Nemmeno Signal è sicuro: 1.900 numeri di telefono (di utenti) esposti all’attacco di phishing Twilio

L’app di messaggistica online Signal supporta la crittografia end-to-end e non conserva i registri delle chiamate. Questo la rende una delle app di messaggistica più sicure e incentrate sulla privacy. Tuttavia, un recente attacco di phishing alla piattaforma di servizi di verifica, Twilio, ha in qualche modo intaccato la sua credibilità. La notizia è esplosa quando Twilio ha comunicato a Signal di aver subito un attacco di phishing. Ha rivelato che l’attaccante è riuscito ad accedere alla console di assistenza clienti di Twilio tramite phishing. I numeri di telefono di circa 1.900 utenti registrati su un account Signal sarebbero stati scoperti in questo incidente.

I risultati durante le indagini hanno identificato che, tra i 1.900 numeri di telefono, l’attaccante ha cercato esplicitamente tre numeri e uno dei tre utenti il ​​cui account è stato registrato nuovamente aveva già segnalato l’incidente a Signal. È importante sottolineare che l’attaccante non ha avuto accesso alla cronologia dei messaggi, alle informazioni del profilo o agli elenchi di contatti degli utenti poiché Signal non ne conserva una copia. Tutto è memorizzato sul dispositivo dell’utente stesso.

L’attacco è stato interrotto da Twilio. Sta lavorando con Signal per aiutare le sue indagini. Inoltre, Signal ha riferito che annullerà la registrazione di Signal su tutti i dispositivi per tutti i 1.900 utenti potenzialmente interessati e richiederà loro di registrare nuovamente Signal con il proprio numero di telefono sul dispositivo preferito. La società ha già avviato il processo di notifica a tutti i 1.900 utenti potenzialmente interessati direttamente tramite SMS.

Signal attaccato tramite Twilio: cosa devono sapere gli utenti

Recentemente Twilio, la società che fornisce a Signal i servizi di verifica del numero di telefono, ha subito un attacco di phishing. Ecco cosa devono sapere gli utenti:

• Tutti gli utenti possono essere certi che la cronologia dei messaggi, gli elenchi di contatti, le informazioni sul profilo, chi avevano bloccato e altri dati personali rimangono privati ​​e sicuri e non sono stati interessati.
• Per circa 1.900 utenti, un utente malintenzionato potrebbe aver tentato di registrare nuovamente il proprio numero su un altro dispositivo o aver appreso che il proprio numero era stato registrato su Signal. Da allora questo attacco è stato interrotto da Twilio. 1.900 utenti è una percentuale molto piccola degli utenti totali di Signal, il che significa che la maggior parte non è stata interessata.

Signal sta informando direttamente questi 1.900 utenti e chiediamo loro di registrare nuovamente Signal sui loro dispositivi. Se hai ricevuto un messaggio SMS da Signal con un collegamento a questo articolo di supporto, segui questi passaggi :

1. Apri Signal sul tuo telefono e registra nuovamente il tuo account Signal se l’app ti chiede di farlo.
2. Per proteggere al meglio il tuo account, ti consigliamo vivamente di abilitare il blocco della registrazione nelle Impostazioni dell’app. Abbiamo creato questa funzione per proteggere gli utenti da minacce come l’attacco Twilio.

Cosa è successo esattamente?

Twilio, la società che fornisce a Signal i servizi di verifica del numero di telefono, ci ha comunicato di aver subito un attacco di phishing . Abbiamo condotto un’indagine sull’incidente e determinato quanto segue.

• Un utente malintenzionato ha ottenuto l’accesso alla console dell’assistenza clienti di Twilio tramite phishing . Per circa 1.900 utenti, 1) i loro numeri di telefono sono stati potenzialmente rivelati come registrati su un account Signal o 2) è stato rivelato il codice di verifica SMS utilizzato per registrarsi con Signal.
• Durante la finestra in cui un utente malintenzionato ha avuto accesso ai sistemi di assistenza clienti di Twilio, è stato possibile tentare di registrare i numeri di telefono a cui ha avuto accesso su un altro dispositivo utilizzando il codice di verifica SMS. L’attaccante non ha più questo accesso e l’attacco è stato interrotto da Twilio.
• Tra i 1.900 numeri di telefono, l’attaccante ha cercato esplicitamente tre numeri e abbiamo ricevuto una segnalazione da uno di quei tre utenti che il loro account è stato registrato nuovamente.

È importante sottolineare che ciò non ha consentito all’autore dell’attacco di accedere alla cronologia dei messaggi, alle informazioni sul profilo o agli elenchi di contatti. La cronologia dei messaggi viene archiviata solo sul tuo dispositivo e Signal non ne conserva una copia. I tuoi elenchi di contatti, informazioni sul profilo, chi hai bloccato e altro possono essere recuperati solo con il tuo PIN di Signal a cui non è stato (e non è stato possibile) accedere come parte di questo incidente. Tuttavia, nel caso in cui un utente malintenzionato fosse in grado di registrare nuovamente un account, potrebbe inviare e ricevere messaggi di Signal da quel numero di telefono.

Signal sta adottando questi passaggi per proteggere gli utenti interessati:

1. Per tutti i 1.900 utenti potenzialmente interessati, annulleremo la registrazione di Signal su tutti i dispositivi che l’utente sta attualmente utilizzando (o su cui è stato registrato da un utente malintenzionato) e richiederemo loro di registrare nuovamente Signal con il proprio numero di telefono sul dispositivo preferito.
2. Stiamo avvisando tutti i 1.900 utenti potenzialmente interessati direttamente tramite SMS.

A partire dal 15 agosto, stiamo già avvisando gli utenti e chiedendo loro di registrare nuovamente Signal con il loro numero di telefono. Siamo sulla buona strada per averlo completato entro il 16 agosto.

Il tipo di attacco alle telecomunicazioni subito da Twilio è una vulnerabilità da cui Signal ha sviluppato funzionalità come il blocco della registrazione e i PIN di Signal per proteggersi. Incoraggiamo vivamente gli utenti ad abilitare il blocco della registrazione . Sebbene non siamo in grado di risolvere direttamente i problemi che interessano l’ecosistema delle telecomunicazioni, lavoreremo con Twilio e potenzialmente altri fornitori per rafforzare la loro sicurezza laddove è importante per i nostri utenti.

Domande e risposte sull’attacco di Signal per capire cosa è successo

Chi è stato colpito?

• Sulla base delle informazioni che abbiamo ricevuto da Twilio, 1.900 utenti potrebbero essere stati interessati. Stiamo avvisando questi utenti tramite SMS. Inizieremo a notificare agli utenti il ​​15 agosto e siamo sulla buona strada per completare la notifica agli utenti entro il 16 agosto. Il messaggio SMS che stiamo inviando a questi utenti recita: “Questo è di Signal Messenger. Ti stiamo contattando affinché tu possa proteggere il tuo account Signal. Apri Signal e registrati di nuovo. Maggiori informazioni: https://signal.org/smshelp
• Se hai visto un banner quando hai aperto Signal dicendo che il tuo dispositivo non è più registrato, potresti essere stato colpito, ma ci sono altri motivi per cui potresti non essere più registrato, come un lungo periodo di inattività.

I miei dati personali sono stati consultati o violati?

No. Signal è progettato per mantenere i tuoi dati nelle tue mani piuttosto che nelle nostre. Signal non ha accesso alla cronologia dei messaggi, all’elenco dei contatti, alle informazioni del profilo, a chi hai bloccato e ad altri dati personali. E queste informazioni non sono certamente disponibili per Twilio, o tramite l’accesso temporaneamente ottenuto dagli aggressori di Twilio. Tuttavia, nel caso in cui un utente malintenzionato fosse in grado di registrare nuovamente un account durante il periodo in cui l’attacco Twilio era attivo, potrebbe inviare e ricevere messaggi da quel numero di telefono su Signal.

Qualcuno con cui ho chattato è stato colpito?

Dato il piccolo numero di persone colpite, è molto improbabile. Tuttavia, se sei curioso di sapere se un contatto è stato interessato, puoi contattarli e chiedere se hanno ricevuto un avviso SMS da Signal chiedendo loro di registrare nuovamente il loro account e indicando loro ulteriori informazioni sull’incidente.

Cosa dovrei fare?

Incoraggiamo gli utenti ad abilitare il blocco della registrazione per il proprio account Signal. L’utilizzo di un blocco di registrazione opzionale con il PIN di Signal aggiunge un ulteriore livello di verifica al processo di registrazione. Vai a Impostazioni segnale (profilo) > Account > Blocco registrazione per farlo.

Cosa sta facendo Signal per evitare che ciò accada di nuovo?

Siamo in contatto con Twilio e stiamo lavorando attivamente con loro e altri fornitori per migliorare le loro pratiche di sicurezza. Sul lato utente, incoraggiamo gli utenti ad abilitare il blocco della registrazione .