La aplicación de mensajería encriptada de extremo a extremo Signal dice que los atacantes accedieron a los números de teléfono y códigos de verificación de SMS de casi 2,000 usuarios como parte de la brecha en el gigante de las comunicaciones Twilio la semana pasada.
Twilio, que brinda servicios de verificación de números de teléfono a Signal, dijo el 8 de agosto que los actores maliciosos accedieron a los datos de 125 clientes después de phishing con éxito a varios empleados. Twilio no dijo quiénes eran los clientes, pero es probable que incluyan grandes organizaciones después de que Signal confirmara el lunes que era una de esas víctimas.
Signal dijo en una publicación de blog el lunes que notificaría a unos 1.900 usuarios cuyos números de teléfono o códigos de verificación de SMS fueron robados cuando los atacantes accedieran a la consola de atención al cliente de Twilio.
“Para alrededor de 1900 usuarios, un atacante podría haber intentado volver a registrar su número en otro dispositivo o haberse enterado de que su número estaba registrado en Signal”, dijo el gigante de la mensajería. “Entre los 1900 números de teléfono, el atacante buscó explícitamente tres números y recibimos un informe de uno de esos tres usuarios de que su cuenta se volvió a registrar”.
Si bien esto no le dio al atacante acceso al historial de mensajes, que Signal no almacena, ni a las listas de contactos ni a la información del perfil, que está protegida por el PIN de seguridad del usuario, Signal dijo «en el caso de que un atacante pudiera volver a registrar una cuenta, podrían enviar y recibir mensajes de Signal desde ese número de teléfono”.
Para los afectados, la compañía dice que cancelará el registro de Signal en todos los dispositivos que el usuario está usando actualmente, o en los que un atacante los registró, y requerirá que los usuarios vuelvan a registrar Signal con su número de teléfono en su dispositivo preferido. Signal también aconseja a los usuarios que activen el bloqueo de registro, una función que evita que una cuenta se vuelva a registrar en otro dispositivo sin el PIN de seguridad del usuario.
Aunque la violación de Twilio afecta a una fracción de los más de 40 millones de usuarios de Signal, los usuarios se han quejado durante mucho tiempo de que Signal, considerada una de las aplicaciones de mensajería más seguras, requiere que los usuarios registren un número de teléfono para crear una cuenta. Otras aplicaciones de cifrado de extremo a extremo, como Wire, permiten a los usuarios registrarse con un nombre de usuario. Si bien Signal se ha movido lentamente para terminar con su dependencia de los números de teléfono, como con la introducción de los PIN de Signal en 2020, este incidente probablemente reavivará las llamadas para que se mueva más rápido.