▲GN⁺ 2024-07-05 | parent | ★ favorite | on: Twilio, 해커가 3,300만 Authy 사용자 전화번호 데이터 유출한 것을 확인(securityweek.com)Hacker News 의견 내 전화번호가 여러 데이터 유출에 포함되어 스팸이 많아졌음 전통적인 전화 네트워크는 스팸 문제로 인해 팩스처럼 사라질 위험이 있음 가족과의 통화도 FaceTime, Zoom, Meet 등을 사용하고 있음 전통적인 전화 네트워크를 통한 합법적인 통화를 기억하지 못함 이러한 플랫폼들은 시장을 완전히 장악하면 광고를 추가할 가능성이 있음 Gmail이 이메일을 통해 수익을 창출한 사례를 보면 알 수 있음 Authy가 휴대폰 번호와 이메일 주소를 요구하는 것은 불합리함 클라우드 동기화나 백업이 필요하지 않음 사용자 정보를 클라우드에 저장하는 것은 공격 대상이 될 수 있음 이는 2FA의 정신에 맞지 않음 Twilio는 SendGrid와 Twilio 자체의 2FA를 위해 Authy를 요구함 표준화된 2FA를 지원하지 않아 1Password를 사용할 수 없음 Authy를 사용하도록 강요받았지만 여전히 문제가 발생함 Twilio는 사용자에게 맞춤형 솔루션을 강요하지 말아야 함 많은 조직과 기업이 첫 접촉 시 개인 정보를 요구하는 것에 불만을 가짐 의료 서비스 제공 업체도 클라이언트 데이터를 명확한 텍스트 이메일로 전송함 의료 결과를 제공하는 문서의 저작권이 자신들에게 있다고 주장함 사람들은 이러한 서비스에 높은 평점을 주지만, 실제로는 이용 약관을 읽지 않음 사용자 등록 엔드포인트에서 정보 노출 취약점을 발견했음 Authy 사용자의 전화번호를 통해 다른 번호, 기기, 타임스탬프, 이메일 주소 등을 조회할 수 있었음 이 문제를 해결하는 데 2년이 걸렸음 Authy의 iOS 앱을 사용하여 2FA 토큰을 생성하지만 전화번호를 입력한 기억이 없음 iOS 클라이언트 앱 자체의 문제인지, 온라인 계정을 생성한 사용자만 영향을 받는지 확인 중임 Twilio가 인증되지 않은 엔드포인트로 인해 Authy 계정과 관련된 데이터를 식별할 수 있었음 이 엔드포인트를 보안 조치하여 더 이상 인증되지 않은 요청을 허용하지 않음 자신의 앱에서 이러한 문제를 피하려면 모든 요청에 대해 인증을 강제하고, 행 수준 보안을 적용해야 함 테스트 프레임워크를 사용하여 이러한 문제를 감지할 수 있음 Authy의 커스텀 인증 스킴을 사용하지 않는 경우, 지금이 데이터를 내보낼 때임 데스크탑 버전에서만 raw totp 토큰을 내보낼 수 있음 데스크탑 앱에 토큰을 로드한 후, 이전 버전으로 다운그레이드하여 자바스크립트 함수를 실행해야 함 iPhone에서 방해 금지 모드를 설정하면 모든 전화가 음성 사서함으로 전송됨 긴급 연락처, 즐겨찾기, 1by1 포커스에 있는 사람의 반복 전화만 울림 Android에서는 동일한 설정이 작동하지 않음 Google Voice나 Fi로 전화번호를 포팅하면 스팸 전화를 필터링할 수 있음 ente.io/auth를 구축했음 크로스 플랫폼 인증기가 필요하면 확인해볼 것 FOSS, 선택적 e2ee 백업 제공
Hacker News 의견
내 전화번호가 여러 데이터 유출에 포함되어 스팸이 많아졌음
Authy가 휴대폰 번호와 이메일 주소를 요구하는 것은 불합리함
Twilio는 SendGrid와 Twilio 자체의 2FA를 위해 Authy를 요구함
많은 조직과 기업이 첫 접촉 시 개인 정보를 요구하는 것에 불만을 가짐
사용자 등록 엔드포인트에서 정보 노출 취약점을 발견했음
Authy의 iOS 앱을 사용하여 2FA 토큰을 생성하지만 전화번호를 입력한 기억이 없음
Twilio가 인증되지 않은 엔드포인트로 인해 Authy 계정과 관련된 데이터를 식별할 수 있었음
Authy의 커스텀 인증 스킴을 사용하지 않는 경우, 지금이 데이터를 내보낼 때임
iPhone에서 방해 금지 모드를 설정하면 모든 전화가 음성 사서함으로 전송됨
ente.io/auth를 구축했음