1.900 nomor telepon pengguna sinyal yang terpapar oleh phishing Twilio

Memperbesar / Aplikasi pesan keamanan Signal sedang berurusan dengan upaya phishing pihak ketiga yang mengekspos sejumlah kecil nomor telepon pengguna.

Gambar Getty

Serangan phishing yang berhasil di perusahaan layanan SMS Twilio mungkin telah mengekspos nomor telepon sekitar 1.900 pengguna aplikasi perpesanan aman Signal—tetapi itu tentang tingkat pelanggaran, kata Signal, mencatat bahwa tidak ada data pengguna lebih lanjut yang dapat diakses.

Di sebuah utas Twitter dan dokumen dukungan, Signal menyatakan bahwa serangan phishing yang sukses (dan sumber daya yang mendalam) baru-baru ini di Twilio memungkinkan akses ke nomor telepon yang terhubung dengan 1.900 pengguna. Itu “persentase yang sangat kecil dari total pengguna Signal,” tulis Signal, dan semua 1.900 pengguna yang terpengaruh akan diberi tahu (melalui SMS) untuk mendaftarkan ulang perangkat mereka. Signal, seperti banyak perusahaan aplikasi, menggunakan Twilio untuk mengirim kode verifikasi SMS kepada pengguna yang mendaftarkan aplikasi Signal mereka.

Dengan akses sesaat ke konsol dukungan pelanggan Twilio, penyerang berpotensi menggunakan kode verifikasi yang dikirim oleh Twilio untuk mengaktifkan Signal di perangkat lain dan dengan demikian mengirim atau menerima pesan Signal baru. Atau penyerang dapat mengonfirmasi bahwa 1.900 nomor telepon ini benar-benar terdaftar di perangkat Signal.

Tidak ada data lain yang dapat diakses, sebagian besar karena desain Signal. Riwayat pesan disimpan sepenuhnya di perangkat pengguna. Daftar kontak dan blokir, detail profil, dan data pengguna lainnya memerlukan PIN Sinyal untuk mengakses. Dan Signal meminta pengguna untuk mengaktifkan kunci pendaftaran, yang mencegah akses Signal pada perangkat baru hingga PIN pengguna dimasukkan dengan benar.

“Jenis serangan telekomunikasi yang diderita oleh Twilio adalah kerentanan yang dikembangkan oleh Signal seperti kunci pendaftaran dan PIN Sinyal untuk melindunginya,” bunyi dokumen dukungan Signal. Aplikasi perpesanan mencatat bahwa sementara Signal tidak “memiliki kemampuan untuk secara langsung memperbaiki masalah yang mempengaruhi ekosistem telekomunikasi,” itu akan bekerja dengan Twilio dan penyedia lain “untuk memperketat keamanan mereka di tempat yang penting bagi pengguna kami.”

PIN sinyal diperkenalkan pada Mei 2020, sebagian untuk mengurangi ketergantungan pada nomor telepon sebagai ID pengguna utama. Insiden terbaru ini dapat memberikan dorongan lain untuk memisahkan keamanan Signal yang kuat dari ekosistem SMS, di mana spoofing yang murah, efektif, dan peretasan jaringan yang luas masih terlalu umum.

Leave a Comment