Seorang peretas mengklaim telah mencuri 33 juta nomor telepon dari raksasa layanan pesan AS Twilio. Perusahaan tersebut mengonfirmasi kepada CyberGuy bahwa pelaku kejahatan siber memperoleh akses ke data yang terkait dengan layanan autentikasi dua faktor Authy.
Memperoleh daftar nomor telepon saja bukanlah serangan siber terbesar, tetapi tetap dapat menimbulkan ancaman bagi pemilik nomor tersebut.
Peretas mungkin menggunakan nomor-nomor ini untuk meluncurkan serangan phishingmengirim pesan teks spam, atau mencoba menukar SIM. Twilio telah memperbaiki aplikasinya untuk menghindari insiden keamanan di masa mendatang dan juga telah memperingatkan pengguna.
DAPATKAN PERINGATAN KEAMANAN, TIPS AHLI – DAFTAR UNTUK NEWSLETTER KURT – LAPORAN CYBERGUY DI SINI
Ilustrasi seorang hacker sedang bekerja (Kurt “CyberGuy” Knutsson)
Apa yang perlu Anda ketahui
Pada tanggal 3 Juli, kelompok peretas yang dikenal sebagai ShinyHunters dilaporkan masuk ke forum peretasan untuk membanggakan pencurian 33 juta nomor ponsel. Twilio mengatakan bahwa insiden tersebut “bukan peretasan atau pelanggaran” melainkan pelaku ancaman yang mengeksploitasi “titik akhir yang tidak diautentikasi.” Secara sederhana, peretas mengeksploitasi bagian tertentu dari sistem Twilio yang tidak memerlukan autentikasi.
Raksasa perpesanan AS mengonfirmasi bahwa peretas berhasil mengidentifikasi data yang terkait dengan Akun Authytermasuk nomor telepon, tetapi tidak menyebutkan berapa banyak akun yang terpengaruh. Perusahaan tersebut menyatakan bahwa tidak ada bukti yang menunjukkan bahwa peretas memperoleh akses ke sistem Twilio atau data sensitif lainnya.
Twilio memberikan pernyataan ini kepada CyberGuy: “Twilio telah mendeteksi bahwa pelaku ancaman dapat mengidentifikasi data yang terkait dengan akun Authy, termasuk nomor telepon, karena titik akhir yang tidak diautentikasi. Kami telah mengambil tindakan untuk mengamankan titik akhir ini dan tidak lagi mengizinkan permintaan yang tidak diautentikasi.
“Kami tidak melihat bukti bahwa pelaku kejahatan siber memperoleh akses ke sistem Twilio atau data sensitif lainnya. Sebagai tindakan pencegahan, kami meminta semua pengguna Authy untuk memperbarui aplikasi Android dan iOS terbaru guna mendapatkan pembaruan keamanan terbaru dan menghimbau semua pengguna Authy untuk tetap tekun dan meningkatkan kewaspadaan terhadap serangan phishing dan smishing.”
DAPATKAN FOX BUSINESS DI MANA SAJA DENGAN MENGKLIK DI SINI
Ilustrasi peretas sedang bekerja (Kurt “CyberGuy” Knutsson)
PENGGUNA ANDROID BERISIKO KARENA TROJAN PERBANKAN MENARGETKAN LEBIH BANYAK APLIKASI
Apa yang perlu dilakukan oleh pengguna yang terkena dampak?
Jika Anda terkena dampak insiden keamanan Twilio, hal pertama yang perlu Anda lakukan adalah mengunduh versi terbaru aplikasi Authy. Twilio telah merilis versi baru aplikasi yang mencakup perbaikan bug dan pembaruan keamanan. Pengguna Android dapat perbarui aplikasi dari Play Storedan pengguna iPhone dapat menuju ke App Store.
Anda juga perlu berhati-hati terhadap serangan phishing. Meskipun akun Authy Anda aman, peretas mungkin menggunakan nomor telepon yang terhubung ke akun Anda untuk mencoba beberapa trik phishing. Ini berarti mereka dapat menghubungi Anda dengan berpura-pura dari Authy atau Twilio untuk mengelabui Anda agar memberikan informasi pribadi.
Ilustrasi seorang hacker (Kurt “CyberGuy” Knutsson)
TROJAN PERBANKAN ANDROID MENYAMAR SEBAGAI GOOGLE PLAY UNTUK MENCURI DATA ANDA
5 langkah yang harus diambil untuk melindungi privasi dan data pribadi Anda
Meskipun peretas dapat menyalahgunakan informasi pribadi Anda dengan berbagai cara, ada beberapa langkah yang dapat Anda ambil untuk mencegah kerugian.
1. Memiliki perangkat lunak antivirus yang kuat: Android memiliki perlindungan malware bawaannya sendiri disebut Play Protect, tetapi tidak cukup untuk menghentikan semua perangkat lunak berbahaya. Secara historis, Play Protect belum 100% aman dalam menghapus semua malware yang diketahui dari ponsel Android. Cara terbaik untuk melindungi diri Anda dari mengeklik tautan berbahaya yang memasang malware yang dapat mengakses informasi pribadi Anda adalah dengan memasang perlindungan antivirus di semua perangkat Anda. Ini juga dapat memberi tahu Anda tentang email phishing atau penipuan ransomware. Dapatkan pilihan saya untuk pemenang perlindungan antivirus terbaik tahun 2024 untuk perangkat Windows, Mac, Android, dan iOS Anda.
2. Gunakan layanan perlindungan pencurian identitas: Perusahaan pencurian identitas dapat memantau informasi pribadi seperti Nomor Jaminan Sosial, nomor telepon, dan alamat email Anda serta memberi tahu Anda jika informasi tersebut dijual di web gelap atau digunakan untuk membuka akun. Mereka juga dapat membantu Anda membekukan rekening bank dan kartu kredit Anda untuk mencegah penggunaan lebih lanjut yang tidak sah oleh penjahat.
KLIK DI SINI UNTUK INFORMASI LEBIH LANJUT DARI AS
Salah satu bagian terbaik dari penggunaan beberapa layanan adalah bahwa mereka mungkin menyertakan asuransi pencurian identitas hingga $1 juta untuk menutupi kerugian dan biaya hukum dan tim resolusi penipuan sarung tangan putih di mana Manajer kasus yang berbasis di AS membantu Anda memulihkan kerugian apa pun. Lihat tips dan pilihan terbaik saya tentang cara melindungi diri Anda dari pencurian identitas.
3. Berinvestasi dalam layanan penghapusan data: Meskipun tidak ada layanan yang menjanjikan untuk menghapus semua data Anda dari internet, memiliki layanan penghapusan sangatlah bagus jika Anda ingin terus memantau dan mengotomatiskan proses penghapusan informasi Anda dari ratusan situs secara terus-menerus dalam jangka waktu yang lebih lama. Hapus data pribadi Anda dari internet dengan pilihan utama saya di sini.
4. Gunakan autentikasi multifaktor: Memungkinkan otentikasi dua faktor pada akun penting Anda untuk menambahkan lapisan keamanan ekstra selain kata sandi. Ini memerlukan langkah kedua, seperti kode yang dikirim ke ponsel Anda, untuk masuk.
5. Gunakan VPN: Pertimbangkan untuk menggunakan VPN guna melindungi diri dari pelacakan dan mengidentifikasi lokasi potensial Anda di situs web yang Anda kunjungi. Banyak situs dapat membaca alamat IP Anda dan, tergantung pada pengaturan privasinya, dapat menampilkan kota asal Anda. VPN akan menyamarkan alamat IP Anda untuk menunjukkan lokasi alternatif. Untuk perangkat lunak VPN terbaik, lihat ulasan ahli saya tentang VPN terbaik untuk menjelajahi web secara pribadi di Perangkat Windows, Mac, Android, dan iOS.
CARA MENGALAHKAN PERETAS KRIMINAL DENGAN MENGUNCI MEREKA DARI AKUN DIGITAL ANDA
Poin penting yang disampaikan Kurt
Authy adalah layanan autentikasi dua faktor yang dipercaya pengguna, tetapi celah keamanan dalam sistemnya mengingatkan pengguna bahwa tidak ada layanan yang sepenuhnya aman. Pembuat layanan tersebut menyatakan bahwa peretas tidak memiliki akses ke akun Authy, yang merupakan hal yang melegakan. Perusahaan harus berinvestasi lebih banyak dalam infrastruktur keamanan untuk memastikan bahwa data sensitif pelanggan mereka tidak mudah dibobol.
KLIK DI SINI UNTUK MENDAPATKAN APLIKASI FOX NEWS
Menurut Anda, bagaimana perusahaan harus meningkatkan langkah-langkah keamanan mereka untuk mencegah insiden seperti insiden keamanan Twilio? Beri tahu kami dengan menulis kepada kami di Cyberguy.com/Kontak.
Untuk tips teknologi dan peringatan keamanan saya yang lebih banyak, berlangganan Newsletter Laporan CyberGuy gratis saya dengan menuju ke Cyberguy.com/Buletin.
Tanyakan pertanyaan kepada Kurt atau beri tahu kami cerita apa yang ingin Anda liput.
Ikuti Kurt di saluran sosialnya:
Jawaban atas pertanyaan CyberGuy yang paling sering ditanyakan:
Hak cipta 2024 CyberGuy.com. Semua hak dilindungi undang-undang.
