Cerca de 1.900 usuarios de Signal, la app de mensajería con frecuencia consideró la Estándar dorado de privacidad, es posible que los piratas informáticos hayan accedido a sus números de teléfono o códigos de verificación de texto. La infracción fue parte de un ataque de phishing contra la empresa de comunicaciones Twilio, que proporciona el servicio de verificación de SMS de Signal.
de la señal Anuncio del lunes reconociendo la violación de datos:
- Un atacante accedió a Consola de atención al cliente de Twilio a través de phishing. Para aproximadamente 1900 usuarios, 1) se reveló potencialmente que sus números de teléfono estaban registrados en una cuenta de Signal, o 2) se reveló el código de verificación de SMS utilizado para registrarse en Signal.
- Durante la ventana en que un atacante tenía acceso a los sistemas de atención al cliente de Twilio, era posible que intentaran registrar los números de teléfono a los que accedieron en otro dispositivo utilizando el código de verificación de SMS. El atacante ya no tiene este acceso y Twilio cerró el ataque.
Afortunadamente, el alcance del ataque fue relativamente pequeño (por contexto: Signal tiene aproximadamente 40 millones usuarios activos mensuales), y muchas de las medidas de privacidad existentes que emplea Signal parecen haber hecho su trabajo protegiendo la información del usuario. La compañía enfatizó que el historial de mensajes del usuario, el contenido del mensaje, los contactos, la información del perfil y otros datos personales no tiene sido impactado. En cambio, el ataque permitió a los atacantes acceder y potencialmente registrar nuevos dispositivos en un pequeño subconjunto de números de teléfono de los usuarios de Signal.
“El historial de mensajes se almacena solo en su dispositivo y Signal no guarda una copia del mismo. Sus listas de contactos, información de perfil, a quién ha bloqueado y más solo se pueden recuperar con su PIN de señal que era no (y no se pudo) acceder como parte de este incidente. Sin embargo, en el caso de que un atacante pudiera volver a registrar una cuenta, podría enviar y recibir mensajes de Signal desde ese número de teléfono”, escribió la compañía.
El requisito de registro del número de teléfono de Signal ha sido durante mucho tiempo un llaga para aquellos particularmente preocupados por el anonimato y la seguridad. Muchos debates en línea han abogado por un cambio a los nombres de usuario a través de números de teléfono, por temor a este tipo de violación.
G/O Media puede recibir una comisión
El principal riesgo para las víctimas del hackeo es que los atacantes podrían hacerse pasar por ellos a través de su cuenta de Signal, lo que parecía ser el resultado previsto en al menos tres casos. La compañía informó que el atacante buscó específicamente tres números de teléfono y que al menos uno de esos usuarios volvió a registrar su cuenta.
Signal dijo que todos los usuarios afectados serían notificados directamente a través de SMS, a partir de hoy. Nota: si eres uno de los 1900, ese mensaje dirá: “Esto es de Signal Messenger. Nos comunicamos para que puedas proteger tu cuenta de Signal. Abre Signal y regístrate de nuevo. Más información: https://signal.org/smshelp.”
Los afectados también tendrán todos sus dispositivos desregistrados de la plataforma y deberán volver a registrar su número de teléfono con Signal en su dispositivo preferido.
La compañía señaló además que todos los usuarios pueden habilitar el bloqueo de registro para su cuenta de Signal en la configuración. El bloqueo de registro evita que nuevos dispositivos se registren en una cuenta existente sin verificación a través del PIN de Signal.
¿Qué pasó en Twilio?
Twilio anunció por primera vez que habían sido atacados a principios de este mes, en un 7 de agosto entrada en el blog. La empresa proporciona herramientas y servicios de comunicación a miles de clientes, incluidos Signal, pero también Facebook, Uber, Lyft, AirBnb y Twitter. Según Twilio, los empleados fueron atacados con un phenlace de envío y mensaje pidiéndoles que restablezcan su información de inicio de sesión. Cuando parte del personal cayó en la trampa, los atacantes pudieron usar las credenciales de esos empleados para acceder a los sistemas internos y a los datos de los clientes.
“Hemos identificado aproximadamente a 125 clientes de Twilio a cuyos datos accedieron actores malintencionados durante un período de tiempo limitado, y les hemos notificado a todos”, escribió la compañía en una actualización el 10 de agosto. Claramente, Signal fue uno de los afectados por Twilio. clientes, pero se desconoce el alcance total del ataque.
Y, según Twilio, el ataque de phishing parece estar coordinado y en curso. El gigante de las comunicaciones escribió que otras empresas también han sido objeto de intentos de piratería similares, y que los intentos de phishing y los mensajes continúan llegando.