CVE-2024-39891
CVE-2024-39891
En resumen
La aplicación Authy de Twilio tenía una falla de seguridad que permitía a cualquiera verificar si un número de teléfono estaba registrado en Authy, sin necesidad de iniciar sesión. Esto expuso qué números usan Authy, aunque las cuentas en sí no fueron comprometidas.
Detalle técnico
Un endpoint de API no autenticado en Authy Android (<25.1.0) e iOS (<26.1.0) permitía a atacantes enumerar números de teléfono registrados enviando solicitudes con números y recibiendo confirmación del estado de registro. Esta vulnerabilidad de divulgación de información (CWE-203) fue explotada activamente en junio de 2024, permitiendo ataques de enumeración de cuentas sin requerir autenticación.
Resumen generado y traducido por IA a partir de la descripción oficial.
In the Twilio Authy API, accessed by Authy Android before 25.1.0 and Authy iOS before 26.1.0, an unauthenticated endpoint provided access to certain phone-number data, as exploited in the wild in June 2024. Specifically, the endpoint accepted a stream of requests containing phone numbers, and responded with information about whether each phone number was registered with Authy. (Authy accounts were not compromised, however.)
CVSS:3.1/AC:L/AV:N/A:N/C:L/I:N/PR:N/S:U/UI:N
Productos afectados
n/a · n/a¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://cwe.mitre.org/data/definitions/203.htmlhttps://www.bleepingcomputer.com/news/security/hackers-abused-api-to-verify-millions-of-authy-mfa-phone-numbers/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-39891https://www.twilio.com/docs/usage/security/reporting-vulnerabilitieshttps://www.twilio.com/en-us/changelog