Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Co dokładnie działo się z przejętym kontem Signal jednej z ofiar incydentu Twilio?
O incydencie Twilio pisaliśmy całkiem niedawno, gdzie w ciągu kilku dni pojawiło się także oświadczenie na stronie komunikatora Signal.
Z najnowszych informacji wynika, że atakujący szukał wyraźnie trzech numerów i wszystkie trzy faktycznie zostały przerejestrowane. Jeden z właścicieli w/w. numerów niezwłocznie powiadomił Signal, co pozwoliło rozpocząć śledztwo. Sam tak opisuje całą sytuację:
“Byłem jednym z tych trzech numerów, a także użytkownikiem, który zgłosił incydent. Na początku Signal poinformował mnie, że badają incydent i powiedzieli mi tylko, co się wydarzyło. Był to poniedziałek, przed publikacją oświadczenia jak włamanie do Twilio mogło wpłynąć na niektórych użytkowników Signal. Hakerzy byli w stanie przejąć mój numer w Signal na okres 13 godzin. W niedzielę 7 sierpnia o godzinie 2:43 czasu wschodniego otrzymałem wiadomość tekstową: „Twój kod weryfikacyjny SIGNAL to [ZMIENIONO]”.
Kiedy zdałem sobie sprawę, co się stało, powiadomiłem dwóch przyjaciół, którzy są ekspertami w dziedzinie bezpieczeństwa cyfrowego i skontaktowałem się z Signal. Potem zaalarmowałem zespół ds. cyberbezpieczeństwa VICE. Wtedy nie było jasne, co się dzieje.
W tym momencie Twilio nie ujawnił naruszenia, Signal nie powiedział mi nic publicznie ani prywatnie, więc nie mieliśmy pojęcia, co się dzieje. Poprosiłem mojego operatora telefonii komórkowej, aby sprawdził, czy podmieniono mi kartę SIM (red. atak SIM SWAP), ale nie było żadnych oznak ataku. Przejrzałem również wszystkie moje ważne konta, aby sprawdzić, czy są tam jakieś oznaki włamania, ale znowu nie było żadnych oznak ataku. Bez wyników śledztwa Signala nie mieliśmy możliwości dowiedzenia się, co się naprawdę stało, czy padłem ofiarą ataku, czy może to błąd w komunikatorze.
Ponieważ nie miałem od razu dostępu do urządzenia, na którym używam Signal, nie mogłem ponownie zarejestrować konta aż do 17:20 ET tego samego dnia. Oznacza to, że przez około 13 godzin hakerzy nie mieli dostępu do moich kontaktów ani treści żadnej z moich wiadomości, ale mogli podszywać się pode mnie na Signal, wysyłając wiadomości do moich znajomych. Po ponownym zarejestrowaniu konta, prawdopodobnie odciąłem atakujących i uniemożliwiłem im korzystanie z mojego konta. Następnie upewniłem się, że nie próbują tego ponownie, włączając blokadę rejestracji, funkcję Signal, która wymaga od osób zarejestrowania numeru w celu podania kodu PIN użytkownika. (Nie miałem włączonej blokady rejestracji przed tym incydentem, co było moim błędem). Ponadto, ponieważ ustawiłem PIN w Signal, hakerzy nie mieli dostępu do moich kontaktów.
Padłem ofiarą tego ataku, więc chcę zachować przejrzystość i ostrzec każdego, kto rozmawiał ze mną w ciągu tych 13 godzin, że nie rozmawiali ze mną, ale hakerami podszywającymi się pode mnie. Więc jeśli rozmawiałeś ze mną w ciągu tych 13 godzin, skontaktuj się ze mną, chciałbym wiedzieć, z kim rozmawiali hakerzy i o czym.
Mój incydent jest ważnym przypomnieniem, że rozsądne jest stosowanie dodatkowych zabezpieczeń tak jak chociażby funkcja blokady rejestracji Signal, która uniemożliwia hakerom zarejestrowanie numeru na swoim urządzeniu bez posiadania kodu PIN Signal.”
W ocenie redakcji, incydenty, takie jak włamanie do Twilio, są ważnym przypomnieniem, że usługi, które polegają na wiadomościach tekstowych do weryfikacji, są podatne na ataki. Każda platforma lub usługa może zostać zmanipulowana w celu przekazania danych uwierzytelniających weryfikację atakującemu. Pomimo wprowadzenia różnych zabezpieczeń właśnie w momencie rejestracji lub odzyskiwania konta – jest ono najbardziej narażone na przejęcie. Podobnie jak w przypadku skrzynki e-mail. Ważne jest, aby włączyć każde możliwe dodatkowe zabezpieczenia, co w przypadku Signala było skuteczne ze względu na mechanizm PIN co nie pozwoliło hakerom na dostęp do wielu danych, a jedyne przedstawienie się jako ofiara incydentu.