Zusammenfassung
- Der Fall der Offenlegung von Authy-Telefonnummern ist wichtig, weil eine Authentifizierungs-App zu einem Zielverzeichnis werden kann, wenn die Kontrollen der Endpunkt-Offenlegung und Enumeration versagen.
- Wer hatte die praktische Kontrolle über die Offenlegung der Authy-Endpunkte, die Enumeration von Telefonnummern, die Missbrauchsratenbegrenzung, die Benutzerbenachrichtigungen, die Anti-Phishing-Hinweise, die Standardeinstellungen zum Kontoschutz und den Nachweis, dass eine Authentifizierungs-App nicht zu einem Zielverzeichnis geworden ist?
- Die Verantwortungsfrage besteht darin, dass ein Authentifizierungsdienst Daten speichert, die Angreifer nutzen können, um genau diejenigen Personen ins Visier zu nehmen, die sich auf ihn zum Schutz verlassen, sodass die Verhinderung von Enumeration und die Spezifität von Benachrichtigungen zu wesentlichen Vertrauenspflichten werden.
- Authy-Benutzer, Sicherheitsteams, Betrugsanalysten, Mobilfunkkunden, Entwickler, Regulierungsbehörden und Käufer von Authentifizierungsdiensten benötigten Beweise, dass die Offenlegung von Telefonnummern eingedämmt und in umsetzbare Schutzmaßnahmen umgesetzt wurde.
- Dieser Artikel behandelt die öffentlichen Berichte über die Offenlegung, die Sicherheits- und Datenschutzdokumente von Twilio, die Dokumentation von Authy und Verify sowie die öffentlichen Normenrichtlinien als separate Beweislinien.
Warum dieser Fall in eine Akte über Risiken und Verantwortung gehört
Twilio hat die Offenlegung von Authy-Telefonnummern zu einem Verantwortungstest für Identitätsmissbrauch gemacht, weil Authentifizierungsdienste vertrauenswürdige Daten speichern, die Angreifer wiederverwenden können, selbst ohne das geheime Token selbst zu erlangen. Eine mit einer Authentifizierungs-App verknüpfte Telefonnummer ist nicht nur eine Kontaktinformation. Sie kann zu einem Signal für Phishing, SIM-Swapping-Versuche, Social Engineering, Missbrauch der Kontowiederherstellung, gezielte Spam-Nachrichten und Belästigung werden.
Die Offenlegung ist besonders sensibel, da die betroffene Population selbstselektiert ist: Es handelt sich um Personen, die ein Authentifizierungstool übernommen haben, weil sie einen stärkeren Schutz wünschten.
Die öffentliche Auslösung ist begrenzt, aber folgenreich. Öffentliche Berichte beschrieben Twilios Offenlegung, dass böswillige Akteure über einen nicht authentifizierten Endpunkt mit Authy-Konten verbundene Daten identifiziert haben. Die Verantwortungsfrage beschränkt sich nicht darauf, ob Angreifer Authentifizierungscodes erlangt haben.
Es geht darum, ob der Dienst die Enumeration von Telefonnummern ermöglicht hat, wie die Ratenbegrenzung und die Endpunktauthentifizierung versagt haben oder umgangen wurden, wie schnell die Offenlegung eingedämmt wurde, wie spezifisch die Benutzer informiert wurden und ob die Hinweise mit den Missbrauchswegen übereinstimmten, die sich aus der gezielten Nutzung von Telefonnummern ergeben. Der Unterschied ist wichtig, weil Nutzer ihre Telefonnummer nicht so einfach ändern können wie ein Passwort.
Die aktuelle Sicherheitsseite von Twilio aufhttps://www.twilio.com/en-us/security, ihre Datenschutzseite aufhttps://www.twilio.com/en-us/legal/privacy, ihre Statusseite aufhttps://status.twilio.com/, die Authy-Dokumentation aufhttps://www.twilio.com/docs/authyund die Verify-Dokumentation aufhttps://www.twilio.com/docs/verifyliefern den offiziellen Kontext, wie Identitätsdienste, Benutzerdaten und Vertrauenskontrollen öffentlich dargestellt werden. Berichte wiehttps://www.bleepingcomputer.com/news/security/twilio-confirms-data-breach-after-hackers-leak-33m-authy-user-phone-numbers/undhttps://www.securityweek.com/twilio-says-hackers-identified-phone-numbers-of-authy-users/liefern die öffentliche Chronik der Authy-Offenlegung. Diese Quellen müssen in getrennten Spuren gehalten werden: Unternehmensdokumente zeigen öffentliche Kontrollzusagen und Dokumentation; Nachrichtenartikel liefern zeitgenössische öffentliche Berichterstattung; Normenquellen liefern Kontrollvokabular.
Dieser Fall gehört aus folgendem Grund zu einer Serie über Risiken und Verantwortung: Die Schäden durch Identitätsmissbrauch sind oft zeitlich verzögert, fragmentiert und schwer zuzuordnen. Eine Liste von Telefonnummern, die mit Benutzern einer Authentifizierungs-App verbunden sind, kann später in gezielten Betrugsfällen verwendet werden. Ein Benutzer könnte eine überzeugende Nachricht oder einen Anruf erhalten, ohne zu verstehen, warum er ausgewählt wurde. Ein Betrugsteam könnte einen Anstieg von SIM-Swapping-Versuchen feststellen, ohne zu wissen, welche vorherige Offenlegung zur Auswahl beigetragen hat.
Ein Entwickler, der Identitätsanbieter bewertet, möchte möglicherweise wissen, ob der Anbieter die Verhinderung von Enumeration als erstklassige Kontrolle behandelt. Der unmittelbare Vorfall ist daher nur ein Teil der Akte. Das anhaltende Problem ist, ob die öffentlichen Beweise es Benutzern und Organisationen ermöglichen, nachfolgenden Missbrauch zu reduzieren.
Eine Authentifizierungs-App kann zur Zieloberfläche werden
Authentifizierungs-Apps werden als defensive Werkzeuge vermarktet und übernommen. Diese Rahmung ist im Allgemeinen richtig: App-basierte Codes können das Risiko von Passwortdiebstahl und bestimmten Phishing-Mustern verringern. Aber defensive Werkzeuge sammeln immer Metadaten, und diese Metadaten können für Angreifer nützlich werden. Eine mit einem Authy-Konto verknüpfte Telefonnummer gibt Informationen über den Benutzer preis.
Sie deutet darauf hin, dass die Nummer möglicherweise mit Konten verbunden ist, die durch Multi-Faktor-Authentifizierung geschützt sind, dass der Benutzer möglicherweise auf eine mobile Identität angewiesen ist und dass ein Social-Engineering-Szenario an einen Authentifizierungskontext angepasst sein könnte.
Daher beschränkt sich das Verantwortungsproblem nicht auf die Kontokompromittierung. Wenn Angreifer Telefonnummern enumerieren, die mit einem Authentifizierungsdienst verbunden sind, benötigen sie möglicherweise nicht die Authentifizierungstoken, um Schaden zu verursachen. Sie können Phishing-Nachrichten senden, die sich als der Dienst ausgeben, SIM-Swapping bei Betreibern versuchen, Kontowiederherstellungsabläufe bei anderen Diensten angreifen oder Listen für zukünftige Credential-Angriffe erstellen. Die MITRE-Seite zur Informationssammlung von Telefonnummern unterhttps://attack.mitre.org/techniques/T1589/002/und ihre Seite zur Phishing-Technik unterhttps://attack.mitre.org/techniques/T1566/stellen keine spezifischen Schlussfolgerungen zu Authy dar. Sie liefern das öffentliche Vokabular, das erklärt, warum exponierte Kontaktdaten zu operativem Zielmaterial werden können.
Deshalb ist die Spezifität von Benachrichtigungen wichtig. Wenn ein Unternehmen Benutzern nur mitteilt, dass ihre Telefonnummern offengelegt wurden, könnten diese dies als Datenschutzproblem auffassen. Wenn das Unternehmen die wahrscheinlichen Missbrauchswege erläutert, können die Benutzer dies als Sicherheitsproblem behandeln: Sie sollten auf Nachrichten zum Thema Authy achten, den Kontoschutz beim Betreiber verstärken, die Wiederherstellungseinstellungen überprüfen, Nachrichten über offizielle Kanäle verifizieren und Support-Teams warnen, dass Angreifer auf die Authentifizierungs-App Bezug nehmen könnten.
Derselbe Fakt kann je nach Darstellung zu unterschiedlichem Schutzverhalten führen.
Ein Anbieter von Authentifizierungsdiensten hat die praktische Kontrolle über die Endpunktauthentifizierung, Ratenbegrenzung, Missbrauchserkennung, Protokollierung, öffentliche Benachrichtigungen, App-Update-Anleitungen und Standardeinstellungen, die das Risiko nach einer Offenlegung verringern. Benutzer haben die praktische Kontrolle über die Gerätesicherheit, die Reaktion auf Phishing, PIN-Codes des Betreibers (wenn verfügbar) und die Hygiene der Kontowiederherstellung. Sicherheitsteams haben die Kontrolle über Mitarbeiterschulungen, Support-Skripte und Warnmeldungen.
Aber all diese nachgelagerten Kontrollen hängen von den ersten Beweisen des Anbieters ab: Was wurde offengelegt, für welchen Zeitraum, über welche Art von Endpunkt und welcher Missbrauch wurde beobachtet oder ist plausibel.
Daher ist der Authy-Fall ein Fall einer Vertrauensgrenze. Benutzer vertrauten dem Dienst, um ihnen beim Schutz anderer Konten zu helfen. Der Dienst speicherte auch Daten, die Angreifern helfen könnten, diese Benutzer zu identifizieren. Verantwortung bedeutet zu fragen, ob die öffentliche Akte von Twilio diese Doppelrolle klar genug gemacht hat, damit Benutzer und Käufer handeln können.
Die Offenlegung eines Endpunkts ist ein Governance-Versagen, bevor sie eine Schlagzeile ist
Ein nicht authentifizierter Endpunkt ist nicht nur ein Codierungsfehler. In einem Identitätsdienst ist es ein Governance-Versagen, weil ein öffentlich zugänglicher Pfad sensible Assoziationsdaten ohne angemessene Autorisierungsnachweise, Ratenbegrenzung oder Missbrauchsresistenz offengelegt hat. Der CWE-Eintrag zum Fehlen der Authentifizierung unterhttps://cwe.mitre.org/data/definitions/306.htmlund die falsche Einschränkung übermäßiger Authentifizierungsversuche unterhttps://cwe.mitre.org/data/definitions/307.htmlbieten nützliches Kontrollvokabular. Sie entscheiden nicht, was intern bei Twilio passiert ist. Sie zeigen, warum diese Problemklasse zu einer Verantwortungsakte gehört.
Die Endpunkt-Governance sollte grundlegende Fragen vor einem Vorfall beantworten. Welche Endpunkte zeigen an, ob ein Identitätsobjekt existiert? Welche Endpunkte können in großem Maßstab abgefragt werden? Welche Endpunkte geben unterschiedliche Antworten für gültige und ungültige Benutzer? Welche Endpunkte legen Kontaktdaten, maskierte Kontaktdaten, das Vorhandensein eines Kontos, den Gerätestatus oder Wiederherstellungshinweise offen? Welche Kontrollen erkennen Enumerationsmuster? Welche Protokolle werden lange genug aufbewahrt, um den Umfang zu rekonstruieren?
Welche Produktteams sind für die Entscheidung verantwortlich, ob ein Endpunkt öffentlich, authentifiziert, ratenbegrenzt oder eingestellt ist?
Wenn diese Fragen vor der Offenlegung nicht beantwortet werden, werden sie danach viel schwieriger. Ein Anbieter kann den Endpunkt möglicherweise schnell schließen, hat aber weiterhin Schwierigkeiten zu beweisen, wie viele Datensätze abgefragt wurden, ob der Angriffsverkehr vollständig oder teilweise war, welche Benutzer betroffen waren und ob verwandte Endpunkte missbraucht wurden. Diese Unsicherheit wird zu einer öffentlichen Belastung. Benutzer müssen wissen, ob sie persönlich einem späteren Risiko ausgesetzt sind. Sicherheitsteams müssen wissen, ob sie Mitarbeiter warnen müssen.
Regulierungsbehörden müssen das Kontrollversagen und das Ausmaß des Vorfalls verstehen. Käufer benötigen Nachweise, dass sich die Endpunktinventarisierung und die Missbrauchserkennung des Dienstes geändert haben.
Das OWASP-Material zur API-Sicherheit bezüglich uneingeschränkter Ressourcennutzung unterhttps://owasp.org/API-Security/editions/2023/en/0xa4-unrestricted-resource-consumption/ist relevant, weil Enumeration oft von Skalierung abhängt. Eine einzelne Anfrage mag harmlos erscheinen. Millionen von Anfragen können einen Dienst in ein Verzeichnis verwandeln. Die Governance-Frage ist, ob der Dienst den Maßstab selbst als Risikosignal behandelt. Ratenbegrenzung, Anomalieerkennung, Authentifizierungsanforderungen, Antwortnormalisierung und Missbrauchssperren sind keine optionalen Ergänzungen für Identitätsmetadaten. Sie unterscheiden eine Suchfunktion von einem Extraktionskanal.
Die öffentliche Verantwortungsakte sollte daher eine enge Schlussfolgerung wie „Endpunkt korrigiert” vermeiden. Ein korrigierter Endpunkt sagt Benutzern, dass der bekannte Pfad geschlossen wurde. Er sagt ihnen nicht, ob der Anbieter benachbarte Endpunkte überprüft, die Regeln für die Designüberprüfung geändert, die Ratenkontrollen verbessert, die Enumeration getestet oder die Protokollierung aktualisiert hat. Bei einem Authentifizierungsdienst muss die Reparatur den Prozess erreichen, der die Endpunkt-Offenlegung ermöglicht hat.
Die Benachrichtigung der Benutzer muss die Offenlegung in Schutz übersetzen
Eine Benachrichtigung ist nur dann nützlich, wenn sie ändert, was Benutzer und Sicherheitsteams tun können. Für die Offenlegung von Authy-Telefonnummern würde eine umsetzbare Benachrichtigung mehrere Fakten unterscheiden. Sie würde sagen, ob Authentifizierungstoken, Kontopasswörter, Ausgangsdaten, Backups oder Geräte-Geheimnisse betroffen waren. Sie würde sagen, welche Kontakt- oder Kontoverknüpfungsdaten offengelegt wurden. Sie würde die wahrscheinlichen späteren Risiken identifizieren: Phishing, Smishing, SIM-Swapping, Identitätsdiebstahl des Authy-Supports und Missbrauch der Kontowiederherstellung bei anderen Diensten.
Sie würde Schutzmaßnahmen empfehlen, die Benutzer realistischerweise ergreifen können.
Die Anti-Phishing-Hinweise von CISA unterhttps://www.cisa.gov/news-events/news/avoiding-social-engineering-and-phishing-attacks, ihre MFA-Schutz-Tipps „Secure Our World” unterhttps://www.cisa.gov/secure-our-world/turn-mfaund ihre Passwort-Empfehlungen unterhttps://www.cisa.gov/secure-our-world/use-strong-passwordszeigen die öffentliche Basislinie für Handlungsempfehlungen. Das Ziel ist nicht, dass jeder betroffene Benutzer ein Sicherheitsprogramm benötigt. Das Ziel ist, dass die Benachrichtigung die offengelegten Daten mit einer kurzen, realistischen Handlungsliste verbindet. Ein Benutzer, der nur erfährt „Ihre Telefonnummer wurde möglicherweise offengelegt”, tut möglicherweise nichts. Ein Benutzer, der erfährt „Angreifer können sich jetzt als Authy oder Ihren Betreiber ausgeben; teilen Sie keine Codes; verifizieren Sie Nachrichten über offizielle Kanäle; schützen Sie Ihr Mobilkonto”, hat bessere Chancen, den Schaden zu reduzieren.
Die Benachrichtigung muss auch die Belastung der Benutzer berücksichtigen. Benutzern zu sagen, „sie sollen wachsam sein”, ist schwach, wenn der Anbieter genauere Hinweise geben kann. Wachsamkeit ist eine Verantwortung ohne Kontrolle. Bessere Hinweise nennen spezifische Verhaltensweisen, die vermieden werden sollen, spezifische Einstellungen, die überprüft werden sollen, und spezifische Support-Kanäle, die genutzt werden sollen.
Sie erklären auch, was der Anbieter bereits getan hat: Entfernung des Endpunkts, App-Updates, Missbrauchsüberwachung, Änderungen der Ratenbegrenzung, erzwungene Aktualisierungen (falls zutreffend) und zusätzliche Benachrichtigungen, falls neuer Missbrauch auftritt.
Sicherheitsteams benötigen eine andere Version der Benachrichtigung. Wenn Mitarbeiter Authy für ihre Geschäftskonten verwenden, muss das Sicherheitsteam wissen, ob es interne Warnungen ausgeben, Phishing zum Thema Authy überwachen, Support-Skripte aktualisieren, Benutzer mit hohem Risiko überprüfen und Betreiber oder Kontoinhaber bitten muss, die Wiederherstellungsprozesse zu verstärken, muss. Eine Verbraucher-Benachrichtigung reicht für Unternehmensrisikoteams möglicherweise nicht aus.
Anbieter von Identitätsdiensten müssen davon ausgehen, dass eine Offenlegung, die Authentifikatoren betrifft, organisatorische Konsequenzen hat, selbst wenn die Datenfelder begrenzt sind.
Schließlich muss die Benachrichtigung die Unsicherheit bewahren, ohne sich dahinter zu verstecken. Wenn Twilio nicht wusste, ob alle abgefragten Telefonnummern später verwendet wurden, könnte es das sagen. Wenn es Beweise dafür hatte, dass nur die Telefonnummernverknüpfung betroffen war, könnte es sagen, welche Beweise diese Grenze stützen. Wenn es App-Updates empfahl, könnte es erklären, ob das Update für die Eindämmung oder nur für die Verteidigung in der Tiefe notwendig war. Benutzer brauchen keine falsche Gewissheit. Sie brauchen eine Entscheidungsakte.
Telefonnummern sind schwer zu ändern und leicht zu bewaffnen
Eine Telefonnummer ist kein Passwort. Sie ist in Betreiberkonten, Bankunterlagen, Messaging-Apps, Kundendienstabläufe, Wiederherstellungsabläufe, Familienkontakte, öffentliche Aufzeichnungen und Regierungs- oder Berufssysteme eingebettet. Wenn eine mit einer Authentifizierungs-App verbundene Telefonnummer offengelegt wird, ist die dem Benutzer zur Verfügung stehende Antwort begrenzt. Er kann nicht einfach auf „Telefonnummer zurücksetzen” in allen Aspekten seines Lebens klicken. Dies macht Prävention und Benachrichtigung wichtiger als die nachträgliche Übertragung der Belastung.
Die späteren Risiken sind gut bekannt. Die FTC-Tipps zum SIM-Swapping unterhttps://consumer.ftc.gov/articles/sim-swap-scams-how-protect-yourselfund die FCC-Hinweise zum Telefonbetrug unterhttps://www.fcc.gov/consumers/guides/cell-phone-fraudsind Verbraucherschutzressourcen, auch wenn einige öffentliche Websites Roboter-Schutz für den automatisierten Zugriff anwenden. Sie zeigen, warum die Offenlegung von Mobilfunknummern zu einer Akte über Identitätsmissbrauch gehört. Angreifer, die die Nummer und die Sicherheitslage eines Ziels kennen, können versuchen, einen Betreiber, einen Support-Mitarbeiter oder das Ziel selbst zu überzeugen.
Die NIST-Richtlinien zur digitalen Identität unterhttps://pages.nist.gov/800-63-3/sp800-63b.htmlsind ebenfalls relevant, da Authentifikatoren, Out-of-Band-Kanäle und Kontowiederherstellung unterschiedliche Sicherheitseigenschaften haben. Auch hier verwendet dieser Artikel NIST nicht als Schlussfolgerung zu Twilio. Er verwendet NIST, um zu erklären, warum Telefonnummern und Authentifizierungssysteme mit Sorgfalt verwaltet werden müssen. Eine Telefonnummer kann ein praktischer Identifikator sein, aber Bequemlichkeit macht sie nicht zu einem risikoarmen Mittel, wenn sie mit dem Vorhandensein eines Authentifizierungsdienstes verknüpft ist.
Der Verantwortungsstandard sollte fragen, wie das Design des Anbieters die Offenlegung von Telefonnummern vor dem Ereignis minimiert hat. Wurden Telefonnummern nur dann zurückgegeben, wenn es notwendig war? Wurden Antworten normalisiert, um das Testen des Kontovorhandenseins zu verhindern? Waren Endpunkte authentifiziert? Wurden Enumerationsversuche ratenbegrenzt und erkannt? Reichten die Protokolle aus, um betroffene Benutzer genau zu benachrichtigen? Wurden Grundsätze der Datenminimierung auf Support-, Analyse- und Produkt-Workflows angewendet? Datenschutz und Sicherheit treffen sich an dieser Stelle.
Je weniger unnötige Metadaten offengelegt werden, desto kleiner ist das Zielverzeichnis, das Angreifer aufbauen können.
Benutzer können und sollten Schutzmaßnahmen ergreifen, aber das Handeln des Benutzers löscht nicht die Verantwortung des Anbieters. Ein Unternehmen, das eine Authentifizierungs-App betreibt, hat die erhöhte Pflicht, zu vermeiden, dass Benutzer leichter angreifbar werden. Wenn seine öffentliche Reaktion hauptsächlich darauf beruht, Benutzern zu sagen, sie sollen auf verdächtige Nachrichten achten, ist die Akte unvollständig. Es muss auch erklären, was sich innerhalb des Dienstes geändert hat, um die Wahrscheinlichkeit zu verringern, dass die Kontaktdaten der Benutzer erneut enumeriert werden können.
Käufer von Authentifizierungsdiensten benötigen Beweise, keine Beruhigung
Unternehmen, Entwickler und regulierte Organisationen, die Authentifizierungsdienste bewerten, benötigen Nachweise, dass der Dienst die Missbrauchsprävention als Produktanforderung behandelt. Sie können sich nicht allein auf eine Vertrauensseite, eine Sicherheitsübersicht oder eine allgemeine Datenschutzrichtlinie verlassen.
Diese Dokumente sind wichtig, aber die Verantwortung der Käufer erfordert spezifischere Beweise: Endpunktinventare, Missbrauchsratenbegrenzung, Überwachung, Sicherheitsüberprüfung öffentlicher APIs, Vorfallbenachrichtigungs-Handbücher, Datenaufbewahrungsgrenzen und Standardeinstellungen, die die Benutzer-Offenlegung reduzieren.
Die Verify-API-Dokumentation von Twilio unterhttps://www.twilio.com/docs/verify/api, die Verify-Übersicht unterhttps://www.twilio.com/docs/verifyund die Erklärung der Zwei-Faktor-Authentifizierung unterhttps://www.twilio.com/docs/glossary/what-is-two-factor-authentication-2fazeigen den Produktkontext, in dem Identitätsdienste gekauft und integriert werden. Die Authy-Dokumentation unterhttps://www.twilio.com/docs/authyzeigt den Legacy- und Produktkontext für die Nutzung der Authentifizierung. Diese Seiten beantworten nicht alle Fragen zu dem Vorfall. Sie helfen Käufern zu verstehen, welche Oberflächen und Annahmen nach einer Offenlegung überprüft werden müssen.
Die Verantwortungsakte für Käufer sollte fragen, ob der Anbieter eine klare Kontrollerzählung liefern kann. Welche Datenelemente sind für die Authentifizierung erforderlich? Welche sind optional? Welche werden über Support- oder API-Pfade offengelegt? Welche Endpunkte können das Vorhandensein eines Kontos bestätigen? Welche Missbrauchssignale werden überwacht? Was passiert, wenn eine Enumeration erkannt wird? Wie werden Benutzer benachrichtigt? Kann der Anbieter schnell eine Liste der betroffenen Benutzer erstellen? Welcher App-Update- oder Konfigurationspfad existiert, wenn eine Kontrolle geändert werden muss?
Käufer sollten auch fragen, wie der Anbieter Statusnachweise von Sicherheitsnachweisen trennt. Eine Dienststatusseite kann anzeigen, ob Produkte betriebsbereit sind. Sie kann nicht sagen, ob ein Endpunkt für Enumeration missbraucht wurde. Die Statusseite von Twilio unterhttps://status.twilio.com/ist nützlich für die operative Transparenz, aber Sicherheitsvorfälle erfordern zusätzliche Spezifität. Wenn ein Sicherheitsereignis die Verfügbarkeit nicht beeinträchtigt, kann es dennoch das Vertrauen beeinträchtigen. Die öffentliche Verantwortungsakte sollte Leser nicht dazu zwingen, Verfügbarkeit mit Sicherheitsassurance zu verwechseln.
Schließlich müssen Käufer wissen, wie der Anbieter die nachgelagerte Kommunikation unterstützt. Wenn ein Unternehmen die Identitätsdienste von Authy oder Twilio für seine Kunden oder Mitarbeiter nutzt, benötigt es möglicherweise eigene Benachrichtigungen, Support-Skripte und Risikobewertungen. Ein Anbieter, der nur allgemeine Aussagen liefert, schwächt diese nachgelagerte Arbeit. Ein Anbieter, der abgegrenzte Fakten, Missbrauchswege, empfohlene Kontrollen und Folgezusagen liefert, hilft Käufern, dieselben Benutzer zu schützen, deren Vertrauen auf dem Spiel stand.
Missbrauchskontrollen müssen als betriebliche Kontrollen gemessen werden
Missbrauchsprävention wird oft als Sicherheitsfunktion diskutiert, aber in diesem Fall ist sie eine betriebliche Kontrolle. Endpunktauthentifizierung, Ratenbegrenzung, Anomalieerkennung, Antwortnormalisierung, Bot-Abwehr, Protokollierung und Warnungen entscheiden darüber, ob ein Produkt abgefragt werden kann, bis es Daten preisgibt. Sie entscheiden auch, ob der Anbieter rekonstruieren kann, was passiert ist. Wenn ein Unternehmen Missbrauch nicht messen kann, kann es nicht genau benachrichtigen.
Die CIS-Kontrollen unterhttps://www.cisecurity.org/controlsund das NIST Cybersecurity Framework unterhttps://www.nist.gov/cyberframeworkbieten nützliches Vokabular auf hoher Ebene für Bestandsverwaltung, Protokollierung, Überwachung, Zugriffskontrolle, Vorfallreaktion und Verbesserung. Sie ersetzen keine anbieterspezifische Akte. Die anbieterspezifische Akte sollte sagen, wie die Authy-Endpunkt-Offenlegung geschlossen wurde, welche angrenzenden Oberflächen überprüft wurden, welche Ratenbegrenzungsänderungen vorgenommen wurden, welche Signale zukünftige Enumerationen erkennen werden und welche Beweise eine erneute Benachrichtigung auslösen würden.
Missbrauchskontrollen müssen auch an der wirtschaftlichen Realität gemessen werden. Angreifer können Anfragen verteilen, verlangsamen, ihre Infrastruktur wechseln und Enumeration mit legitimen Traffic mischen. Eine einfache Ratenbegrenzung reicht möglicherweise nicht aus, wenn sich gültige und ungültige Antworten in Zeit, Nachricht oder Struktur unterscheiden. Ein ausgereifter Dienst testet daher die Enumerationsresistenz als Teil der Produktsicherheit, nicht nur während der Vorfallreaktion. Bei Authentifizierungsdiensten ist die Vertraulichkeit des Kontovorhandenseins eine Funktion, kein Luxus.
Das Problem der Beweise ist, dass viele dieser Kontrollen für Benutzer unsichtbar sind. Benutzer können keine Endpunktinventare oder Ratenbegrenzungslogik einsehen. Diese Unsichtbarkeit erhöht die Offenlegungspflicht des Anbieters. Die öffentliche Benachrichtigung muss keine sensiblen Erkennungsschwellen preisgeben, aber sie kann die Kategorien von Kontrollen und Reparaturverpflichtungen beschreiben.
Sie kann sagen, ob der Endpunkt entfernt oder authentifiziert wurde, ob die Missbrauchsüberwachung erweitert wurde, ob betroffene Benutzer benachrichtigt wurden, ob App-Updates empfohlen wurden und ob zusätzliche Datenkategorien ausgeschlossen wurden.
Das Risiko schwacher Beweise ist die Wiederholung. Wenn die öffentliche Akte bei „Wir haben den Endpunkt korrigiert” endet, hat die nächste Bewertung keine Grundlage, um zu beurteilen, ob sich das Kontrollsystem verbessert hat. Wenn die Akte die Kategorien von Kontrollen identifiziert, die sich geändert haben, können zukünftige Käufer, Regulierungsbehörden und Benutzer den Anbieter an einem höheren Standard messen, ohne den privaten Quellcode zu benötigen. Dafür sind Verantwortungsnachweise da.
Datenlokalität und Datenschutz prägen die Konsequenzen
Das Manifest enthält Datensouveränität und Lokalität, weil Identitätsdienste über Gerichtsbarkeiten, Betreiber, Benutzer, Anwendungen, Anbieter und Supportsysteme hinweg funktionieren. Eine Offenlegung von Telefonnummern ist nicht nur ein technisches API-Problem. Sie ist auch ein personenbezogenes Datenproblem. Benutzer in verschiedenen Gerichtsbarkeiten können unterschiedliche Benachrichtigungserwartungen haben, Regulierungsbehörden können unterschiedliche Fragen stellen, und Unternehmenskäufer müssen möglicherweise verstehen, wo Kontodaten verarbeitet oder gespeichert werden.
Ein globaler Dienst kann die Lokalität nicht als nachträglichen Einfall behandeln, sobald eine Offenlegung eintritt.
Die Datenschutzseite von Twilio unterhttps://www.twilio.com/en-us/legal/privacyist relevant, da sie Teil des öffentlichen Versprechens zur Verarbeitung personenbezogener Daten ist. Die Sicherheitsseite unterhttps://www.twilio.com/en-us/securityist relevant, da sie die Vertrauenskontrollen rahmt. Aber die öffentliche Akte des Vorfalls sollte diese allgemeinen Zusagen mit der offengelegten Datenkategorie verbinden. Welche Daten waren mit Authy-Konten verknüpft? War die Offenlegung auf Telefonnummern beschränkt oder umfasste sie Kontokennungen, Gerätemetadaten, Statusindikatoren oder andere Felder? Wurden betroffene Benutzer in allen Gerichtsbarkeiten benachrichtigt? Wurden Entscheidungen zur Datenaufbewahrung und -minimierung überprüft? Waren Prozessoren oder Supportsysteme beteiligt?
Die Verantwortung für den Datenschutz sollte nicht darauf reduziert werden, ob die offengelegten Daten im engeren rechtlichen Sinne „sensibel” waren. Telefonnummern, die mit dem Vorhandensein einer Authentifizierungs-App verknüpft sind, sind im praktischen Sicherheitssinne sensibel, weil sie gezielte Angriffe unterstützen können. Deshalb verwendet der Artikel die Sprache des Identitätsmissbrauchs. Dieselben Daten können in einem Kontext gewöhnlich und in einem anderen risikoreich sein. Eine Telefonnummer in einem öffentlichen Geschäftsverzeichnis ist anders als eine Telefonnummer in einer Liste von Authentifikator-Benutzern.
Die Lokalitätsfrage betrifft auch die organisatorische Reaktion. Ein multinationales Unternehmen, dessen Mitarbeiter Authy verwenden, muss möglicherweise Benachrichtigungen, die Kommunikation mit Betriebsräten, Bewertungen durch Regulierungsbehörden und Hinweise an den Helpdesk koordinieren. Ein Privatnutzer benötigt möglicherweise betreiberspezifische Hinweise. Ein Entwickler muss möglicherweise entscheiden, ob telefonnummernbasierte Identifikatoren für sein eigenes Produkt geeignet sind. Eine gute öffentliche Akte unterstützt all diese Entscheidungen, indem sie die Offenlegungskategorie und die Missbrauchswege klarstellt.
Der entscheidende Verantwortungstest ist, ob die Sprache des Datenschutzes und die Sprache der Sicherheit aufeinandertreffen. Datenschutz erklärt, welche Daten gehalten werden und wie sie verwendet werden können. Sicherheit erklärt, wie Missbrauch verhindert und eingedämmt wird. Bei einer Authy-Offenlegung müssen beide Akten zu denselben Fakten konvergieren: Welche Daten wurden offengelegt, warum existierte der Endpunkt, wie war Enumeration möglich, was hat sich geändert und was müssen Benutzer tun.
Identitätswiederherstellung ist ein nachgelagertes Betriebsproblem
Die Offenlegung von Telefonnummern wird kostspielig, weil die Wiederherstellungsarbeit auf viele Organisationen verteilt ist, die keinen gemeinsamen Kontrollplan haben. Twilio kann den Authy-Endpunkt und die App-Hinweise kontrollieren. Ein Betreiber kontrolliert die SIM-Swapping-Reibung, Kont-PINs, Portierungsprozesse und das Verhalten des Kundendienstes. Eine Bank kontrolliert ihre eigenen Anmeldewarnungen und Kontowiederherstellungsregeln. Ein Arbeitgeber kontrolliert die Support-Verifizierung. Ein Verbraucher kontrolliert, welchen Nachrichten er vertraut und welche Konten er überprüft.
Der betroffene Benutzer ist oft die einzige Person, die all diese Stellen koordinieren muss. Deshalb kann die Benachrichtigung des Anbieters nicht bei einer engen Aussage über das Datenfeld stehen bleiben.
Eine nützliche Wiederherstellungsbenachrichtigung sollte Benutzern und Organisationen sagen, welche nachgelagerte Arbeit angemessen ist. Wenn nur die Telefonnummernverknüpfung offengelegt wurde, müssen Benutzer möglicherweise nicht alle ihre Konten zurücksetzen. Sie müssen möglicherweise Nachrichten zum Thema Authy als verdächtig behandeln, es vermeiden, Codes zu teilen, die Sicherheitseinstellungen des Betreibers überprüfen, hochwertige Kontowiederherstellungsmethoden überprüfen und internen Support-Teams sagen, dass sie Anrufern, die sich auf die Authentifizierungs-App als Legitimitätsnachweis beziehen, nicht vertrauen sollen.
Dies ist ein anderes Handbuch als die Kompromittierung eines geheimen Tokens, und die Benachrichtigung sollte den Unterschied klarstellen.
Diese Unterscheidung ist für Sicherheitsteams wichtig. Wenn die Telefonnummer eines Mitarbeiters in einer Liste von Authentifikator-Benutzern erscheint, muss der Arbeitgeber möglicherweise Social Engineering gegen die IT-Unterstützung, die Personalabteilung, den Kundendienst oder die Wiederherstellung privilegierter Konten überwachen. Der Angreifer muss den Authentifikator nicht direkt überwinden, wenn er einen Support-Mitarbeiter davon überzeugen kann, den Faktor zurückzusetzen, ein neues Gerät zu registrieren oder eine riskante Wiederherstellungsanfrage zu genehmigen.
Die Telefonnummer wird zu einem Vertrauensaccessoire in einem sozialen Szenario. Deshalb müssen die Anti-Missbrauchs-Hinweise die Support-Teams und Betrugsbekämpfungsabteilungen erreichen, nicht nur die einzelnen App-Benutzer.
Das gleiche Problem tritt für Entwickler und Produktverantwortliche auf, die telefonnummernbasierte Identitätsabläufe erstellen. Wenn sie eine Telefonnummer gleichzeitig als stabilen Identifikator, Wiederherstellungskanal und Risikosignal verwenden, kann eine Offenlegung in einem Dienst Druck in einem anderen erzeugen. Ein Benutzer, der nach der Authy-Offenlegung angegriffen wird, könnte mit Betrug in Diensten konfrontiert werden, die keine direkte Verbindung zu Authy haben.
Die Verantwortungsakte sollte Käufer daher dazu bringen, ihre eigenen Annahmen zu überprüfen: ob Telefonnummern überbeansprucht werden, ob Antworten zum Kontovorhandensein enumeriert werden können, ob Support-Skripte zu sehr auf dem Wissen des Anrufers basieren und ob risikoreiche Änderungen einen stärkeren Nachweis erfordern.
Es gibt auch ein Zeitproblem. Identitätsmissbrauch tritt nicht immer unmittelbar nach der Offenlegung auf. Listen können kopiert, weiterverkauft, angereichert und Monate später verwendet werden. Eine öffentliche Erklärung, dass keine sofortige Kontokompromittierung beobachtet wurde, kann zutreffend sein, aber als Schutzleitfaden unvollständig sein. Benutzer müssen wissen, dass eine verzögerte Ausrichtung plausibel ist, wenn Kontaktdaten offengelegt werden. Sicherheitsteams müssen wissen, wie lange sie Warnungen aktiv halten sollen.
Anbieter sollten sagen, ob die Überwachung nach der ersten Mitteilung fortgesetzt wird und ob sie Benutzer aktualisieren, wenn neue Missbrauchsmuster auftauchen.
Hier unterscheidet sich Verantwortung von der Öffentlichkeitsarbeit bei Vorfällen. Ein PR-Instinkt mag es vorziehen, das Ereignis so schnell wie möglich herunterzuspielen. Eine Verantwortungsakte reduziert, was reduziert werden kann, bewahrt aber das verbleibende Risiko. Sie kann sagen, dass Authentifizierungsgeheimnisse nicht als offengelegt angesehen wurden, aber gleichzeitig sagen, dass die Ausrichtung von Telefonnummern ein echtes Folgerisiko darstellt. Sie kann sagen, dass der Endpunkt geschlossen wurde, aber gleichzeitig sagen, dass Benutzer unaufgeforderte Nachrichten als verdächtig behandeln sollten.
Sie kann sagen, dass das Unternehmen keine Kenntnis von bestimmtem Missbrauch hat, aber erklären, was es danach überwachen wird.
Die Last der Wiederherstellung sollte ebenfalls gemessen werden. Wie viele Benutzer wurden benachrichtigt? Wie viele Benachrichtigungen sind zurückgeprallt oder fehlgeschlagen? Haben Benutzer mit hohem Risiko oder Geschäftskunden zusätzliche Hinweise erhalten? Wurden App-Updates tatsächlich installiert? Haben Support-Teams einen Anstieg der Anfragen verzeichnet? Haben die Missbrauchsmeldekanäle Meldungen von Phishing zum Thema Authy erhalten? Haben Betreiber oder Betrugsteams Indikatoren erhalten, die ihnen helfen könnten, betroffene Benutzer zu schützen?
Einige dieser Fakten mögen privat bleiben, aber ein ausgereifter Anbieter sollte wissen, welche Metriken zeigen würden, ob die Hinweise die Personen erreicht haben, die sie schützen sollten.
Für Benutzer ist die faire Erwartung nicht Perfektion. Es ist ein klarer Weg. Sie sollten nicht aus verstreuten Sicherheitsblogs ableiten müssen, was die Offenlegung einer Telefonnummer einer Authentifizierungs-App bedeutet. Sie sollten eine abgegrenzte Erklärung erhalten, was offengelegt wurde, was nicht, welcher Missbrauch zu erwarten ist, welche Maßnahmen hilfreich sind, welche Maßnahmen nicht hilfreich sind und wo sie Updates finden. Für Unternehmen ist die faire Erwartung eine Akte des Anbieters, die in interne Hinweise umgewandelt werden kann, ohne fehlende Fakten zu erfinden.
Wenn die Beweise des Anbieters dies nicht unterstützen, werden die nachgelagerten Organisationen unter- oder überreagieren, und beide Ergebnisse verlagern die Kosten vom Diensteigentümer auf diejenigen, die von ihm abhängen.
Dieselbe Akte sollte die Beweise auch nach dem ersten Nachrichtenzyklus sichtbar halten. Wenn ein Benutzer später einen SIM-Swapping-Versuch, eine Phishing-Nachricht oder einen verdächtigen Support-Anruf meldet, benötigen der Anbieter und die Organisation des Benutzers eine Möglichkeit, diese Meldung mit dem Offenlegungsfenster zu verknüpfen, ohne die Kausalität zu überhöhen. Dies erfordert Vorfallkennungen, Benachrichtigungsdaten, Datenkategorien, Hinweise zur App-Version und eine Weiterleitung von Missbrauchsmeldungen, die auch nach der Korrektur des Endpunkts verfügbar bleiben. Ein geschlossenes technisches Ticket reicht nicht.
Identitätsmissbrauch kann sich langsam manifestieren, und die Verantwortungsakte muss nützlich bleiben, wenn nachgelagerte Schäden auftreten, nachdem der Anbieter die Behebung bereits als abgeschlossen gemeldet hat.
Wie bessere Beweise aussehen würden
Bessere Beweise würden mit dem Umfang des Endpunkts beginnen. Sie würden auf Produktebene benennen, welche Funktion das Abfragen von kontoverknüpften Daten erlaubte, ob Authentifizierung erforderlich war, wie Missbrauch erkannt wurde, wie der Endpunkt geschlossen oder geändert wurde und ob angrenzende Endpunkte überprüft wurden. Sie müssten keine Ausbeutungsdetails preisgeben, die neue Risiken schaffen. Sie sollten genügend Informationen liefern, damit Benutzer und Käufer die Ausfallklasse verstehen können.
Bessere Beweise würden dann die offengelegten Daten von den nicht offengelegten Daten trennen. Wenn Authentifizierungstoken, Backup-Geheimnisse, Passwörter oder Kontozugriff nicht betroffen waren, sollte die Akte sagen, welche Beweise diese Grenze stützen. Wenn Telefonnummern oder Kontoverknüpfungsdaten betroffen waren, sollte die Akte sagen, wie viele Benutzer betroffen waren, welcher Zeitraum überprüft wurde und welches Vertrauensniveau für die Zählung gilt. Ziel ist es nicht, den Anbieter zu beschämen. Es geht darum, zu verhindern, dass Benutzer und Sicherheitsteams raten müssen.
Bessere Beweise würden das Risiko auch in Handeln übersetzen. Benutzer sollten wissen, vor welchen Nachrichten sie sich hüten müssen, ob sie die App aktualisieren sollten, ob sie die Multi-Geräte-Einstellungen überprüfen sollten, ob sie die Betreiberkonten verstärken sollten, ob sie auf Phishing zum Thema Authy achten sollten und ob weitere Benachrichtigungen folgen. Sicherheitsteams sollten separate Hinweise für Mitarbeiterschulungen und Support-Missbrauch erhalten. Entwickler und Käufer sollten Kontrolllektionen zur Endpunktinventarisierung, Enumerationsresistenz und Datenminimierung erhalten.
Schließlich würden bessere Beweise die Reparatur definieren. Die Reparatur ist nicht abgeschlossen, wenn ein Endpunkt geschlossen ist. Die Reparatur umfasst eine überprüfte Endpunktinventarisierung, Missbrauchsratenbegrenzung, verbesserte Protokollierung, Warnungen, Benutzerbenachrichtigungen, App-Update-Hinweise und eine Folgestellungnahme, falls neue Beweise die Risikobewertung ändern. Bei einem Authentifizierungsdienst bedeutet Reparatur auch den Nachweis, dass das Produkt nicht zu einem dauerhaften Zielverzeichnis geworden ist.
Dies ist der Standard, den der Fall hinterlassen sollte. Authentifizierungsdienste verdienen Vertrauen nur, wenn sie zeigen können, wie sie die Metadaten rund um die Authentifizierung schützen, und nicht nur das Authentifizierungsgeheimnis selbst.
Beweisdossier für den Leser
Der Artikel verwendet die folgenden öffentlichen Quellen als Lesedossier für die Offenlegung von Authy-Telefonnummern durch Twilio, den Missbrauch nicht authentifizierter Endpunkte, Kundenberatung, Vertrauen in Authentifizierungs-Apps und die Verantwortungsakte für Identitätsmissbrauch. Die Unternehmensseiten werden als Beweise für öffentliche Kontrollzusagen und Produktkontext behandelt. Nachrichtenartikel werden für die Chronologie und den öffentlichen Offenlegungskontext verwendet. Normen und Regierungsberatung bieten Kontrollvokabular und Kontext zum Benutzerschutz, keine Schlussfolgerungen zu privaten Systemen von Twilio.
- Öffentliche Quelle, die für das Beweisdossier verwendet wird:https://www.twilio.com/en-us/security
- Öffentliche Quelle, die für das Beweisdossier verwendet wird:https://www.twilio.com/en-us/legal/privacy
- Öffentliche Quelle, die für das Beweisdossier verwendet wird:https://status.twilio.com/
- Öffentliche Quelle, die für das Beweisdossier verwendet wird:https://www.twilio.com/docs/authy
- Öffentliche Quelle, die für das Beweisdossier verwendet wird:https://www.twilio.com/docs/verify
- Öffentliche Quelle, die für das Beweisdossier verwendet wird:https://www.twilio.com/docs/verify/api
- Öffentliche Quelle, die für das Beweisdossier verwendet wird:https://www.twilio.com/docs/glossary/what-is-two-factor-authentication-2fa
- Öffentliche Quelle, die für das Beweisdossier verwendet wird:https://www.twilio.com/docs/verify/preventing-toll-fraud
- Öffentliche Quelle, die für das Beweisdossier verwendet wird:https://www.bleepingcomputer.com/news/security/twilio-confirms-data-breach-after-hackers-leak-33m-authy-user-phone-numbers/
- Öffentliche Quelle, die für das Beweisdossier verwendet wird:https://www.securityweek.com/twilio-says-hackers-identified-phone-numbers-of-authy-users/
- Öffentliche Quelle, die für das Beweisdossier verwendet wird:https://cwe.mitre.org/data/definitions/306.html
- Öffentliche Quelle, die für das Beweisdossier verwendet wird:https://cwe.mitre.org/data/definitions/307.html
- Öffentliche Quelle, die für das Beweisdossier verwendet wird:https://owasp.org/API-Security/editions/2023/en/0xa4-unrestricted-resource-consumption/
- Öffentliche Quelle, die für das Beweisdossier verwendet wird:https://www.cisa.gov/news-events/news/avoiding-social-engineering-and-phishing-attacks
- Öffentliche Quelle, die für das Beweisdossier verwendet wird:https://www.cisa.gov/secure-our-world/turn-mfa
- Öffentliche Quelle, die für das Beweisdossier verwendet wird:https://www.cisa.gov/secure-our-world/use-strong-passwords
- Öffentliche Quelle, die für das Beweisdossier verwendet wird:https://www.cisa.gov/resources-tools/resources/phishing-guidance-stopping-attack-cycle-phase-one
- Öffentliche Quelle, die für das Beweisdossier verwendet wird:https://www.cisa.gov/resources-tools/resources/incident-response-plan-irp-basics
- Öffentliche Quelle, die für das Beweisdossier verwendet wird:https://pages.nist.gov/800-63-3/sp800-63b.html
- Öffentliche Quelle, die für das Beweisdossier verwendet wird:https://www.nist.gov/cyberframework
- Öffentliche Quelle, die für das Beweisdossier verwendet wird:https://www.cisecurity.org/controls
- Öffentliche Quelle, die für das Beweisdossier verwendet wird:https://attack.mitre.org/techniques/T1589/002/
- Öffentliche Quelle, die für das Beweisdossier verwendet wird:https://attack.mitre.org/techniques/T1566/
- Öffentliche Quelle, die für das Beweisdossier verwendet wird:https://consumer.ftc.gov/articles/sim-swap-scams-how-protect-yourself
- Öffentliche Quelle, die für das Beweisdossier verwendet wird:https://www.fcc.gov/consumers/guides/cell-phone-fraud
Dieses Beweisdossier ist bewusst breiter als eine einzelne Benachrichtigung, weil die Verantwortung bei Authentifizierungs-Apps die Endpunktgestaltung, die Minimierung von Kontaktdaten, die Missbrauchserkennung, Benutzerhinweise, Phishing-Risiko, die Wiederherstellung von Mobilfunknummern und die Reaktion von Sicherheitsteams umfasst. Die öffentliche Akte muss einzelne Benutzer, Unternehmenskäufer, Betrugsteams, Entwickler, Datenschutzteams und Regulierungsbehörden unterstützen.
Fragen für die Vorstandsprüfung
Eine Vorstandsprüfung sollte mit der Eigentümerschaft des Endpunkts beginnen. Wer hat den Endpunkt genehmigt, der kontoverknüpfte Daten offengelegt hat? Wer hat seine Authentifizierungsanforderung, das Antwortdesign und die Ratenkontrollen überprüft? Wer hat Enumerationsversuche überwacht? Wer hat entschieden, wann der Endpunkt geschlossen oder geändert werden sollte? Wer hat bestätigt, dass benachbarte Endpunkte nicht auf die gleiche Weise missbraucht werden konnten?
Die Prüfung sollte sich dann auf die Benachrichtigung konzentrieren. Wer hat entschieden, was den Benutzern gesagt wurde? Hat die Benachrichtigung den Unterschied zwischen der Offenlegung einer Telefonnummer und der Kompromittierung eines Authentifizierungstokens erklärt? Hat sie realistische Schutzmaßnahmen bereitgestellt? Hat sie sowohl Unternehmens-Sicherheitsteams als auch einzelne Benutzer unterstützt? Hat sie erklärt, was Twilio geändert hat und was ungewiss blieb?
Die Prüfung sollte überprüfen, ob sich die Anti-Missbrauchskontrollen nach dem Vorfall verbessert haben. Wurden Endpunktinventare aktualisiert? Wurden Antworten zum Kontovorhandensein normalisiert? Wurden Ratenbegrenzung und Bot-Abwehr überprüft? Reichten Protokolle und Warnungen aus, um zukünftige Enumerationen zu erkennen? Wurden Entscheidungen zur Datenschutzminimierung für Telefonnummern und Kontoverknüpfungsdaten überprüft? Wurden die Missbrauchswege in Bezug auf Betreiber und Phishing in die Hinweise integriert?
In diesem speziellen Fall sollte die Prüfung direkt die Frage des Manifests beantworten: Wer hatte die praktische Kontrolle über die Offenlegung der Authy-Endpunkte, die Enumeration von Telefonnummern, die Missbrauchsratenbegrenzung, die Benutzerbenachrichtigungen, die Anti-Phishing-Hinweise, die Standardeinstellungen zum Kontoschutz und den Nachweis, dass eine Authentifizierungs-App nicht zu einem Zielverzeichnis geworden ist?
Die Antwort sollte Daten, Endpunktklassen, Kontrollinhaber, Beweise für Benutzerbenachrichtigungen, Änderungen in der Missbrauchsüberwachung, ungelöste Unsicherheiten und den Nachweis umfassen, dass die Reparatur die Vertrauensgrenze erreicht hat, auf die sich die Benutzer verließen.

