A seguito di un attacco phishing a Twilio, la società che fornisce a Signal i servizi di verifica del numero di telefono, i numeri di telefono di 1.900 utenti della nota app di messaggistica istantanea sono stati potenzialmente esposti.
Il 4 agosto Twilio è stata violata e ha comunicato a Signal di aver subito un attacco phishing e che i cybercriminali hanno avuto accesso ai dati dei clienti del servizio. Signal ha condotto un’indagine sull’incidente e determinato che un utente malintenzionato ha ottenuto l’accesso alla console dell’assistenza clienti di Twilio tramite phishing e che per circa 1.900 utenti i loro numeri di telefono sono stati potenzialmente rivelati come registrati su un account Signal o è stato rivelato il codice di verifica SMS utilizzato per registrarsi con Signal.
Durante la finestra temporale in cui l’utente malintenzionato ha avuto accesso ai sistemi di assistenza clienti di Twilio, è stato possibile tentare di registrare i numeri di telefono a cui ha avuto accesso su un altro dispositivo utilizzando il codice di verifica SMS. Signal ha affermato che l’attaccante non ha più questo accesso e che l’attacco è stato interrotto da Twilio.
Tra i 1.900 numeri di telefono, l’attaccante ha cercato esplicitamente tre numeri e Signal ha ricevuto una segnalazione da uno di quei tre utenti che il loro account è stato registrato nuovamente.
Signal ha sottolineato che ciò non ha consentito all’attaccante di accedere alla cronologia dei messaggi, alle informazioni sul profilo o agli elenchi di contatti, nonché che la cronologia dei messaggi viene archiviata solo sul dispositivo dell’utente e che Signal non ne conserva una copia. Inoltre, Signal ha sottolineato che i propri elenchi di contatti, informazioni sul profilo e altro possono essere recuperati solo con il proprio PIN a cui non è stato (e non è stato possibile) accedere come parte di questo incidente. Tuttavia, spiega che nel caso in cui un utente malintenzionato fosse in grado di registrare nuovamente un account, potrebbe inviare e ricevere messaggi di Signal da quel numero di telefono.
A partire dal 15 agosto, Signal ha avvisato le potenziali vittime e adottato una serie di passaggi per proteggere gli utenti interessati.
“Il tipo di attacco alle telecomunicazioni subito da Twilio è una vulnerabilità da cui Signal ha sviluppato funzionalità come il blocco della registrazione e i PIN di Signal per proteggersi. Incoraggiamo vivamente gli utenti ad abilitare il blocco della registrazione. Sebbene non siamo in grado di risolvere direttamente i problemi che interessano l’ecosistema delle telecomunicazioni, lavoreremo con Twilio e potenzialmente altri fornitori per rafforzare la loro sicurezza laddove è importante per i nostri utenti”, conclude Signal.