Authy

Die Schwachstelle betrifft die API von Twilio Authy, einer App zur Zwei-Faktor-Authentifizierung, die von den Authy-Apps für Android und iOS genutzt wird. Ein bestimmter Schnittstellenpunkt der API war ohne Anmeldung erreichbar: Er nahm Anfragen mit Telefonnummern entgegen und gab zu jeder Nummer zurück, ob sie bei Authy registriert ist. Da der Endpunkt keinerlei Authentifizierung verlangte, konnte ein Angreifer ihn fortlaufend mit großen Mengen von Telefonnummern beschicken und so abgleichen, welche davon zu einem Authy-Konto gehören. Auf diese Weise lassen sich Listen bestätigter, mit Authy verknüpfter Rufnummern zusammenstellen – wertvolle Vorarbeit für gezielte Phishing- oder SIM-Swapping-Angriffe gegen die betroffenen Nutzer. Die Authy-Konten selbst wurden dabei nicht kompromittiert; preisgegeben wurde allein die Information, ob eine Nummer registriert ist. Der Fehler wurde nachweislich aktiv ausgenutzt.