Signal dice que la violación de datos de terceros expuso 1.900 números de teléfono

La reputación de Signal para la mensajería segura no la hace completamente invulnerable a los incidentes de piratería. La compañía ha confirmado que una violación de datos en el socio de verificación Twillio expuso los números de teléfono y los códigos SMS de aproximadamente 1900 usuarios. Como TechCrunch observado, el intruso podría haber usado la información para identificar a los usuarios de Signal o volver a registrar sus números en otros dispositivos.

Los datos ya han sido mal utilizados. El culpable buscó tres números de teléfono y volvió a registrar la cuenta de un usuario. Signal no almacena historiales de chat ni contactos en línea, por lo que la violación no debería haber revelado otros detalles confidenciales.

Signal está tomando medidas para limitar el daño. Anulará el registro de la aplicación en todos los dispositivos vinculados a las cuentas afectadas, lo que obligará a los usuarios a volver a registrarse. El equipo también recomendó habilitar un bloqueo de registro que impida que alguien se vuelva a registrar en otros dispositivos sin proporcionar un código PIN.

Twilio reveló la brecha el 8 de agosto. Los perpetradores actualmente no identificados utilizaron estafas de phishing para obtener detalles de inicio de sesión y acceder a las cuentas de 125 clientes. Aunque no está claro qué otros clientes se vieron afectados, Twilio generalmente atiende a grandes empresas y organizaciones.

El ataque aumenta la presión sobre Signal para unirse a otros proveedores de mensajería encriptada y alejarse de los números de teléfono, que pueden ser vulnerables a los intercambios de SIM y otros esquemas basados ​​en dígitos. Esto también es un recordatorio de que los sistemas son tan seguros como sus socios tecnológicos: un desliz de un tercero a veces es tan peligroso como un ataque directo.