CVE-2024-39891
CVE-2024-39891
Em resumo
O aplicativo Authy da Twilio tinha uma falha que permitia qualquer pessoa verificar se um número de telefone estava registrado no Authy, sem necessidade de login. Isso exposição quais números usam Authy, embora as contas em si não fossem comprometidas.
Detalhe técnico
Um endpoint de API não autenticado no Authy Android (<25.1.0) e iOS (<26.1.0) permitia que atacantes enumerassem números de telefone registrados enviando requisições com números e recebendo confirmação de status de registro. Essa vulnerabilidade de divulgação de informações (CWE-203) foi explorada ativamente em junho de 2024, possibilitando ataques de enumeração de conta sem autenticação.
Resumo gerado e traduzido por IA a partir da descrição oficial.
In the Twilio Authy API, accessed by Authy Android before 25.1.0 and Authy iOS before 26.1.0, an unauthenticated endpoint provided access to certain phone-number data, as exploited in the wild in June 2024. Specifically, the endpoint accepted a stream of requests containing phone numbers, and responded with information about whether each phone number was registered with Authy. (Authy accounts were not compromised, however.)
CVSS:3.1/AC:L/AV:N/A:N/C:L/I:N/PR:N/S:U/UI:N
Produtos afetados
n/a · n/aQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://cwe.mitre.org/data/definitions/203.htmlhttps://www.bleepingcomputer.com/news/security/hackers-abused-api-to-verify-millions-of-authy-mfa-phone-numbers/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-39891https://www.twilio.com/docs/usage/security/reporting-vulnerabilitieshttps://www.twilio.com/en-us/changelog