Deweloperzy sygnałów, otwórz aplikację do obsługi wiadomości, ujawnili informacje o ataku mające na celu przejęcie kontroli nad kontami niektórych użytkowników.
Jako taki atak nie został w 100% skierowany do aplikacji, ale wiem wynikało z ataku który został przeprowadzony przez phishing do usługi Twilio wykorzystywane przez Signal do organizowania wysyłania wiadomości SMS z kodami potwierdzającymi.
Niedawno firma Twilio, która świadczy usługi weryfikacji numeru telefonu dla Signal, padła ofiarą ataku phishingowego. Oto, co nasi użytkownicy muszą wiedzieć:
Wszyscy użytkownicy mogą być pewni, że ich historia wiadomości, listy kontaktów, informacje o profilu, kogo zablokowali i inne dane osobowe pozostaną prywatne, bezpieczne i nienaruszone.
W przypadku około 1900 użytkowników atakujący mógł spróbować ponownie zarejestrować swój numer na innym urządzeniu lub dowiedzieć się, że jego numer został zarejestrowany w Signal. Ten atak został od tego czasu zamknięty przez Twilio. 1900 użytkowników to bardzo mały procent wszystkich użytkowników Signal, co oznacza, że większość nie została dotknięta.
Analiza danych wykazała, że eWłamanie do Twilio mogło wpłynąć na około 1900 numerów telefonów użytkowników Signal, dla których atakujący byli w stanie ponownie zarejestrować numery telefonów na innym urządzeniu, a następnie odbierać lub wysyłać wiadomości dla powiązanego numeru telefonu (dostęp do historii korespondencji, informacji o profilu i informacji adresowych) nie mogli pobrać, ponieważ takie informacje są przechowywane na urządzeniu użytkownika i nie są przesyłane do serwerów Signal).
Powiadamiamy bezpośrednio tych 1900 użytkowników i prosimy o ponowną rejestrację Signal na swoich urządzeniach. Jeśli otrzymałeś wiadomość SMS od Signal z łączem do tego artykułu pomocy, wykonaj następujące kroki:
Otwórz Signal na swoim telefonie i ponownie zarejestruj swoje konto Signal, jeśli zostaniesz o to poproszony przez aplikację.
Aby lepiej chronić swoje konto, zalecamy włączenie blokady logów w ustawieniach aplikacji. Stworzyliśmy tę funkcję, aby chronić użytkowników przed zagrożeniami, takimi jak atak Twilio.
Między czasem włamania a blokadą konta pracownika zagrożone wykorzystywane przez usługę Twilio do ataku, aktywność została zaobserwowana w dniu wszystkie numery telefonów 1900 które były związane z rejestracja konta lub wysłanie kodu weryfikacyjnego SMS-em. Jednocześnie, po uzyskaniu dostępu do interfejsu usługi Twilio, atakujący byli zainteresowani trzema konkretnymi numerami użytkowników Signala, a przynajmniej jeden z telefonów był w stanie powiązać się z urządzeniem atakującego, sądząc po skardze otrzymanej od właściciel konta, którego dotyczy problem. Signal wysłał powiadomienia SMS o incydencie do wszystkich użytkowników potencjalnie dotkniętych atakiem i wyrejestrował ich urządzenia.
Co ważne, nie zapewniało to osobie atakującej dostępu do historii wiadomości, informacji o profilu ani list kontaktów. Historia wiadomości jest przechowywana tylko na Twoim urządzeniu, a Signal nie przechowuje jej kopii. Twoje listy kontaktów, informacje o profilu, kogo zablokowałeś i nie tylko, można uzyskać tylko za pomocą kodu PIN Signal, do którego nie można było (i nie można było) uzyskać dostępu w ramach tego incydentu. Jednak w przypadku, gdy atakujący był w stanie ponownie zarejestrować konto, mógł wysyłać i odbierać wiadomości Signal z tego numeru telefonu.
Twilio zostało zhakowane przy użyciu technik socjotechnicznych co pozwoliło atakującym zwabić jednego z pracowników firmy na stronę phishingową i uzyskać dostęp do jego konta obsługi klienta.
W szczególności osoby atakujące wysyłały wiadomości SMS do pracowników Twilio, ostrzegając ich o wygaśnięciu konta lub zmianach w harmonogramie, z łączem do fałszywej strony stylizowanej na interfejs jednokrotnego logowania dla usług narzędziowych Twilio. Według Twilio, łącząc się z interfejsem helpdesku, atakującym udało się uzyskać dostęp do danych powiązanych z 125 użytkownikami.
W końcu jeśli chcesz dowiedzieć się więcej na ten tematmożesz sprawdzić szczegóły W poniższym linku.