Zhvilluesit e sinjaleve, hap aplikacionin e mesazheve, kanë zbuluar informacione për një sulm synon të fitojë kontrollin e llogarive të disa përdoruesve.
Si i tillë sulmi nuk i drejtohej 100% aplikacionit, por unë e di erdhi nga një sulm e cila u krye nga phishing në shërbimin Twilio përdoret nga Signal për të organizuar dërgimin e mesazheve SMS me kode konfirmimi.
Së fundmi, Twilio, kompania që ofron shërbime të verifikimit të numrave të telefonit për Signal, pësoi një sulm phishing. Kjo është ajo që përdoruesit tanë duhet të dinë:
Të gjithë përdoruesit mund të jenë të sigurt se historia e tyre e mesazheve, listat e kontakteve, informacioni i profilit, kë kanë bllokuar dhe të dhëna të tjera personale do të mbeten private, të sigurta dhe të paprekura.
Për afërsisht 1900 përdorues, një sulmues mund të kishte provuar të riregjistronte numrin e tyre në një pajisje tjetër ose të kishte mësuar se numri i tyre ishte regjistruar në Signal. Ky sulm që atëherë është mbyllur nga Twilio. 1900 përdorues është një përqindje shumë e vogël e totalit të përdoruesve të Signal, që do të thotë se shumica nuk u prekën.
Analiza e të dhënave tregoi se eHakimi i Twilio mund të kishte prekur rreth 1900 numra telefoni e përdoruesve të sinjalit, për të cilët sulmuesit ishin në gjendje të riregjistronin numrat e telefonit në një pajisje tjetër dhe më pas të merrnin ose dërgonin mesazhe për numrin e telefonit të lidhur (qasja në historikun e korrespodencës së kaluar, informacionin e profilit dhe informacionin e adresës) nuk mund t'i merrnin sepse një informacion i tillë ruhet në pajisjen e përdoruesit dhe nuk transmetohet në serverët e Signal).
Ne po i njoftojmë drejtpërdrejt këta 1900 përdorues dhe po u kërkojmë që të riregjistrojnë Signal në pajisjet e tyre. Nëse keni marrë një mesazh SMS nga Signal me një lidhje në këtë artikull mbështetës, ndiqni këto hapa:
Hapni Signal në telefonin tuaj dhe ri-regjistroni llogarinë tuaj Signal nëse ju kërkohet nga aplikacioni.
Për të mbrojtur më mirë llogarinë tuaj, ju rekomandojmë të aktivizoni kyçjen e regjistrave në cilësimet e aplikacionit. Ne e krijuam këtë veçori për të mbrojtur përdoruesit nga kërcënimet si sulmi Twilio.
Midis kohës së hakimit dhe bllokimit të llogarisë të punonjësit e fejuar përdorur nga shërbimi Twilio për sulmin, aktiviteti u vu re në të gjithë 1900 numrat e telefonit që ishin të lidhur me regjistrimi i një llogarie ose dërgimi i një kodi verifikimi me SMS. Në të njëjtën kohë, pasi kishin fituar akses në ndërfaqen e shërbimit Twilio, sulmuesit ishin të interesuar për tre numra specifikë të përdoruesve të Sinjalit, dhe të paktën një nga telefonat ishte në gjendje të lidhej me pajisjen e sulmuesve, duke gjykuar nga ankesa e marrë nga pronari i llogarisë së prekur. Sinjali dërgoi njoftime SMS për incidentin për të gjithë përdoruesit e prekur potencialisht nga sulmi dhe çregjistroi pajisjet e tyre.
E rëndësishmja, kjo nuk i dha sulmuesit akses në ndonjë histori mesazhi, informacion profili ose lista kontaktesh. Historiku i mesazheve ruhet vetëm në pajisjen tuaj dhe Signal nuk ruan një kopje të tij. Listat tuaja të kontakteve, informacionet e profilit, kë keni bllokuar dhe të tjera mund të merren vetëm me PIN-in tuaj të sinjalit, i cili nuk u aksesua (dhe nuk mund të) si pjesë e këtij incidenti. Megjithatë, në rast se një sulmues ishte në gjendje të riregjistronte një llogari, ata mund të dërgonin dhe merrnin mesazhe sinjali nga ai numër telefoni.
Twilio u hakerua duke përdorur teknika të inxhinierisë sociale gjë që i lejoi sulmuesit të joshin një nga punonjësit e kompanisë në një faqe phishing dhe të fitonin akses në llogarinë e tij të mbështetjes së klientit.
Në mënyrë të veçantë, sulmuesit u dërguan mesazhe SMS punonjësve të Twilio duke i paralajmëruar për skadimin e llogarisë ose ndryshimet e orarit, me një lidhje në një faqe të rreme të stiluar si një ndërfaqe e vetme e hyrjes për shërbimet e Twilio. Sipas Twilio, duke u lidhur me ndërfaqen e Helpdesk, sulmuesit arritën të aksesonin të dhënat e lidhura me 125 përdorues.
Më në fund nëse jeni të interesuar të dini më shumë për të, ju mund të kontrolloni detajet Në lidhjen vijuese.