Los números de teléfono de 1900 usuarios de Signal quedaron expuestos a través del phishing de Twilio
Agrandar / La aplicación de mensajería consciente de la seguridad de Signal está lidiando con un intento de phishing de un tercero que filtró una pequeña cantidad de números de teléfono de los usuarios a la aplicación de mensajería segura Signal, pero ese es el alcance de la violación, dice Signal y señala que no se puede acceder a más datos de usuario. en uno Hilo de Twitter y documento de soporte, Signal afirma que un reciente ataque de phishing exitoso (y con buenos recursos) en Twilio proporcionó acceso a los números de teléfono asociados con 1,900 usuarios. Eso es «un porcentaje muy pequeño de todos los usuarios de Signal», escribe Signal, y los 1900 usuarios afectados serán notificados (a través de SMS) para volver a inscribir sus dispositivos. Signal, como muchas empresas de aplicaciones, utiliza Twilio para enviar códigos de verificación por SMS a los usuarios que registran su aplicación Signal. Con acceso temporal a la consola de atención al cliente de Twilio, los atacantes podrían haber usado potencialmente los códigos de verificación enviados por Twilio para activar Signal en otro dispositivo, enviando o recibiendo nuevos mensajes de Signal. O un atacante podría confirmar que esos 1900 números de teléfono estaban realmente registrados en los dispositivos de Signal. No se pudo acceder a otros datos, en gran parte debido al diseño de Signal. El historial de mensajes se almacena completamente en los dispositivos de los usuarios. Se requiere un PIN de Signal para acceder a listas de contactos y bloqueos, detalles del perfil y otros datos del usuario. Y Signal solicita a los usuarios que habiliten el bloqueo de registro, lo que impide el acceso a Signal en nuevos dispositivos hasta que el PIN del usuario se ingrese correctamente. «El tipo de ataque de telecomunicaciones que sufre Twilio es una vulnerabilidad de la que Signal ha desarrollado características como el bloqueo de registro y los PIN de Signal para protegerse», afirma el documento de soporte de Signal. La aplicación de mensajería señala que, si bien Signal no es «capaz de abordar directamente los problemas que afectan el ecosistema de las telecomunicaciones», trabajará con Twilio y otros proveedores «para mejorar su seguridad donde sea importante para nuestros usuarios». Los PIN de Signal se introdujeron en mayo de 2020, en parte para reducir la dependencia de los números de teléfono como identificación de usuario principal. Este último incidente podría proporcionar otro ímpetu para desvincular la fuerte seguridad de Signal del ecosistema de SMS, donde la suplantación de identidad económica y efectiva y los ataques a redes amplias son muy comunes.