Włamanie do Twilio uderza w niewielką część użytkowników Signala

W ostatnim czasie pisaliśmy, że konta pracowników Twilio, czyli dostawcy usług weryfikacji numeru dla komunikatora Signal – zostały przejęte atakiem socjotechnicznym. 

Twilio to amerykańska firma, która zapewnia programowalne narzędzia komunikacyjne do wykonywania i odbierania połączeń telefonicznych, wysyłania i odbierania wiadomości tekstowych oraz wykonywania innych funkcji komunikacyjnych za pomocą interfejsów API z których korzysta komunikator Signal.

Firma, w dalszym ciągu prowadzi śledztwo w sprawie skali zagrożenia, wskazało, że do tej pory:

(…) Zidentyfikowaliśmy 125 klientów Twilio, których dane zostały pozyskane przez napastników w określonym czasie i wszystkich powiadomiliśmy.

(…) Nie ma żadnego dowodu na to by hasła klientów, tokeny uwierzytelniające lub klucze API były dostępne bez autoryzacji.

Jednocześnie poinformowali na swojej stronie, że dalsze informacje szczątkowe nie będą publikowane dla dobra śledztwa aż do wyjaśnienia.

Do całej sprawy postanowił odnieść się producent komunikatora Signal, publikując szczegółowe informacje na temat całego zdarzenia:

(…) Wszyscy nasi użytkownicy mogą być pewni, że ich historie czatów, listy kontaktów, informacje profilowe (które sami zastrzegli) oraz inne dane osobowe pozostają prywatne, zabezpieczone i nie zostały naruszone.

(…) Dla około 1900 użytkowników, napastnik mógł dokonać próby ponownej rejestracji numeru na inne urządzenie lub pozyskać wiedzę, że numer jest zarejestrowany w Signal. (…) 1900 użytkowników stanowi bardzo niewielki procent wszystkich użytkowników komunikatora, co oznacza, że zdecydowanie większa część nie została naruszona.

Firma powiadomiła wszystkich użytkowników komunikatora, których sprawa dotyczy i zachęca do ponownej bezpiecznej rejestracji na swoich urządzeniach. Użytkownicy, którzy otrzymali wiadomość SMS od Signal z linkiem do artykułu pomocy technicznej, muszą wykonać następujące kroki:

• Należy otworzyć Signal na swoim smartfonie i ponownie zarejestrować swoje konto jeżeli aplikacja o to poprosi.
• Żeby jak najlepiej móc chronić swoje konto, zalecamy włączenie blokady rejestracji w Ustawieniach. Stworzyliśmy tę dodatkową funkcję jako ochronę przez zagrożeniami jak atak Twilio.

Chociaż naruszenie Twilio wpływa zaledwie na ułamek ponad 40 milionów użytkowników Signal to użytkownicy narzekają od dawna, że Signal, który jest uważany za jedną z najbezpieczniejszych aplikacji do przesyłania wiadomości – wymaga od nich rejestrowania numeru telefonu w celu utworzenia konta. Inne, porównywalne komunikatory do szyfrowania end-to-end umożliwiają rejestrację przy użyciu samej nazwy. Signal jednak powoli przestaje polegać jedynie na numerach telefonów, np. dzięki wprowadzeniu funkcji PIN w 2020 r., a cały incydent z pewnością ten proces przyspieszy jeszcze bardziej.

Z naszej strony również gorąco zachęcamy do wprowadzenia w/w. zabezpieczeń, o których w pełni można przeczytać na stronie wsparcia Signala.

~tt