메시징 서비스 트윌로(Twilio)가 자사가 소유한 2단계 인증 앱 Authy 사용자 휴대전화 번호가 사이버 범죄자에 의해 도난당했다고 발표했다. 이 발표는 사이버 범죄자가 3,300만 건에 이르는 전화번호를 훔쳤다고 주장한 지 일주일 뒤 이뤄졌다.
범행을 저지른 공격자(ShinyHunters)는 해킹 포럼에 트윌로를 해킹해 사용자 3,300만 명 휴대전화 번호를 입수했다고 게시했다. 트윌로는 처음에는 전화번호 유출을 확인할 수 없다고 발표했지만 이후 발표 페이지를 업데이트해 Authy 계정과 연관된 전화번호를 포함한 데이터가 도난당했음을 인정했다.
트윌로에 따르면 공격자는 인증되지 않은 엔드포인트를 악용해 회사가 소유한 2단계 인증 앱 Authy 사용자 데이터에 접근했다고 한다. 우려되는 점은 사용자 전화번호가 특정됐다는 것으로 트윌로는 이 취약점을 수정하고 인증되지 않은 요청을 차단하는 조치를 취했다.
이번 사건을 계기로 트윌로는 모든 Authy 사용자에게 최신 안드로이드나 iOS 앱으로 업데이트할 것을 요청하고 있다. 또 피싱 공격과 스미싱 공격에 대한 경계를 강화할 것을 촉구하고 있다. 트윌로가 사이버 공격 피해를 입은 것은 이번이 처음이 아니다. 2022년에도 사이버 공격 그룹에 의해 트윌로 기업 고객 100개 이상 데이터에 접근되는 사건이 발생했다.
한 전문가는 공격자가 사용자 전화번호 목록을 열거할 수 있다면 공격자는 사용자에게 Authy나 트윌로인 척할 수 있고 해당 전화번호에 대한 피싱 공격 신빙성을 높일 수 있다며 전화번호가 도난당할 위험성을 경고했다. 관련 내용은 이곳에서 확인할 수 있다.