere da remoto ad alcuni sistemi interni dell’azienda.

L’aspetto più preoccupante è che gli aggressori sono stati in grado di accedere ad alcuni dati degli utenti di Twilio. L’azienda sta ancora indagando sull’attacco e avviserà i clienti che sono stati colpiti. Nel frattempo tutti gli account compromessi sono stati disattivati.

Qual è l’impatto dell’attacco sferrato a Twilio per gli utenti di Authy

Twilio offre e gestisce diversi prodotti e servizi: Authy è certamente uno dei più famosi e utilizzati.
Ad oggi Twilio non ha ancora chiarito se i dati degli utenti di Authy siano stati o meno rubati.

Quale possono essere le conseguenze dell’attacco subìto da Twilio? Innanzitutto diciamo che Authy non utilizza un sistema di login tradizionale basato su username e password. La piattaforma utilizzata per l’autenticazione a due fattori utilizza il numero di telefono di ciascun utente registrato come ID di accesso.

Un aggressore che conoscesse il numero di telefono di uno specifico utente (le pagine bianche dei cellulari esistono e continuano a circolare in rete…) non può però associarlo ai dati dell’account Authy.
Il servizio di Twilio, non utilizzando un sistema basato su password, non conserva le credenziali personali degli utenti sul cloud.

Authy utilizza un PIN di protezione (codice di accesso) che funge da chiave crittografica per proteggere i dati (token dell’account per l’autenticazione a due fattori) sul dispositivo dell’utente.
L’unico soggetto che ha accesso alla chiave crittografica è l’utente stesso: senza questa chiave i dati non sono accessibili a nessuno, nemmeno i gestori di Authy possono ottenere i codici OTP altrui.

Lo stesso approccio è utilizzato da molti password manager basati sul cloud, ad esempio Bitwarden, che si servono della crittografia end-to-end. Anche se un aggressore fosse riuscito a violare Authy, i dati degli utenti dovrebbero essere quindi al sicuro, al netto di errori madornali nell’implementazione del sistema crittografico.

Per gli utenti di Android che preferissero usare un’app open source contraddistinta da un funzionamento completamente offline, Aegis è un’ottima scelta anche perché consente di importare i token da Authy.