共计 260 个字符,预计需要花费 1 分钟才能阅读完成。
站里每次讨论 2FA 的相关话题,总会有很多朋友说他自己在用
Authy。它通过手机号注册,而且可以多终端同步。因为看到站里有多例微软验证器丢失验证信息的案例,我曾经也考虑使用
Authy 作为第二个篮子,但因为拖延症一直没有行动。没想到 Authy
出个这么个事故。
原因是有一个没有鉴权的 API
接口,攻击者通过这个接口批量验证手机号是否用于注册
Authy。攻击者最终收集了 33M 个注册了 Authy 的手机号。
Authy 的公司 Twilio 确认了该事故,并发布了更新。他们同时表示 Twilio
的基础设施和敏感数据没有受到威胁。
正文完
