Els desenvolupadors de Signal, l'aplicació de missatgeria oberta, han revelat informació sobre un atac dirigit per obtenir el control dels comptes d'alguns usuaris.
Com a tal l'atac no estava dirigit al 100% a l'aplicació, sinó que es va derivar d'un atac que es va dur a terme mitjançant phishing al servei Twilio utilitzat per Signal per organitzar l'enviament de missatges SMS amb codis de confirmació.
Recentment, Twilio, l'empresa que brinda serveis de verificació de números de telèfon a Signal, va patir un atac de phishing. Això és el que els nostres usuaris necessiten saber:
Tots els usuaris poden estar segurs que el vostre historial de missatges, llistes de contactes, informació de perfil, a qui van bloquejar i altres dades personals romandran privades i assegurances i no es veuran afectades.
Per aproximadament 1900 usuaris, un atacant podria haver intentat tornar a registrar el seu número en un altre dispositiu o haver-se assabentat que el seu número estava registrat a Signal. Des de llavors, aquest atac ha estat tancat per Twilio. 1900 usuaris és un percentatge molt petit del total d'usuaris de Signal, fet que significa que la majoria no es va veure afectada.
L'anàlisi de dades va mostrar que el hackeig de Twilio podria haver afectat uns 1900 números de telèfon d'usuaris de Signal, per als quals els atacants van poder tornar a registrar números de telèfon en un altre dispositiu i després rebre o enviar missatges per al número de telèfon associat (accés a l'historial de correspondència passada, informació de perfil i informació de direcció) no es va poder recuperar perquè aquesta informació s'emmagatzema al dispositiu de l'usuari i no es transmet als servidors de Signal).
Estem notificant a aquests 1900 usuaris directament i demanant-los que tornin a registrar Signal als seus dispositius. Si vas rebre un missatge SMS de Signal amb un enllaç a aquest article de suport, segueix aquests passos:
Obre Signal al telèfon i torna a registrar el teu compte de Signal si l'aplicació t'ho sol·licita.
Per protegir millor el vostre compte, us recomanem que habiliteu el bloqueig de registre a la configuració de l'aplicació. Creem aquesta característica per protegir els usuaris contra amenaces com l'atac Twilio.
Entre el moment de l'hackeig i el bloqueig del compte d'empleat compromesa utilitzada pel servei Twilio per a l'atac, es va observar activitat a els 1900 números de telèfon que estaven associats amb el registre d'un compte o enviar un codi de verificació per SMS. Alhora, havent obtingut accés a la interfície de servei de Twilio, els atacants estaven interessats en tres números d'usuari específics de Signal, i almenys un dels telèfons va poder vincular-se al dispositiu dels atacants, tenint en compte la queixa rebuda del propietari del compte afectat. Signal va enviar notificacions per SMS sobre l'incident a tots els usuaris potencialment afectats per l'atac i va anul·lar el registre dels dispositius.
És important destacar que això no va donar a l'atacant accés a cap historial de missatges, informació de perfil o llistes de contactes. L'historial de missatges s'emmagatzema només al dispositiu i Signal no en guarda una còpia. Les teves llistes de contactes, informació de perfil, a qui has bloquejat i més només es poden recuperar amb el PIN de Signal al qual no es va accedir (i no es va poder) com a part d'aquest incident. Tot i això, en el cas que un atacant pogués tornar a registrar un compte, podria enviar i rebre missatges de Signal des d'aquest número de telèfon.
Twilio va ser hackejat utilitzant tècniques d'enginyeria social que van permetre als atacants atraure un dels empleats de lempresa a una pàgina de pesca i obtenir accés al seu compte datenció al client.
Específicament, els atacants van enviar missatges SMS als empleats de Twilio alertant-los sobre el venciment del compte o els canvis d'horari, amb un enllaç a una pàgina falsa estilitzada com a interfície d'inici de sessió únic per als serveis d'utilitats de Twilio. Segons Twilio, en connectar-se a la interfície del servei d'assistència, els atacants van aconseguir accedir a les dades associades amb 125 usuaris.
Finalment si estàs interessat en poder conèixer més a l'respecte, Pots consultar els detalls en el següent enllaç.