Segnale: la vulnerabilità rivela i numeri di telefono di 1900 utenti

Numeri di telefono e codici SMS di 1900 utenti Signal allo stato brado, ciò è dovuto a una mancanza del suo partner Twilio. Un promemoria che nessun sistema, nemmeno uno sicuro come Signal, è a prova di manomissione.

Signal è senza dubbio il servizio di messaggistica istantanea più sicuro. Tuttavia, questo non lo rende immune all’hacking. La società ha confermato che i numeri di telefono e i codici SMS di circa 1.900 utenti sono stati esposti a causa di una violazione della sicurezza del suo partner di verifica Twilio. Come notato da TechCrunch, l’attaccante potrebbe utilizzare queste informazioni per autenticarsi per conto di questi utenti o per memorizzare i loro numeri su altri dispositivi.

Numeri di telefono e codici SMS di 1900 utenti Signal in circolazione

I dati sono già stati utilizzati in modo improprio. Pertanto, gli autori di questo attacco hanno richiesto tre numeri di telefono e registrato nuovamente l’account di un utente specifico. Signal non memorizza la cronologia della chat o i contatti online, quindi questa violazione della sicurezza non avrebbe dovuto esporre altri dati sensibili.

In ogni caso, Signal ha provveduto a limitare eventuali perdite. Pertanto, la piattaforma ha rimosso l’app da tutti i dispositivi associati agli account interessati, costringendo gli utenti a registrarsi nuovamente. Il team consiglia inoltre di attivare il blocco della registrazione, che impedisce di registrarsi nuovamente su un altro dispositivo senza fornire un PIN.

Ciò è dovuto alla mancanza del suo partner Twilio.

Twilio ha identificato il difetto l’8 agosto. I criminali, la cui identità non è stata ancora identificata, hanno utilizzato il phishing per ottenere informazioni sulla registrazione e l’accesso agli account di 125 clienti. Sebbene non sia ancora chiaro quali altri clienti possano essere stati interessati, Twilio offre i propri servizi a numerose grandi aziende e organizzazioni.

Un promemoria che nessun sistema, nemmeno uno sicuro come Signal, è a prova di manomissione.

L’attacco mette comunque sotto pressione Signal. Questo potrebbe essere un fattore scatenante per la piattaforma, come altri hanno già fatto, per sbarazzarsi di un numero di telefono che potrebbe essere vulnerabile allo spoofing della SIM e ad altri attacchi. È anche un promemoria del fatto che i sistemi, anche quelli molto sicuri, hanno i loro potenziali partner come anello debole. Un errore in una terza parte a volte è più pericoloso di un attacco diretto.