这款身份验证器泄露3,342万名用户手机号

日前在地下黑客论坛中有黑客发布包含 3,342 万行数据的 CSV 文件，该文件每行包括账户 ID、电话号码、账户状态、设备数量等数据，数据来源则是知名多因素身份验证器 Authy。

Authy 是个非常知名的多因素认证工具，在谷歌身份验证器时代，当谷歌不支持数据同步时，Authy 支持数据同步，因此用户可以在多台设备上显示验证码并且不用担心设备丢失导致验证码也丢失。

以前不慎删除验证器 App 或者手机丢失想要找回网站的登录信息非常麻烦，通常情况下必须联系人工客服处理，整个流程也可能需要几天才能完成。

因为支持同步所以 Authy 获得了大量用户，包括蓝点网曾经都是 Authy 忠实的用户，蓝点网使用 Authy 超过五年，直到后来换成密码管理器类产品。

回到此次数据泄露问题上，Authy 开发商 Twilio 已经证实相关数据确实是真的，倒不是黑客成功入侵了 Authy，而是该公司有 API 接口没有进行严格的身份验证被黑客利用。

此次 Authy 遇到的问题其实和此前新浪微博遇到的数据泄露相同，黑客通过批量生成电话号码交给 API 进行匹配，这些 API 如果检测到号码有效则会返回正确信息。

2020 年新浪微博因为类似的错误泄露大量用户手机号码，新浪微博的问题是手机号码匹配好友功能，黑客只需要生成大量手机号再通过新浪微博联系人匹配即可准确找到每个微博用户对应的真实手机号码。

事后微博官方确认并非遭到拖库，而是灰产非法窃取手机号后(蓝点网注：并非窃取而是生成手机号)，又非法调用了微博数据。不过是否是微博渠道泄露的已经不重要了，因为微博方面的安全措施不到位，导致大量数据泄露。

由于 Authy API 接口没有进行严格的身份验证，导致黑客可以生成海量手机号进行匹配，正常情况下 API 接口肯定要进行验证才能返回正确数据，所以说 Authy 遇到的问题与 2020 年新浪微博的几乎是相同的。