雲端通訊平臺Twilio本週發布安全警告，並更新了Android版與iOS版的Twilio Authy程式。根據TechCrunch的報導，知名駭客集團ShinyHunters宣稱已成功駭入Twilio，並取得3,300萬名Authy用戶的電話號碼。

成立於2008年的Twilio為美國上市公司，為一雲端通訊平臺供應商，讓開發人員能夠將各種通訊功能整合到應用程式中，除了多元的通訊API之外，Twilio亦提供客服平臺Twilio Flex、Twilio IoT與Super SIM物聯網解決方案，以及Authy等多因素身分驗證解決方案。此次出問題的即是Authy。

安裝了Authy之後，使用者可於裝置上生成雙因素身分驗證的權杖，Authy也提供雲端備份服務，支援裝置同步功能，並可離線生成權杖，相容於臉書、Dropbox、Amazon及Gmail等支援多因素身分驗證的數千種應用。

本週Twilio坦承，他們發現駭客可經由一個未經身分驗證的端點，辨識與Authy帳戶有關的資料，包括電話號碼在內。已經採取措施來保護該端點，不再允許未經身分驗證的請求。

此外，Twilio也強調，並未有任何證據表明駭客取得了存取Twilio系統或其它機密資料的權限，但為了預防萬一，要求所有Authy用戶更新至最新的Android與iOS程式。Twilio說，雖然Authy帳戶並未受到危害，但駭客可能會利用所取得的電話號碼，針對Authy用戶展開網釣攻擊，提醒使用者提高警覺。