Twilio kills off Authy for desktop, forcibly logs out all users
2024/08/01 BleepingComputer — ついに Twilio は、Authy for Desktop アプリケーションを終了し、このデスクトップ・アプリケーションから、ユーザーを強制的にログアウトさせた。2024年1月に Twilio が発表したのは、Windows/macOS/Linux の Authy デスクトップアプリが、2024年3月19日には EoL (end of life) となり、2024年8月には廃止されるというものだ。
このデスクトップ・アプリは、2024年3月を過ぎても動作し続けたが、開くと EoL に達しているという警告が表示され、ただちにモバイル版に切り替える必要があると、ユーザーに対して強く推奨されていた。
Source: BleepingComputer
この状況は、13 日ほど前に Twilio が、すべてのデスクトップ・デバイスを Authy アカウントから強制的にログアウトし、電話番号により再度ログインを不可能にしたことで終了した。
Source: BleepingComputer
すべての警告が行われた後にも、Authy for Desktop を使い続けるユーザーは、以前からモバイル・デバイスと同期させていない限り、2FA アカウントが消えていることに気づいたはずだ。その一方で、デスクトップ・アプリをモバイル版と同期させたユーザーは、トークンの一部が正しく同期されず、アソシエート・アカウントにアクセスできないことに気づいたはずだ。
2024年6月に脅威アクターたちが発見した 安全でないAuthy API は、電話番号が有効なアカウントに関連付けられているかどうかを、確認するために使用できるものだった。
この欠陥を悪用する脅威アクターたちは、数百万件の電話番号を API に入力し、Authy上に 3300万件の電話番号のプロファイルを構築し、ハッキング・フォーラムに流出させた。
Twilio は、更新されたモバイル・アプリをリリースすることで、このバグを修正し、 API を保護した。その際に、API の修正に対して、デスクトップ・アプリはアップデートされないため、Authy デスクトップ・ユーザーはログインできなくなるという見方があった。
しかし、6月に Authy はバージョン3.0をリリースし、これが最後のデスクトップ向けリリースになると述べていた。
BleepingComputer は、デスクトップ向け Authy の終了について、Twilio に問い合わせたているが、すぐには回答が得られなかった。
ついに、Authy for Desktop が停止となりました。ただし、Twilio からのコメントなどは見つかりませんでした。この件に関しては、2024/01/08 の「Authy のデスクトップ版が 2024年8月に廃止:モバイル版への移行を急ごう」で報じていましたが、多くの方々に読んでいただき、この製品に対する関心の高さを感じていました。その一方で、ビジネスとしての難しさも伝わってくるという出来事でした。よろしければ、Authy で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.