1900 телефонных номеров пользователей Signal раскрыты фишингом Twilio

Signal Приложение для обмена сообщениями, ориентированное на безопасность, столкнулось с попыткой стороннего фишинга, в результате которой было раскрыто небольшое количество телефонных номеров пользователей. Гетти Изображений </figure><p>Успешная фишинговая атака на компанию, предоставляющую SMS-услуги, Twilio, возможно, раскрыла телефонные номера около 1900 пользователей приложения для безопасного обмена сообщениями Signal. данные можно просмотреть.</p> <p>В ветке Twitter и документе поддержки Signal заявляет, что недавняя успешная (и богатая ресурсами) фишинговая атака против Twilio позволила получить доступ к телефонным номерам, связанным с 1900 пользователями. Это «очень небольшой процент от общего числа пользователей Signal», пишет Signal, и затронутые 1900 пользователей будут уведомлены (по SMS) о необходимости перерегистрации своих устройств. Signal, как и многие производители приложений, использует Twilio для отправки кодов подтверждения пользователям, которые регистрируют свое приложение Signal.</p> <p>При мгновенном доступе к консоли поддержки клиентов Twilio злоумышленники потенциально могли использовать коды подтверждения, отправленные Twilio, для активации Signal на другом устройстве и тем самым отправлять или получать новые сообщения Signal. Или злоумышленник может подтвердить, что эти 1900 телефонных номеров действительно зарегистрированы на устройствах Signal.</p> <p>Другие данные недоступны, в основном из-за дизайна Signal. История сообщений полностью хранится на устройствах пользователей. Для доступа к спискам контактов и блокировок, сведениям о профиле и другим пользовательским данным требуется PIN-код Signal. Кроме того, Signal просит пользователей включить блокировку записи, которая предотвращает доступ Signal к новым устройствам до тех пор, пока пользователь не введет правильный PIN-код.</p> <p>«Тип телекоммуникационной атаки, от которой пострадал Twilio, — это уязвимость, для защиты от которой Signal разработала такие функции, как блокировка записи и PIN-коды Signal», — говорится в документе поддержки Signal. Приложение для обмена сообщениями отмечает, что, хотя Signal «не имеет возможности напрямую решать проблемы, влияющие на телекоммуникационную экосистему», оно будет работать с Twilio и другими поставщиками, «чтобы усилить их безопасность там, где это важно для наших пользователей».</p> <p>Сигнальные PIN-коды были введены в мае 2020 года отчасти для того, чтобы уменьшить значение, придаваемое номерам телефонов как основному идентификатору пользователя. Этот последний инцидент может дать еще один толчок к отделению сильной безопасности Signal от экосистемы SMS, где дешевые и эффективные спуфинги и взломы глобальных сетей остаются слишком распространенными.</p></h2></div> <div class=   Технологии   Aug 16, 2022   0   52  Add to Reading List

1900 телефонных номеров пользователей Signal раскрыты фишингом Twilio
Signal Приложение для обмена сообщениями, ориентированное на безопасность, столкнулось с попыткой стороннего фишинга, в результате которой было раскрыто небольшое количество телефонных номеров пользователей. Гетти Изображений </figure><p>Успешная фишинговая атака на компанию, предоставляющую SMS-услуги, Twilio, возможно, раскрыла телефонные номера около 1900 пользователей приложения для безопасного обмена сообщениями Signal. данные можно просмотреть.</p> <p>В ветке Twitter и документе поддержки Signal заявляет, что недавняя успешная (и богатая ресурсами) фишинговая атака против Twilio позволила получить доступ к телефонным номерам, связанным с 1900 пользователями. Это «очень небольшой процент от общего числа пользователей Signal», пишет Signal, и затронутые 1900 пользователей будут уведомлены (по SMS) о необходимости перерегистрации своих устройств. Signal, как и многие производители приложений, использует Twilio для отправки кодов подтверждения пользователям, которые регистрируют свое приложение Signal.</p> <p>При мгновенном доступе к консоли поддержки клиентов Twilio злоумышленники потенциально могли использовать коды подтверждения, отправленные Twilio, для активации Signal на другом устройстве и тем самым отправлять или получать новые сообщения Signal. Или злоумышленник может подтвердить, что эти 1900 телефонных номеров действительно зарегистрированы на устройствах Signal.</p> <p>Другие данные недоступны, в основном из-за дизайна Signal. История сообщений полностью хранится на устройствах пользователей. Для доступа к спискам контактов и блокировок, сведениям о профиле и другим пользовательским данным требуется PIN-код Signal. Кроме того, Signal просит пользователей включить блокировку записи, которая предотвращает доступ Signal к новым устройствам до тех пор, пока пользователь не введет правильный PIN-код.</p> <p>«Тип телекоммуникационной атаки, от которой пострадал Twilio, — это уязвимость, для защиты от которой Signal разработала такие функции, как блокировка записи и PIN-коды Signal», — говорится в документе поддержки Signal. Приложение для обмена сообщениями отмечает, что, хотя Signal «не имеет возможности напрямую решать проблемы, влияющие на телекоммуникационную экосистему», оно будет работать с Twilio и другими поставщиками, «чтобы усилить их безопасность там, где это важно для наших пользователей».</p> <p>Сигнальные PIN-коды были введены в мае 2020 года отчасти для того, чтобы уменьшить значение, придаваемое номерам телефонов как основному идентификатору пользователя. Этот последний инцидент может дать еще один толчок к отделению сильной безопасности Signal от экосистемы SMS, где дешевые и эффективные спуфинги и взломы глобальных сетей остаются слишком распространенными.</p> </div> <div class=

What's Your Reaction?

like

dislike

love

funny

angry

sad

wow