Authy 사용자 데이터 유출, 2차 공격 가능성 경고

트윌리오(Twilio)가 발표한 7월 1일 보안 경고에 따르면, 해커들이 Authy 안드로이드 앱 데이터베이스에 접근하여 '계정과 관련된 데이터, 전화번호를 포함한' 정보를 확인했다.

3일(현지시간) 코인텔레그래프에 따르면, 계정 자체는 '손상되지 않았다'고 게시물에 명시되어 있어, 공격자들이 인증 자격 증명에 접근하지 못했음을 암시한다. 그러나 노출된 전화번호가 '피싱 및 스미싱 공격'에 사용될 수 있기 때문에 트윌리오는 Authy 사용자들에게 '수신하는 문자에 대한 경계를 강화할 것'을 권장했다.

중앙화 거래소 사용자들은 이중 인증(2FA)을 위해 종종 Authy를 사용한다. 이 앱은 사용자의 장치에서 코드를 생성하여, 거래소가 인출, 전송 또는 기타 민감한 작업을 수행하기 전에 이를 요청할 수 있다. 제미니(Gemini)와 크립토닷컴(Crypto.com)은 Authy를 기본 2FA 앱으로 사용하고 있으며, 코인베이스(Coinbase), 바이낸스(Binance) 등 많은 거래소가 선택 옵션으로 제공하고 있다.

Authy는 구글 인증 앱(Google Authenticator)과 비교되기도 하며, 유사한 목적을 가진 경쟁 앱이다.

해커는 '인증되지 않은 엔드포인트'를 통해 접근했다고 게시물에 명시되어 있다. 팀은 이 엔드포인트를 확보했으며, 이제 앱은 인증되지 않은 요청을 더 이상 허용하지 않는다. 트윌리오는 보안 개선이 포함된 최신 버전의 앱으로 업그레이드할 것을 권장했다.

트윌리오는 사용자의 인증 코드가 손상되지 않았다고 주장하여, 공격자들이 거래소 계정에 접근할 수 없을 것이라고 밝혔다. '트윌리오 시스템 또는 기타 민감한 데이터에 접근한 증거는 발견되지 않았다'고 회사는 말했다.

시킹 알파(Seeking Alpha)의 보고서에 따르면, 이 해킹은 사이버 범죄 그룹 샤이니헌터스(ShinyHunters)에 의해 수행되었으며, 'Authy에 등록된 3300만 전화번호가 포함된 텍스트 파일이 유출되었다'고 주장했다. 2021년 사이버 보안 블로그 리스토어프라이버시(Restoreprivacy)는 동일한 범죄 그룹이 5100만 고객의 데이터가 온라인에 유출된 AT&T 데이터 유출 사건의 책임이 있다고 보고한 바 있다.

인증 앱은 SIM 스왑 공격을 방지하기 위해 개발되었다. SIM 스왑 공격은 사용자 전화번호를 공격자의 번호로 전환하도록 전화 회사를 설득하는 사회 공학적 수법이다. 공격자가 사용자의 전화 계정을 장악하면, 물리적으로 사용자의 전화기를 소유하지 않고도 2FA 코드를 받을 수 있다.

이러한 유형의 공격은 여전히 널리 퍼져 있으며, 일부 사용자는 여전히 문자 메시지로 2FA 코드를 받고 있다. 6월 12일 블록체인 보안 회사 슬로우미스트(SlowMist)는 최근 OKX 사용자들이 SIM 스왑 공격으로 인해 수백만 달러를 잃었다고 보고했다.

뉴스 속보를 실시간으로...토큰포스트 텔레그램 가기