الخلاصة
في صيف عام 2022، تعرّضت Twilio، الشركة التي تُزوِّد سيجنال بخدمات التحقُّق من رقم الهاتف، لـ عملية تصيد احتيالي. إليك ما يحتاج مُستخدِمينا إلى معرفته:
- ندعو جميع المُستخدِمين ليطمئنوا أن محفوظات رسائلهم وقوائم جهات اتصالهم ومعلومات حسابهم الشخصي والأشخاص الذين قاموا بحظرهم وبياناتهم الشخصية الأخرى آمنة وخاصة لم تتأثر.
- ويتعلّق الأمر بحوالي 1900 مُستخدِم الذين حاول المُخترق إعادة تسجيل أرقامهم على جهاز آخر أو علِم أن رقمهم مُسجَّل في سيجنال. أحبط Twilio هذا الاختراق فور حدوثه. 1900 مُستخدِم يمثلون نسبة صغيرة جدًا من إجمالي مُستخدِمي سيجنال، ممّا يعني أن معظمهم لم يتأثروا.
أبلغنا هؤلاء المُستخدِمين البالغ عددهم 1900 مباشرةً، وطالبناهم بإعادة تنزيل تطبيق سيجنال على أجهزتهم. إذا تلقيت رسالة نصية قصيرة من سيجنال تحتوي على رابط لمقالة الدعم هذه، يُرجى اِتباع هذه الخطوات:
- افتح تطبيق سيجنال على هاتفك وقُم بتسجيل حساب سيجنال مرّة أخرى إذا طَلَب منك التطبيق ذلك.
- لحماية حسابك بشكلٍ أفضل، نوصيك بشدة بتفعيل قفل التسجيل في إعدادات التطبيق. الغرض من إنشاء هذه الميزة هو حماية المُستخدِمين من تهديدات تُشبه هجوم Twilio.
ماذا حدث بالضبط؟
تلقّينا خبرًا من Twilio، الشركة التي تزود Signal بخدمات التحقُّق من رقم الهاتف، بتعرّضها لعملية تصيد احتيالي. أجرينا تحقيقًا في الحادث وحدَّدنا ما يلي.
- تمكّن أحد المخترقين من الوصول إلى وحدة تحكُّم دعم العملاء في Twilio عبر التصيُّد الاحتيالي. فيما يخُص الـ 1900 مُستخدِمًا، إما 1) تمَّ الكشف عن أرقام هواتفهم على أنها مُسجَّلة في حساب سيجنال، أو 2) تمَّ الكشف عن كود التحقُّق عبر الرسالة المُستخدَم للتسجيل في سيجنال.
- عندما تمكَّن المُخترِق من الوصول إلى أنظمة دعم العملاء في Twilio، أصبح من المُمكن له محاولة تسجيل أرقام الهواتف التي وضع يده عليها في جهاز آخر باستخدام كود التحقُّق عبر الرسالة النصية. لم يعد للمُخترِق إمكانية الحصول على هذه المعلومات بعد أن تمكن Twilio من إحباط هذا الاختراق.
- من بين 1900 رقم هاتف، كان المُخترِق مهتمًا بثلاثة أرقام بالتحديد، وتلقينا بلاغًا من أحد هؤلاء المُستخدِمين الثلاثة يفيد بإعادة تسجيل حسابهم.
والأهم من كل ذلك أن هذا لم يمنح المُخترِق حق الوصول إلى أي سجل رسائل أو معلومات الحساب الشخصي أو قوائم جهات اتصال. يتم تخزين سِجل الرسائل على جهازك فقط ولا يحتفظ تطبيق سيجنال بنسخة منه. لا يُمكن استرداد قوائم جهات الاتصال الخاصة بك ومعلومات الحساب الشخصي والأشخاص الذين حظرتهم والمزيد إلّا باستخدام رقم التعريف الشخصي على سيجنال الخاص بك والذي لم يتم (ولا يُمكن) الوصول إليه جراء الحادثة. إلّا أنه في حالة تمكّن المُخترِق من إعادة تسجيل حساب ما، فهذا سيُمكِّنه من إرسال واستقبال رسائل تطبيق سيجنال من رقم الهاتف هذا.
اتخذنا هذه الخطوات لحماية المُستخدِمين المتأثرين:
- بالنسبة لجميع المُستخدِمين البالغ عددهم 1900 من المُستخدِمين المحتمل تأثرهم، قمنا بإلغاء تسجيل سيجنال على جميع الأجهزة التي كان المُستخدِم يستخدمها آنذاك (أو الذي سجله أحد المخترقين فيها) وطلبنا منهم إعادة تسجيل سيجنال برقم هواتفهم على أجهزة من اختيارهم.
- أبلغنا جميع المُستخدِمين البالغ عددهم 1900 بتأثرهم مباشرة عبر رسائل SMS.
أبلغنا المُستخدِمين في 15 أغسطس وطلبنا منهم إعادة تسجيل سيجنال برقم هواتفهم. أنهينا هذه العملية في 16 أغسطس.
طوّرت شركة سيجنال ميزات مثل قفل التسجيل ورقم التعريف الشخصي على سيجنال للحماية من نوع اختراق الاتصالات الذي تعرض له Twilio. نُشجِّع المُستخدِمين بشدة على تفعيل قفل التسجيل. صحيح أننا لا نمتلك القدرة على إصلاح المشكلات التي تؤثر على نُظم الاتصالات بشكلٍ مباشر، إلّا أننا سنعمل مع Twilio وربما مزوِّدين آخرين لتشديد إجراءات الأمان الخاصة بهم حيثما كان ذلك مهمًا لمُستخدِمينا.
هل أنا معني بهذا؟
- استنادًا إلى المعلومات التي تلقيناها من Twilio، من المُحتمل أن يكون 1900 مُستخدِمًا قد تأثروا. إننا بصدد إخبار هؤلاء المُستخدِمين عبر رسائل SMS. بدأنا في إبلاغ المُستخدِمين في 15 أغسطس وانتهينا من ذلك في 16 أغسطس. نصّت رسالة SMS التي كنا نرسلها إلى هؤلاء المُستخدِمين على التالي: "هذه الرسالة من طرف تطبيق سيجنال للمراسلة. نتواصل معك حتى تتمكن من حماية حسابك على سيجنال. افتح تطبيق سيجنال وقُم بإعادة التسجيل مرّة أخرى. للمزيد من المعلومات: https://signal.org/smshelp"
- إذا رأيت شريط إعلاني عند فتح تطبيق سيجنال يفيد بأن جهازك لم يعد مُسجلًا، فربما تكون قد تأثرت، ولكن يمكن أن تكون هناك أسباب أخرى مسؤولة عن عدم تسجيلك، مثل فترة طويلة من عدم النشاط.
هل تمَّ الوصول إلى بياناتي الشخصية أو اختراقها؟
لا. تمَّ تصميم تطبيق سيجنال ليُحافظ على بياناتك بين يديك وليس في أيدينا. لا يتمتع تطبيق سيجنال بإمكانية الوصول إلى سِجل رسائلك وقائمة جهات اتصالك ومعلومات حسابك الشخصي وهوية الأشخاص الذين قُمتَ بحظرهم والعديد من البيانات الشخصية الأخرى. وهذه المعلومات بالتأكيد ليست متاحة لـ Twilio أو عبر الوصول الذي حصل عليه مخترقو Twilio مؤقتًا. ومع ذلك، في حالة تمكن المُخترِق من إعادة تسجيل حساب خلال الوقت الذي تمَّت فيه عملية اختراق Twilio، فهذا سيمكنه من إرسال واستقبال الرسائل من رقم هاتف الحساب المعني على سيجنال.
هل تأثر أحد الأشخاص الذين أدردش معهم؟
نظرًا لقلة عدد الأشخاص المتأثرين، فمن غير المرجح أن يحدث ذلك. ومع ذلك، إذا كُنتَ تريد معرفة ما إذا كانت جهة اتصال ما قد تأثرت، فيمكنك التواصل معهم وسؤالهم عما إذا كانوا قد تلقّوا إشعارًا عبر رسالة SMS من سيجنال يطلب منهم إعادة تسجيل حسابهم ويُزوّدهم بالمزيد من المعلومات حول الحادث.
ماذا يتوجَّب علي فعله؟نُشجع المُستخدِمين بشدة على تفعيل قفل التسجيل لحسابهم على سيجنال. إن إضافة قفل تسجيل اختياري مع الرقم التعريفي الشخصي بسيجنال يزيد مرحلة تحقُّق إضافية خلال عملية التسجيل. انتقِل إلى إعدادات سيجنال (الحساب الشخصي) > الحساب > قفل التسجيل للقيام بهذا.
ما الذي يفعله سيجنال لمنع حدوث هذا مرّة أخرى؟
إننا على اتصال مع Twilio ونعمل بنشاط معهم ومع مُقدِّمي الخدمات الآخرين لتحسين ممارساتهم الأمنية. من جهة المُستخدِم، فإننا نُشجع المُستخدِمين بشدة على تفعيل قفل التسجيل.