• 發布單位:TWCERT/CC
• 更新日期:2022-09-02
• 點閱次數:191

使用者眾多，功能與 Google Authenticator 相似的二階段驗證碼產生器 Authy，經證實在本（2022）年 8 月初 Twilio 遭到駭侵攻擊時，有部分帳號資訊遭到駭侵者竊走；因此駭侵者將可取得這些用戶在各種網路服務在使用時須輸入的二階段驗證碼。

Authy 是由 Twilio 公司於 2015 年併購的服務，主要服務是一種簡單好用的二階段驗證碼產生器，由於可以方便地跨平台同步用戶須產生驗證碼的服務帳號，不必逐一輸入或掃瞄二維條碼，因此相當受到歡迎。

Twilio 最近開始針對該公司在 8 月初遭到的駭侵攻擊事件進行調查，調查證實共有 93 名 Authy 用戶的帳號遭到駭侵者不當存取；這也表示駭侵者將可取得這些用戶在登入各種服務時使用的二階段驗證碼，這樣即可輕易竊取這些服務的帳號控制權。

Twilio 表示為了減低影響層面，該公司立即撤銷了未授權裝置上的 Authy 驗證相關資訊，並與受影響的使用者聯絡，建議採取以下策略：

• 檢查利用 Authy 產生驗證碼的帳號與服務，是否出現不正常的存取或使用情形。
• 移除任何未經授權裝置的 Authy 連結，阻止其使用 Authy 產生驗證碼。
• 設定一台備份裝置，然後暫時停用 Authy 的跨裝置使用功能。

雖然此次受影響的 Authy 使用者人數相對較少，但類似攻擊事件仍有可能再次發生；為避免自己的二階段驗證碼遭駭侵者取得，用戶可依上列建議策略操作，隨時注意保護自己的二階段驗證碼不會外洩。