Signal сообщает, что 1900 телефонных номеров пользователей раскрыты Twilio Breach
Приложение для обмена сообщениями со сквозным шифрованием Signal сообщает, что на прошлой неделе злоумышленники получили доступ к телефонным номерам и SMS-кодам подтверждения почти 2000 пользователей, взломав коммуникационного гиганта Twilio.
Компания Twilio, предоставляющая Signal услуги проверки телефонов, сообщила 8 августа, что злоумышленники получили доступ к данным 125 клиентов после успешного фишинга нескольких сотрудников. Twilio не уточнил, кто были клиенты, но они, вероятно, включают крупные организации после того, как Signal подтвердил в понедельник, что он был одной из этих жертв.
В понедельник компания Signal сообщила в своем блоге, что уведомит около 1900 пользователей, чьи телефонные номера или SMS-коды подтверждения были украдены, когда злоумышленники получили доступ к консоли поддержки клиентов Twilio.
«Приблизительно для 1900 пользователей злоумышленник мог попытаться перерегистрировать свой номер на другом устройстве или узнать, что их номер был зарегистрирован в Signal», — сказал гигант обмена сообщениями. «Из 1900 телефонных номеров злоумышленник явно искал три номера, и мы получили отчет от одного из этих трех пользователей о том, что его учетная запись была перерегистрирована».
Хотя это не дало злоумышленнику доступа к истории сообщений, которую Signal не хранит, или к спискам контактов и информации профиля, которая защищена пользовательским PIN-кодом Signal, Signal заявил, что «в случае, если злоумышленник сможет повторно зарегистрировать учетной записи, они могли отправлять и получать сообщения Signal с этого номера телефона».
Что касается пострадавших, компания сообщает, что отменит регистрацию Signal на всех устройствах, которые пользователь использует в данный момент или на которых их зарегистрировал злоумышленник, и потребует от пользователей повторно зарегистрировать Signal, указав свой номер телефона на своем любимом устройстве. . Signal также рекомендует пользователям включить блокировку регистрации, функцию, которая предотвращает повторную регистрацию учетной записи на другом устройстве без PIN-кода безопасности пользователя.
Хотя взлом Twilio затронул небольшую часть из более чем 40 миллионов пользователей Signal, пользователи уже давно сетуют на то, что Signal, считающийся одним из самых безопасных приложений для обмена сообщениями, требует от пользователей регистрации номера телефона для создания учетной записи. Другие приложения сквозного шифрования, такие как Wire, позволяют пользователям регистрироваться с именем пользователя. Хотя Signal постепенно перестал полагаться на телефонные номера, например, с введением PIN-кодов Signal в 2020 году, этот инцидент, скорее всего, вызовет призывы действовать быстрее.
Приложение для обмена сообщениями со сквозным шифрованием Signal сообщает, что на прошлой неделе злоумышленники получили доступ к телефонным номерам и SMS-кодам подтверждения почти 2000 пользователей, взломав коммуникационного гиганта Twilio.
Компания Twilio, предоставляющая Signal услуги проверки телефонов, сообщила 8 августа, что злоумышленники получили доступ к данным 125 клиентов после успешного фишинга нескольких сотрудников. Twilio не уточнил, кто были клиенты, но они, вероятно, включают крупные организации после того, как Signal подтвердил в понедельник, что он был одной из этих жертв.
В понедельник компания Signal сообщила в своем блоге, что уведомит около 1900 пользователей, чьи телефонные номера или SMS-коды подтверждения были украдены, когда злоумышленники получили доступ к консоли поддержки клиентов Twilio.
«Приблизительно для 1900 пользователей злоумышленник мог попытаться перерегистрировать свой номер на другом устройстве или узнать, что их номер был зарегистрирован в Signal», — сказал гигант обмена сообщениями. «Из 1900 телефонных номеров злоумышленник явно искал три номера, и мы получили отчет от одного из этих трех пользователей о том, что его учетная запись была перерегистрирована».
Хотя это не дало злоумышленнику доступа к истории сообщений, которую Signal не хранит, или к спискам контактов и информации профиля, которая защищена пользовательским PIN-кодом Signal, Signal заявил, что «в случае, если злоумышленник сможет повторно зарегистрировать учетной записи, они могли отправлять и получать сообщения Signal с этого номера телефона».
Что касается пострадавших, компания сообщает, что отменит регистрацию Signal на всех устройствах, которые пользователь использует в данный момент или на которых их зарегистрировал злоумышленник, и потребует от пользователей повторно зарегистрировать Signal, указав свой номер телефона на своем любимом устройстве. . Signal также рекомендует пользователям включить блокировку регистрации, функцию, которая предотвращает повторную регистрацию учетной записи на другом устройстве без PIN-кода безопасности пользователя.
Хотя взлом Twilio затронул небольшую часть из более чем 40 миллионов пользователей Signal, пользователи уже давно сетуют на то, что Signal, считающийся одним из самых безопасных приложений для обмена сообщениями, требует от пользователей регистрации номера телефона для создания учетной записи. Другие приложения сквозного шифрования, такие как Wire, позволяют пользователям регистрироваться с именем пользователя. Хотя Signal постепенно перестал полагаться на телефонные номера, например, с введением PIN-кодов Signal в 2020 году, этот инцидент, скорее всего, вызовет призывы действовать быстрее.
What's Your Reaction?
