Телефонные номера и SMS-коды 1900 пользователей Signal в дикой природе, это связано с отсутствием у его партнера Twilio. Напоминание о том, что ни одна система, даже такая безопасная, как Signal, не защищена от несанкционированного доступа.
Signal, пожалуй, самый безопасный сервис обмена мгновенными сообщениями. Однако это не делает его невосприимчивым к взлому. Компания подтвердила, что номера телефонов и SMS-коды около 1900 пользователей были раскрыты из-за нарушения безопасности ее партнера по проверке Twilio. Как отмечает TechCrunch, злоумышленник может использовать эту информацию для аутентификации от имени этих пользователей или для хранения их номеров на других устройствах.
Телефонные номера и SMS-коды 1900 пользователей Signal в дикой природе
Данные уже были использованы не по назначению. Таким образом, авторы этой атаки запросили три телефонных номера и перерегистрировали учетную запись конкретного пользователя. Signal не хранит историю чатов или онлайн-контакты, поэтому это нарушение безопасности не должно было раскрывать какие-либо другие конфиденциальные данные.
В любом случае Signal предпринял шаги, чтобы ограничить любые потери. Таким образом, платформа удалила приложение со всех связанных устройств затронутых учетных записей, вынудив пользователей пройти повторную регистрацию. Команда также рекомендует активировать блокировку регистрации, которая не позволит вам повторно зарегистрироваться на другом устройстве без предоставления PIN-кода.
Это связано с отсутствием у него напарника Твилио.
Twilio обнаружил недостаток 8 августа. Преступники, личность которых пока не установлена, использовали фишинг для получения регистрационных данных и доступа к аккаунтам 125 клиентов. Хотя пока неясно, какие другие клиенты могли быть затронуты, Twilio предлагает свои услуги ряду крупных компаний и организаций.
Напоминание о том, что ни одна система, даже такая безопасная, как Signal, не защищена от несанкционированного доступа.
Атака в любом случае оказывает давление на Signal. Это может побудить платформу, как это уже сделали другие, избавиться от номера телефона, который может быть уязвим для спуфинга SIM-карты и других атак. Это также напоминание о том, что системы, даже очень безопасные, имеют своих потенциальных партнеров в качестве слабого звена. Ошибка в третьем лице иногда более опасна, чем прямая атака.