La piattaforma di messaggistica Signal afferma che centinaia di suoi clienti sono stati colpiti da un attacco di phishing proveniente da Twilio.
Signal afferma che i numeri di telefono e i codici di verifica SMS di 1.900 clienti sono stati compromessi, trasferendo potenzialmente l’accesso a questi account agli aggressori. Signal afferma che le chat storiche sulla sua app continuano a essere protette dalla crittografia e che ha adottato misure per prevenire ulteriori compromissioni.
Signal utilizza i servizi di verifica del numero di telefono di Twilio per la registrazione degli utenti sulla sua piattaforma di comunicazione.
La scorsa settimana, dopo aver annunciato l’attacco il 7 agosto, Twilio ha identificato gli attori delle minacce che hanno avuto accesso illegalmente ai dati di 125 dei suoi clienti. Twilio ha affermato mercoledì che gli attacchi sono ancora in corso ma che finora non ci sono prove di accesso non autorizzato alle password dei clienti, ai token di autenticazione o alle chiavi API.
Signal afferma che l’attaccante ha avuto accesso alla console di assistenza clienti di Twilio durante l’attacco informatico, ciò ha permesso alla lettura dei numeri di telefono degli utenti di Signal e dei dati di verifica dell’account.
Risultati dell’indagine interna
Signal afferma che la sua indagine interna ha rilevato che gli aggressori hanno controllato la console di assistenza clienti di Twilio per un periodo di tempo non divulgato. Ciò ha consentito loro di visualizzare i numeri di telefono e i codici di verifica SMS dei membri di Signal. Gli aggressori potrebbero potenzialmente utilizzare questi dati per registrare nuovamente i numeri di telefono esposti su un dispositivo sotto il loro controllo e utilizzarli per impersonare utenti e inviare e ricevere messaggi con intenti dannosi.
L’aggressore ha cercato tre numeri specifici nel set di dati esposto, uno dei quali è stato segnalato come registrato nuovamente, afferma Signal. La società non ha risposto immediatamente alla richiesta di Information Security Media Group di dettagli sui tre utenti presi di mira e se uno qualsiasi degli altri numeri di telefono esposti fosse stato registrato nuovamente.
Vulnerabilità dei dati
Signal afferma di utilizzare la crittografia end-to-end sulla sua applicazione sia per i messaggi che per le chiamate, impedendo a Signal e alle sue terze parti di monitorare le comunicazioni. Anche la cronologia dei messaggi è sicura, poiché questi dati vengono archiviati solo sul dispositivo locale degli utenti. Le informazioni del profilo e gli elenchi di contatti sono protetti da un PIN di Signal, che non è memorizzato e quindi non visibile a Twilio o ai suoi aggressori.
Per rimediare, la società afferma che annullerà la registrazione di tutti gli account dai dispositivi su cui sono attualmente registrati.