Mereka cuba mendapatkan akaun Signal dengan menjejaskan perkhidmatan Twilio

Darkcrizt

Minit 4

Pembangun Isyarat, buka aplikasi pemesejan, telah mendedahkan maklumat tentang serangan bertujuan untuk mendapatkan kawalan ke atas akaun sesetengah pengguna.

Oleh itu serangan itu ia tidak 100% ditujukan kepada permohonan itu, tetapi saya tahu berpunca daripada serangan yang telah dijalankan oleh pancingan data ke perkhidmatan Twilio digunakan oleh Signal untuk mengatur penghantaran mesej SMS dengan kod pengesahan.

Baru-baru ini, Twilio, syarikat yang menyediakan perkhidmatan pengesahan nombor telefon kepada Signal, mengalami serangan pancingan data. Inilah yang pengguna kami perlu tahu:

Semua pengguna boleh yakin bahawa sejarah mesej mereka, senarai kenalan, maklumat profil, siapa yang mereka sekat dan data peribadi lain akan kekal peribadi, selamat dan tidak terjejas.
Untuk kira-kira 1900 pengguna, penyerang boleh cuba mendaftar semula nombor mereka pada peranti lain atau mengetahui bahawa nombor mereka telah didaftarkan dengan Signal. Serangan ini telah ditutup oleh Twilio. 1900 pengguna adalah peratusan yang sangat kecil daripada jumlah pengguna Isyarat, yang bermakna majoriti tidak terjejas.

Analisis data menunjukkan bahawa eHack Twilio boleh menjejaskan kira-kira 1900 nombor telefon daripada pengguna Isyarat, yang penyerang boleh mendaftar semula nombor telefon pada peranti lain dan kemudian menerima atau menghantar mesej untuk nombor telefon yang berkaitan (akses kepada sejarah surat-menyurat, maklumat profil dan maklumat alamat yang lalu) tidak dapat diambil kerana maklumat tersebut disimpan pada peranti pengguna dan tidak dihantar ke pelayan Signal).

Kami memberitahu 1900 pengguna ini secara langsung dan meminta mereka mendaftar semula Signal pada peranti mereka. Jika anda menerima mesej SMS daripada Signal dengan pautan ke artikel sokongan ini, ikuti langkah berikut:

Buka Signal pada telefon anda dan daftarkan semula akaun Signal anda jika digesa oleh apl.
Untuk melindungi akaun anda dengan lebih baik, kami mengesyorkan agar anda mendayakan kunci log dalam tetapan apl. Kami mencipta ciri ini untuk melindungi pengguna daripada ancaman seperti serangan Twilio.

Antara masa penggodaman dan penguncian akaun daripada pekerja bertunang digunakan oleh perkhidmatan Twilio untuk serangan, aktiviti diperhatikan pada semua 1900 nombor telefon yang dikaitkan dengan mendaftar akaun atau menghantar kod pengesahan melalui SMS. Pada masa yang sama, setelah mendapat akses kepada antara muka perkhidmatan Twilio, penyerang berminat dengan tiga nombor pengguna Isyarat tertentu, dan sekurang-kurangnya satu daripada telefon itu dapat mengikat peranti penyerang, berdasarkan aduan yang diterima daripada pemilik akaun yang terjejas. Signal menghantar pemberitahuan SMS tentang kejadian itu kepada semua pengguna yang berpotensi terjejas oleh serangan itu dan membatalkan pendaftaran peranti mereka.

Yang penting, ini tidak memberikan penyerang akses kepada sebarang sejarah mesej, maklumat profil atau senarai kenalan. Sejarah mesej disimpan hanya pada peranti anda dan Signal tidak menyimpan salinannya. Senarai kenalan anda, maklumat profil, orang yang telah anda sekat dan banyak lagi hanya boleh diambil dengan PIN Isyarat anda yang tidak (dan tidak dapat) diakses sebagai sebahagian daripada kejadian ini. Walau bagaimanapun, sekiranya penyerang dapat mendaftarkan semula akaun, mereka boleh menghantar dan menerima mesej Isyarat daripada nombor telefon tersebut.

Twilio telah digodam menggunakan teknik kejuruteraan sosial yang membenarkan penyerang memikat salah seorang pekerja syarikat ke halaman pancingan data dan mendapatkan akses kepada akaun sokongan pelanggannya.

Khususnya, penyerang menghantar mesej SMS kepada pekerja Twilio memaklumkan mereka tentang tamat tempoh akaun atau perubahan jadual, dengan pautan ke halaman palsu yang digayakan sebagai antara muka log masuk tunggal untuk perkhidmatan utiliti Twilio. Menurut Twilio, dengan menyambung ke antara muka meja bantuan, penyerang berjaya mengakses data yang dikaitkan dengan 125 pengguna.

Akhirnya sekiranya anda berminat untuk mengetahui lebih lanjut mengenainya, anda boleh menyemak perinciannya Dalam pautan berikut.


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.