云通信提供商 Twilio 已经 透露 不明身份的攻击者利用了 Authy 中一个不需要身份验证的接口，获取了与 Authy 账户相关的数据，包括用户的手机号码。

该公司表示，它已采取措施保护该接口，不再接受未经身份验证的请求。

这一事件发生在一个名为 ShinyHunters 的在线用户在 BreachForums 上发布声称包含 3300 万个电话号码的数据库几天之后，据称这些电话号码是从 Authy 账户中提取的。

自 2015 年以来，Authy 由 Twilio 持有，是一个常用的双因素认证（2FA）应用程序，为账户增加了额外的安全层。

“我们没有发现攻击者获得 Twilio 系统或其他敏感数据的证据，”该公司在 2024 年 7 月 1 日的安全警报中表示。

但为了安全起见，公司建议用户升级其 Android（版本 25.1.0 或更高）和 iOS（版本 26.1.0 或更高）应用程序到最新版本。

它还警告称，攻击者可能会尝试使用与 Authy 账户相关的电话号码开展网络钓鱼（phishing）和短信钓鱼（smishing）攻击。

“我们建议所有 Authy 用户保持警惕，并特别关注他们收到的短信，”该公司指出。