الخلاصة
في صيف عام 2022، تعرّضت Twilio، الشركة التي تُزود Signal بخدمات التحقّق من رقم الهاتف، لـ عملية تصيد احتيالي. إليك ما يحتاج مستخدمينا إلى معرفته:
- ندعو جميع المستخدمين ليطمئنوا أن محفوظات رسائلهم وقوائم جهات اتصالهم ومعلومات حسابهم الشخصي والأشخاص الذين قاموا بحظرهم وبياناتهم الشخصية الأخرى آمنة وخاصة لم تتأثر.
- ويتعلّق الأمر بحوالي 1900 مُستخدم الذين حاول المُخترق إعادة تسجيل أرقامهم على جهاز آخر أو علِم أن رقمهم مُسجل في Signal. أحبط Twilio هذا الاختراق فور حدوثه. 1900 مُستخدم يمثلون نسبة صغيرة جدًا من إجمالي مستخدمي Signal، مما يعني أن معظمهم لم يتأثروا.
لقد أبلغنا هؤلاء المستخدمين البالغ عددهم 1900 مباشرةً، وطالبناهم بإعادة تنزيل تطبيق Signal على أجهزتهم. إذا تلقيت رسالة نصية قصيرة من Signal تحتوي على رابط لمقالة الدعم هذه، يُرجى اِتباع هذه الخطوات:
- افتح تطبيق Signal على هاتفك وقم بتسجيل حساب Signal مرة أخرى إذا طُلب منك التطبيق ذلك.
- لحماية حسابك بشكل أفضل، نوصيك بشدة بتفعيل قفل التسجيل في إعدادات التطبيق. الغرض من إنشاء هذه الميزة هو حماية المُستخدمين من تهديدات تُشبه هجوم Twilio.
ماذا حدث بالضبط؟
تلقّينا خبرًا من Twilio، الشركة التي تزود Signal بخدمات التحقّق من رقم الهاتف، بتعرّضها لعملية تصيد احتيالي. أجرينا تحقيقا في الحادث وحدّدنا ما يلي.
- تمكّن أحد المخترقين من الوصول إلى وحدة تحكم دعم العملاء في Twilio عبر التصيد الاحتيالي. فيما يخُص الـ 1900 مستخدمًا، إما 1) تم الكشف عن أرقام هواتفهم على أنها مُسجلة في حساب Signal، أو 2) تم الكشف عن رمز SMS لتحقّق المستخدم للتسجيل في Signal.
- عندما تمكّن المخترق من الوصول إلى أنظمة دعم العملاء في Twilio، أصبح من المُمكن له محاولة تسجيل أرقام الهواتف التي وضع يده عليها في جهاز آخر باستخدام رمز التحقق عبر رسائل SMS. لم يعد للمخترق إمكانية الحصول على هذه المعلومات بعد أن تمكن Twilio من إحباط هذا الاختراق.
- من بين 1900 رقم هاتف، كان المخترق مهتمًا بثلاثة أرقام بالتحديد، وتلقينا بلاغًا من أحد هؤلاء المُستخدمين الثلاثة يفيد بإعادة تسجيل حسابهم.
والأهم من كل ذلك أن هذا لم يمنح المُخترق حق الوصول إلى أي سجل رسائل أو معلومات الحساب الشخصي أو قوائم جهات اتصال. يتم تخزين سِجل الرسائل على جهازك فقط ولا يحتفظ تطبيق Signal بنسخة منه. لا يُمكن استرداد قوائم جهات الاتصال الخاصة بك ومعلومات الحساب الشخصي والأشخاص الذين حظرتهم والمزيد إلا باستخدام الرقم التعريفي الشخصي لـ Signal الخاص بك والذي لم يتم (ولا يُمكن) الوصول إليه جراء الحادثة. إلا أنه في حالة تمكّن المُخترق من إعادة تسجيل حساب ما، فهذا سيُمكنه من إرسال واستقبال رسائل تطبيق Signal من رقم الهاتف هذا.
اِتخذنا هذه الخطوات لحماية المُستخدمين المتأثرين:
- بالنسبة لجميع المستخدمين البالغ عددهم 1900 من المُستخدمين المحتمل تأثرهم، قمنا بإلغاء تسجيل Signal على جميع الأجهزة التي كان المستخدم يستخدمها آنذاك (أو الذي سجله أحد المخترقين فيها) وطلبنا منهم إعادة تسجيل Signal برقم هواتفهم على أجهزة من اختيارهم.
- أبلغنا جميع المستخدمين البالغ عددهم 1900 بتأثرهم مباشرة عبر رسائل SMS.
أبلغنا المستخدمين في 15 أغسطس وطلبنا منهم إعادة تسجيل Signal برقم هواتفهم. أنهينا هذه العملية في 16 أغسطس.
طوّرت Signal ميزات مثل قفل التسجيل والرقم التعريفي الشخصي لـ Signal للحماية من نوع اختراق الاتصالات الذي تعرض له Twilio. نُشجع المستخدمين بشدة على تفعيل قفل التسجيل. صحيح أننا لا نمتلك القدرة على إصلاح المشكلات التي تؤثر على نُظم الاتصالات بشكل مباشر، إلا أننا سنعمل مع Twilio وربما مزودين آخرين لتشديد إجراءات الأمان الخاصة بهم حيثما كان ذلك مهمًا لمُستخدمينا.
هل أنا معني بهذا؟
- استنادًا إلى المعلومات التي تلقيناها من Twilio، من المُحتمل أن يكون 1900 مستخدمًا قد تأثروا. إننا بصدد إخبار هؤلاء المُستخدمين عبر رسائل SMS. بدأنا في إبلاغ المستخدمين في 15 أغسطس وانتهينا من ذلك في 16 أغسطس. نصّت رسالة SMS التي كنا نرسلها إلى هؤلاء المستخدمين على التالي: "هذه الرسالة من طرف Signal Messenger. نتواصل معك حتى تتمكن من حماية حسابك على Signal. يُرجى فتح تطبيق Signal وإعادة التسجيل مرة أخرى. للمزيد من المعلومات: https://signal.org/smshelp"
- إذا رأيت لافتة عند فتح تطبيق Signal تفيد بأن جهازك لم يعد مُسجلاً، فربما تكون قد تأثرت، ولكن يمكن أن تكون هناك أسباب أخرى مسؤولة عن عدم تسجيلك، مثل فترة طويلة من عدم النشاط.
هل تم الوصول إلى بياناتي الشخصية أو اختراقها؟
لا. تم تصميم تطبيق Signal ليُحافظ على بياناتك بين يديك وليس في أيدينا. لا يتمتع تطبيق Signal بإمكانية الوصول إلى سِجل رسائلك وقائمة جهات اتصالك ومعلومات حسابك الشخصي وهوية الأشخاص الذين قمت بحظرهم والعديد من البيانات الشخصية الأخرى. وهذه المعلومات بالتأكيد ليست متاحة لـ Twilio أو عبر الوصول الذي حصل عليه مخترقو Twilio مؤقتًا. ومع ذلك، في حالة تمكن المُخترق من إعادة تسجيل حساب خلال الوقت الذي تمت فيه عملية اختراق Twilio، فهذا سيمكنه من إرسال واستقبال الرسائل من رقم هاتف الحساب المعني على Signal.
هل تأثر أحد الأشخاص الذين أدردش معهم؟
نظرًا لقلة عدد الأشخاص المتأثرين، فمن غير المرجح أن يحدث ذلك. ومع ذلك، إذا كنت تريد معرفة ما إذا كانت جهة اتصال ما قد تأثرت، فيمكنك التواصل معهم وسؤالهم عما إذا كانوا قد تلقّوا إشعارًا عبر رسالة SMS من Signal يطلب منهم إعادة تسجيل حسابهم ويُزوّدهم بالمزيد من المعلومات حول الحادث.
ماذا يتوجب علي فعله؟نُشجع المستخدمين بشدة على تفعيل قفل التسجيل لحسابهم على Signal . إن إضافة قفل تسجيل اختياري مع الرقم التعريفي الشخصي بـ Signal يزيد مرحلة تحقق إضافية خلال عملية التسجيل. انتقل إلى إعدادات Signal (الحساب الشخصي) > الحساب > قفل التسجيل للقيام بهذا.
ما الذي يفعله Signal لمنع حدوث هذا مرة أخرى؟
إننا على اتصال مع Twilio ونعمل بنشاط معهم ومع مُقدمي الخدمات الآخرين لتحسين ممارساتهم الأمنية. من جهة المُستخدم، فإننا نُشجع المستخدمين بشدة على تفعيل قفل التسجيل.