1900 телефонных номеров пользователей Signal раскрыты фишингом Twilio
Технологии
Aug 16, 2022
0
52
Add to Reading List
![Signal Приложение для обмена сообщениями, ориентированное на безопасность, столкнулось с попыткой стороннего фишинга, в результате которой было раскрыто небольшое количество телефонных номеров пользователей.
Гетти Изображений
</figure><p>Успешная фишинговая атака на компанию, предоставляющую SMS-услуги, Twilio, возможно, раскрыла телефонные номера около 1900 пользователей приложения для безопасного обмена сообщениями Signal. данные можно просмотреть.</p>
<p>В ветке Twitter и документе поддержки Signal заявляет, что недавняя успешная (и богатая ресурсами) фишинговая атака против Twilio позволила получить доступ к телефонным номерам, связанным с 1900 пользователями. Это «очень небольшой процент от общего числа пользователей Signal», пишет Signal, и затронутые 1900 пользователей будут уведомлены (по SMS) о необходимости перерегистрации своих устройств. Signal, как и многие производители приложений, использует Twilio для отправки кодов подтверждения пользователям, которые регистрируют свое приложение Signal.</p>
<p>При мгновенном доступе к консоли поддержки клиентов Twilio злоумышленники потенциально могли использовать коды подтверждения, отправленные Twilio, для активации Signal на другом устройстве и тем самым отправлять или получать новые сообщения Signal. Или злоумышленник может подтвердить, что эти 1900 телефонных номеров действительно зарегистрированы на устройствах Signal.</p>
<p>Другие данные недоступны, в основном из-за дизайна Signal. История сообщений полностью хранится на устройствах пользователей. Для доступа к спискам контактов и блокировок, сведениям о профиле и другим пользовательским данным требуется PIN-код Signal. Кроме того, Signal просит пользователей включить блокировку записи, которая предотвращает доступ Signal к новым устройствам до тех пор, пока пользователь не введет правильный PIN-код.</p>
<p>«Тип телекоммуникационной атаки, от которой пострадал Twilio, — это уязвимость, для защиты от которой Signal разработала такие функции, как блокировка записи и PIN-коды Signal», — говорится в документе поддержки Signal. Приложение для обмена сообщениями отмечает, что, хотя Signal «не имеет возможности напрямую решать проблемы, влияющие на телекоммуникационную экосистему», оно будет работать с Twilio и другими поставщиками, «чтобы усилить их безопасность там, где это важно для наших пользователей».</p>
<p>Сигнальные PIN-коды были введены в мае 2020 года отчасти для того, чтобы уменьшить значение, придаваемое номерам телефонов как основному идентификатору пользователя. Этот последний инцидент может дать еще один толчок к отделению сильной безопасности Signal от экосистемы SMS, где дешевые и эффективные спуфинги и взломы глобальных сетей остаются слишком распространенными.</p></h2></div>
<div class=](https://cdn.arstechnica.net/wp-content/uploads/2022/08/GettyImages-1231496453-800x534.jpg)
![1900 телефонных номеров пользователей Signal раскрыты фишингом Twilio](https://cdn.arstechnica.net/wp-content/uploads/2022/08/GettyImages-1231496453-760x380.jpg)
![Signal Приложение для обмена сообщениями, ориентированное на безопасность, столкнулось с попыткой стороннего фишинга, в результате которой было раскрыто небольшое количество телефонных номеров пользователей.
Гетти Изображений
</figure><p>Успешная фишинговая атака на компанию, предоставляющую SMS-услуги, Twilio, возможно, раскрыла телефонные номера около 1900 пользователей приложения для безопасного обмена сообщениями Signal. данные можно просмотреть.</p>
<p>В ветке Twitter и документе поддержки Signal заявляет, что недавняя успешная (и богатая ресурсами) фишинговая атака против Twilio позволила получить доступ к телефонным номерам, связанным с 1900 пользователями. Это «очень небольшой процент от общего числа пользователей Signal», пишет Signal, и затронутые 1900 пользователей будут уведомлены (по SMS) о необходимости перерегистрации своих устройств. Signal, как и многие производители приложений, использует Twilio для отправки кодов подтверждения пользователям, которые регистрируют свое приложение Signal.</p>
<p>При мгновенном доступе к консоли поддержки клиентов Twilio злоумышленники потенциально могли использовать коды подтверждения, отправленные Twilio, для активации Signal на другом устройстве и тем самым отправлять или получать новые сообщения Signal. Или злоумышленник может подтвердить, что эти 1900 телефонных номеров действительно зарегистрированы на устройствах Signal.</p>
<p>Другие данные недоступны, в основном из-за дизайна Signal. История сообщений полностью хранится на устройствах пользователей. Для доступа к спискам контактов и блокировок, сведениям о профиле и другим пользовательским данным требуется PIN-код Signal. Кроме того, Signal просит пользователей включить блокировку записи, которая предотвращает доступ Signal к новым устройствам до тех пор, пока пользователь не введет правильный PIN-код.</p>
<p>«Тип телекоммуникационной атаки, от которой пострадал Twilio, — это уязвимость, для защиты от которой Signal разработала такие функции, как блокировка записи и PIN-коды Signal», — говорится в документе поддержки Signal. Приложение для обмена сообщениями отмечает, что, хотя Signal «не имеет возможности напрямую решать проблемы, влияющие на телекоммуникационную экосистему», оно будет работать с Twilio и другими поставщиками, «чтобы усилить их безопасность там, где это важно для наших пользователей».</p>
<p>Сигнальные PIN-коды были введены в мае 2020 года отчасти для того, чтобы уменьшить значение, придаваемое номерам телефонов как основному идентификатору пользователя. Этот последний инцидент может дать еще один толчок к отделению сильной безопасности Signal от экосистемы SMS, где дешевые и эффективные спуфинги и взломы глобальных сетей остаются слишком распространенными.</p>
</div>
<div class=](https://cdn.arstechnica.net/wp-content/uploads/2022/08/GettyImages-1231496453-800x534.jpg)
What's Your Reaction?
![like](https://vidianews.com/assets/img/reactions/like.png)
![dislike](https://vidianews.com/assets/img/reactions/dislike.png)
![love](https://vidianews.com/assets/img/reactions/love.png)
![funny](https://vidianews.com/assets/img/reactions/funny.png)
![angry](https://vidianews.com/assets/img/reactions/angry.png)
![sad](https://vidianews.com/assets/img/reactions/sad.png)
![wow](https://vidianews.com/assets/img/reactions/wow.png)