Twilio Authy Information Disclosure Vulnerability — Twilio Authy contains an information disclosure vulnerability in its API that allows an unauthenticated endpoint to accept a request containing a phone number and respond with information about whether the phone number was registered with Authy.
Twilio Authy API contains an unauthenticated endpoint that discloses whether a phone number is registered with Authy, enabling user enumeration attacks. This information disclosure vulnerability allows attackers to identify valid Authy users without authentication.
تحتوي واجهة برمجة تطبيقات Twilio Authy على نقطة نهاية غير محمية تقبل أرقام الهاتف وتكشف عما إذا كانت مسجلة في النظام. يمكن للمهاجمين استخدام هذه الثغرة لتعداد المستخدمين الصحيحين بشكل منهجي. هذا يسهل هجمات التصيد الاحتيالي والهندسة الاجتماعية الموجهة.
تحتوي واجهة برمجة تطبيقات Twilio Authy على نقطة نهاية غير مصرحة تكشف ما إذا كان رقم الهاتف مسجلاً في Authy، مما يسمح بهجمات تعداد المستخدمين. تسمح هذه الثغرة بكشف المعلومات للمهاجمين بتحديد مستخدمي Authy الصحيحين دون مصادقة.
Update Twilio Authy SDK and libraries to the latest patched version immediately. Implement authentication requirements on all API endpoints. Monitor API logs for suspicious enumeration patterns. Consider implementing rate limiting on phone number lookup requests.
قم بتحديث مكتبات Twilio Authy إلى أحدث إصدار مصحح فوراً. طبق متطلبات المصادقة على جميع نقاط نهاية API. راقب سجلات API للأنماط المريبة. فكر في تطبيق تحديد معدل الطلبات على طلبات البحث عن رقم الهاتف.