Twilio nihayet masaüstü uygulaması için kimlikadını öldürdü ve kullanıcıları masaüstü uygulamasından zorla kaydetti.
Ocak ayında Twilio, Windows, MacOS ve Linux için Authy masaüstü uygulamalarının 19 Mart 2024'te yaşamın sonuna ulaşacağını ve nihayetinde Ağustos 2024'te durdurulacağını duyurdu.
Masaüstü uygulamaları Mart ayında çalışmaya devam ederken, açıldığında, programın yaşamın sonuna ulaştığı ve kullanıcıların derhal mobil sürümlere geçmesi gerektiği konusunda bir uyarı gösterdiler.
Bu, yaklaşık on üç gün önce Twilio'nun tüm masaüstü cihazlarını kimlik dışı hesaplarından çıkardığı ve artık telefon numaralarıyla tekrar giriş yapmalarına izin vermediği zaman sona erdi.
Authy'yi masaüstü için kullanmaya devam edenler, tüm uyarılardan sonra bile, daha önce bir mobil cihazla senkronize etmedikçe 2FA hesaplarının gittiğini bulmuşlardır.
Bununla birlikte, masaüstü uygulamalarını mobil sürümlerle senkronize edenler, bazı jetonlarının doğru bir şekilde senkronize olmadığını ve iştirak hesaplarını erişilemez hale getirdiğini keşfettiler.
Haziran ayında, tehdit aktörleri, bir telefon numarasının geçerli bir hesapla ilişkili olup olmadığını doğrulamak için kullanılabilecek teminatsız bir API buldu.
Tehdit aktörleri milyonlarca telefon numarasını API'ya besledi ve daha sonra bir hack forumunda sızan 33 milyon telefon numaralı profil oluşturmalarına izin verdi.
Twilio, API'yı güvence altına alarak ve güncellenmiş bir mobil uygulama sürümünü yayınlayarak hatayı düzeltti. Bazıları, Authy masaüstü kullanıcılarının giriş yapamayacağına inanıyor çünkü masaüstü uygulaması API için yeni düzeltme ile güncellenmedi.
Ancak, Haziran ayında Authy, 3.0 sürümünü yayınladı ve bunun son masaüstü sürümü olacağını belirtti, bu yüzden başka bir tane görmeyeceğiz.
GÜNCELLEME 8/1/24: Twilio, BleepingComputer'a, kullanıcıların burada açıklandığı gibi Authy Masaüstü Uygulamaları için planlanan yaşam sonu planlarının bir parçası olarak oturum açtıklarını söyledi.
Bilgisayar korsanları, milyonlarca Authy MFA telefon numarasını doğrulamak için API'yi istismar etti
Singapur'daki bankalar 3 ay içinde bir kerelik şifreleri aşamalı olarak kaldıracak
Medibank Cyberattack hakkındaki korkutucu rapor, zorlanmamış MFA'yı vurgular
Mevcut tehdit manzarasında gelişen MFA talepleri nasıl karşılaşılır
Kaynak: Bleeping Computer