Телефонные номера примерно 1900 пользователей Signal были раскрыты в результате утечки данных, от которой ранее в этом месяце пострадала компания Twilio, занимающейся разработкой и предоставлением облачных PaaS-услуг.
Напомню, что взлом Twilio произошел в начале августа 2022 года. Тогда неизвестные злоумышленники организовали фишинговую атаку на сотрудников компании, похитили их учтенные данные, а затем использовали для доступа к данным некоторых клиентов. Как стало известно позже, этот инцидент затронул 125 компаний-клиентов Twilio.
Теперь разработчики мессенджера Signal опубликовали заявление, согласно которому атака на Twilio затронула и их пользователей. Дело в том, что Signal использует Twilio для отправки верификационных SMS-кодов пользователям, регистрирующимся в приложении.
«Все наши пользователи могут быть уверены, что их история сообщений, списки контактов, информация о профиле, заблокированных контактах и другие личные данные по-прежнему остаются приватными и безопасными, и не пострадали [в ходе инцидента]», — говорят в компании.
Однако телефонные номера примерно 1900 пользователей Signal могли попасть в руки злоумышленников, взломавших Twilio, и хакеры могли использовать эту возможность для перерегистрации на другом устройстве.
Дело в том, что собственное расследование Signal выявило: полученный хакерами доступ к консоли поддержки клиентов Twilio, позволял им узнать номера телефонов, связанных с учетными записями Signal, а также раскрывал SMS-коды верификации, которые использовались для регистрации в сервисе.
«В то время, пока злоумышленники имели доступ к системам поддержки клиентов Twilio, они могли попытаться перерегистрировать доступные им телефонные номера на другом устройстве, используя верификацию через SMS. У злоумышленников больше нет такого доступа, [специалисты] Twilio остановили атаку», — объясняют в Signal.
Разработчики Signal говорят, что из всех 1900 телефонных номеров злоумышленников явно интересовали только три номера, которые хакеры искали специально. Один из этих пользователей сообщил, что его учетная запись все же была перерегистрирована.
В компании подчеркивают, что история сообщений пользователей в безопасности, поскольку она доступна только на самом устройстве и не копируется на серверы Signal. В свою очередь, списки контактов и информация профилей защищены PIN-кодом, который не был доступен взломщикам Twilio.
В настоящее время Signal рассылает всем пострадавшим SMS-сообщения об инциденте и предупреждает, что из соображений безопасности все 1900 пользователей должны будут пройти повторную регистрацию на своих устройствах.
Также разработчики рекомендуют всем пользователям включить защиту от регистрации. Эта дополнительная мера безопасности требует PIN-код при регистрации номера телефона на новом устройстве.
