Signalas: pažeidžiamumas atskleidžia 1900 vartotojų telefono numerius

1900 „Signal“ vartotojų telefonų numeriai ir SMS kodai laukinėje gamtoje, taip yra dėl partnerio „Twilio“ trūkumo. Priminimas, kad jokia sistema, net tokia saugi kaip „Signal“, nėra apsaugota nuo klastojimo.

Signalas, be abejo, yra saugiausia momentinių pranešimų paslauga. Tačiau dėl to jis nėra apsaugotas nuo įsilaužimo. Bendrovė patvirtino, kad apie 1900 vartotojų telefonų numeriai ir SMS kodai buvo atskleisti dėl patikrinimo partnerio „Twilio“ saugumo pažeidimo. Kaip pažymėjo „TechCrunch“, užpuolikas gali naudoti šią informaciją autentifikuoti šių vartotojų vardu arba saugoti jų numerius kituose įrenginiuose.

1900 signalų naudotojų telefonų numeriai ir SMS kodai laukinėje gamtoje

Duomenimis jau buvo piktnaudžiaujama. Taigi šios atakos autoriai paprašė trijų telefono numerių ir perregistravo konkretaus vartotojo paskyrą. Signalas nesaugo pokalbių istorijos ar internetinių kontaktų, todėl šis saugumo pažeidimas neturėtų atskleisti jokių kitų neskelbtinų duomenų.

Bet kuriuo atveju „Signal“ ėmėsi veiksmų, kad apribotų nuostolius. Taigi platforma pašalino programą iš visų susijusių paskyrų įrenginių, todėl vartotojai buvo priversti registruotis iš naujo. Komanda taip pat rekomenduoja aktyvuoti registracijos užraktą, kuris neleidžia iš naujo užsiregistruoti kitame įrenginyje nepateikus PIN kodo.

Taip yra dėl to, kad trūksta jo partnerio Twilio.

Twilio trūkumą nustatė rugpjūčio 8 d. Nusikaltėliai, kurių tapatybė dar nenustatyta, pasinaudojo sukčiavimu, kad gautų registracijos informaciją ir prieigą prie 125 klientų sąskaitų. Kol kas neaišku, kokie kiti klientai galėjo nukentėti, „Twilio“ siūlo savo paslaugas daugeliui didelių įmonių ir organizacijų.

Priminimas, kad jokia sistema, net tokia saugi kaip „Signal“, nėra apsaugota nuo klastojimo.

Ataka bet kokiu atveju daro spaudimą Signalui. Tai gali paskatinti platformą, kaip jau padarė kiti, atsikratyti telefono numerio, kuris gali būti pažeidžiamas SIM klastojimo ir kitų atakų. Tai taip pat primena, kad sistemos, net ir labai saugios, turi savo potencialius partnerius kaip silpnąją grandį. Trečiojo asmens klaida kartais yra pavojingesnė už tiesioginį puolimą.