Sinal: Vulnerabilidade revela números de telefone de 1.900 usuários

Números de telefone e códigos SMS de 1900 usuários do Signal em estado selvagem, isso se deve à falta de seu parceiro Twilio. Um lembrete de que nenhum sistema, mesmo um tão seguro quanto o Signal, é inviolável.

O Signal é indiscutivelmente o serviço de mensagens instantâneas mais seguro. No entanto, isso não o torna imune a hackers. A empresa confirmou que os números de telefone e códigos SMS de cerca de 1.900 usuários foram expostos devido a uma violação na segurança de seu parceiro de verificação Twilio. Como observou o TechCrunch, o invasor pode usar essas informações para autenticar em nome desses usuários ou armazenar seus números em outros dispositivos.

Números de telefone e códigos SMS de 1900 usuários do Signal em estado selvagem

Os dados já foram mal utilizados. Assim, os autores desse ataque solicitaram três números de telefone e registraram novamente a conta de um usuário específico. O Signal não armazena histórico de bate-papo ou contatos online, portanto, essa violação de segurança não deveria ter exposto nenhum outro dado confidencial.

De qualquer forma, a Signal tomou medidas para limitar quaisquer perdas. Assim, a plataforma removeu o aplicativo de todos os dispositivos associados às contas afetadas, obrigando os usuários a se registrarem novamente. A equipe também recomenda ativar o bloqueio de registro, que impede que você se registre novamente em outro dispositivo sem fornecer um PIN.

Isso se deve à falta de seu parceiro Twilio.

Twilio identificou a falha em 8 de agosto. Os criminosos, cuja identidade ainda não foi identificada, usaram phishing para obter informações cadastrais e acesso às contas de 125 clientes. Embora ainda não esteja claro quais outros clientes podem ter sido afetados, a Twilio oferece seus serviços a várias grandes empresas e organizações.

Um lembrete de que nenhum sistema, mesmo um tão seguro quanto o Signal, é inviolável.

O ataque pressiona o Signal de qualquer maneira. Isso pode ser um gatilho para a plataforma, como outras já fizeram, para se livrar de um número de telefone que pode ser vulnerável a falsificação de SIM e outros ataques. É também um lembrete de que os sistemas, mesmo os muito seguros, têm seus potenciais parceiros como um elo fraco. Um erro de terceiros às vezes é mais perigoso do que um ataque direto.