小天管理 发表于 2024年7月4日 发表于 2024年7月4日 站里每次讨论 2FA 的相关话题,总会有很多朋友说他自己在用 Authy 。它通过手机号注册,而且可以多终端同步。因为看到站里有多例微软验证器丢失验证信息的案例,我曾经也考虑使用 Authy 作为第二个篮子,但因为拖延症一直没有行动。没想到 Authy 出个这么个事故。 原因是有一个没有鉴权的 API 接口,攻击者通过这个接口批量验证手机号是否用于注册 Authy 。攻击者最终收集了 33M 个注册了 Authy 的手机号。 Authy 的公司 Twilio 确认了该事故,并发布了更新。他们同时表示 Twilio 的基础设施和敏感数据没有受到威胁。 Source
已推荐帖子