Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Włamanie do Twilio uderza w niewielką część użytkowników Signala
W ostatnim czasie pisaliśmy, że konta pracowników Twilio, czyli dostawcy usług weryfikacji numeru dla komunikatora Signal – zostały przejęte atakiem socjotechnicznym.
Twilio to amerykańska firma, która zapewnia programowalne narzędzia komunikacyjne do wykonywania i odbierania połączeń telefonicznych, wysyłania i odbierania wiadomości tekstowych oraz wykonywania innych funkcji komunikacyjnych za pomocą interfejsów API z których korzysta komunikator Signal.
Firma, w dalszym ciągu prowadzi śledztwo w sprawie skali zagrożenia, wskazało, że do tej pory:
(…) Zidentyfikowaliśmy 125 klientów Twilio, których dane zostały pozyskane przez napastników w określonym czasie i wszystkich powiadomiliśmy.
(…) Nie ma żadnego dowodu na to by hasła klientów, tokeny uwierzytelniające lub klucze API były dostępne bez autoryzacji.
Jednocześnie poinformowali na swojej stronie, że dalsze informacje szczątkowe nie będą publikowane dla dobra śledztwa aż do wyjaśnienia.
Do całej sprawy postanowił odnieść się producent komunikatora Signal, publikując szczegółowe informacje na temat całego zdarzenia:
(…) Wszyscy nasi użytkownicy mogą być pewni, że ich historie czatów, listy kontaktów, informacje profilowe (które sami zastrzegli) oraz inne dane osobowe pozostają prywatne, zabezpieczone i nie zostały naruszone.
(…) Dla około 1900 użytkowników, napastnik mógł dokonać próby ponownej rejestracji numeru na inne urządzenie lub pozyskać wiedzę, że numer jest zarejestrowany w Signal. (…) 1900 użytkowników stanowi bardzo niewielki procent wszystkich użytkowników komunikatora, co oznacza, że zdecydowanie większa część nie została naruszona.
Firma powiadomiła wszystkich użytkowników komunikatora, których sprawa dotyczy i zachęca do ponownej bezpiecznej rejestracji na swoich urządzeniach. Użytkownicy, którzy otrzymali wiadomość SMS od Signal z linkiem do artykułu pomocy technicznej, muszą wykonać następujące kroki:
- Należy otworzyć Signal na swoim smartfonie i ponownie zarejestrować swoje konto jeżeli aplikacja o to poprosi.
- Żeby jak najlepiej móc chronić swoje konto, zalecamy włączenie blokady rejestracji w Ustawieniach. Stworzyliśmy tę dodatkową funkcję jako ochronę przez zagrożeniami jak atak Twilio.
Chociaż naruszenie Twilio wpływa zaledwie na ułamek ponad 40 milionów użytkowników Signal to użytkownicy narzekają od dawna, że Signal, który jest uważany za jedną z najbezpieczniejszych aplikacji do przesyłania wiadomości – wymaga od nich rejestrowania numeru telefonu w celu utworzenia konta. Inne, porównywalne komunikatory do szyfrowania end-to-end umożliwiają rejestrację przy użyciu samej nazwy. Signal jednak powoli przestaje polegać jedynie na numerach telefonów, np. dzięki wprowadzeniu funkcji PIN w 2020 r., a cały incydent z pewnością ten proces przyspieszy jeszcze bardziej.
Z naszej strony również gorąco zachęcamy do wprowadzenia w/w. zabezpieczeń, o których w pełni można przeczytać na stronie wsparcia Signala.
~tt
Cały czas mnie zastanawia dlaczego praktycznie każda usługa obsługująca 2FA nie proponuje włączenia dodatkowej weryfikacji już na etapie tworzenia konta. A dla osób które już mają konta nie wyślą powiadomienia że warto konto zabezpieczyć.
Nie mam tutaj na myśli tylko Signala, tylko wszystkie usługi np Gmail.
Zazwyczaj żeby wyłączyć 2FA trzeba wejść w ustawienia, odszukać odpowiednią zakładkę, włączyć. Przykładowo Gmail w większości wypadków przy rejestracji wymaga podania nr tel, ale domyślnie nie używa go do weryfikacji 2 etapowej. Dlaczego ?
Teraz fajnie, że Signal proponuje włączenia „2FA” (blokady rejestracji PIN-em), ale kto to przeczyta ? Tylko mały odsetek osób, pewnie większość osób to czytających i tak ma tą opcje od dawna aktywną. Czemu Signal nie oferuje tego przy 1 włączeniu aplikacji tylko trzeba szukać tego w ustawieniach ? Przeciętny użytkownik nigdy tam nie zagląda :(
W przypadku konta Google polecam włączyć „Program ochrony zaawansowanej” wtedy bez Yubikey / kodów zapasowych nie ma się co do konta logować.
Niemniej chyba tak to ma działać, kto wie o zagrożeniach zna też zwykle techniki przed nimi chroniące natomiast szarego użytkownika nie podejrzewałbym nawet o znalezienie zakładki „Ustawienia” w telefonie. Zwykli użytkownicy (co może być dla niektórych zaskoczeniem) zwykle mają problem z zapamiętaniem jednego hasła a co dopiero gdyby przyszło im sięgać każdorazowo po telefon przy logowaniu się na FB czy inny portal.
Zmierzamy wtedy do sedna problemu – człowieka jako najsłabszego ogniwa w łańcuchu bezpieczeństwa. Dlatego potrzebne są szkolenia cyberawarness i w ogóle nauka ludzi co to jest 2FA.