Сигнал: уразливість розкриває номери телефонів 1900 користувачів

Номери телефонів і SMS-коди 1900 користувачів Signal у дикій природі, це через відсутність у його партнера Twilio. Нагадуємо, що жодна система, навіть така безпечна, як Signal, не є захищеною від втручання.

Signal, мабуть, є найбезпечнішим сервісом обміну миттєвими повідомленнями. Однак це не робить його захищеним від злому. Компанія підтвердила, що номери телефонів і SMS-коди близько 1900 користувачів були розкриті через порушення безпеки її партнера з перевірки Twilio. Як зазначає TechCrunch, зловмисник міг використовувати цю інформацію для аутентифікації від імені цих користувачів або для зберігання їхніх номерів на інших пристроях.

Телефонні номери та SMS-коди 1900 користувачів Signal у дикій природі

Дані вже були використані не за призначенням. Таким чином, автори цієї атаки запросили три номери телефонів і перереєстрували обліковий запис конкретного користувача. Signal не зберігає історію чату чи онлайн-контакти, тому це порушення безпеки не повинно було розкрити будь-які інші конфіденційні дані.

У будь-якому випадку, Signal вжив заходів для обмеження будь-яких втрат. Таким чином, платформа видалила програму з усіх пов’язаних пристроїв уражених облікових записів, змушуючи користувачів повторно реєструватися. Команда також рекомендує активувати блокування реєстрації, яке запобігає повторній реєстрації на іншому пристрої без надання PIN-коду.

Це пов’язано з відсутністю його партнера Твіліо.

Twilio виявив недолік 8 серпня. Зловмисники, особи яких поки не встановлені, за допомогою фішингу отримали реєстраційні дані та доступ до акаунтів 125 клієнтів. Хоча поки що неясно, які інші клієнти могли постраждати, Twilio пропонує свої послуги низці великих компаній і організацій.

Нагадуємо, що жодна система, навіть така безпечна, як Signal, не є захищеною від втручання.

Атака все одно тисне на Signal. Це може стати тригером для платформи, як це вже зробили інші, щоб позбутися номера телефону, який може бути вразливим до підробки SIM-карти та інших атак. Це також нагадування про те, що системи, навіть дуже безпечні, мають потенційних партнерів як слабку ланку. Помилка третьої сторони іноді небезпечніша, ніж пряма атака.