Zusammenfassung
Im Sommer 2022 wurde Twilio, das Unternehmen, das Signal mit Diensten zur Überprüfung von Telefonnummern unterstützt, Opfer eines Phishing-Angriffs. Folgendes sollten die Menschen, die Signal nutzen, wissen:
- Alle Menschen, die Signal nutzen, können sicher sein, dass ihr Nachrichtenverlauf, ihre Kontaktlisten, ihre Profilinformationen, die von ihnen blockierten Personen und andere persönliche Daten privat und sicher bleiben und nicht betroffen sind.
- Bei etwa 1.900 Konten könnte ein Angreifer versucht haben, ihre Nummer auf einem anderen Gerät neu zu registrieren, oder er könnte herausgefunden haben, dass ihre Nummer bei Signal registriert war. Dieser Angriff wurde inzwischen von Twilio unterbunden. 1.900 Personen sind ein sehr kleiner Prozentsatz der gesamten Signal-Konten, was bedeutet, dass die meisten nicht betroffen waren.
Wir haben diese 1.900 Personen direkt benachrichtigt und sie aufgefordert, Signal auf ihren Geräten neu zu registrieren. Wenn du eine SMS-Nachricht von Signal mit einem Link zu diesem Support-Artikel erhalten hast, führe bitte die folgenden Schritte aus:
- Öffne Signal auf deinem Mobiltelefon und registriere dein Signal-Konto erneut, wenn die App dich dazu auffordert.
- Um dein Konto bestmöglich zu schützen, empfehlen wir dir dringend, in den App-Einstellungen die Registrierungssperre zu aktivieren . Wir haben diese Funktion entwickelt, um alle Menschen, die Signal nutzen, vor Bedrohungen wie dem Twilio-Angriff zu schützen.
Was genau ist passiert?
Twilio, das Unternehmen, das Signal mit Diensten zur Überprüfung von Telefonnummern unterstützt, teilte uns mit, dass es bei ihnen einen
Phishing-Angriff gegeben hat. Wir haben den Vorfall untersucht und dabei Folgendes festgestellt:
- Ein Angreifer verschaffte sich über Phishing Zugang zur Kundendienst-Konsole von Twilio. Bei etwa 1.900 Personen wurde vermutlich festgestellt, dass 1) deren Telefonnummer für ein Signal-Konto registriert ist, oder es wurde 2) der SMS-Verifizierungscode, der zur Registrierung bei Signal verwendet wurde, ausgespäht.
- Während des Zeitfensters, in dem ein Angreifer Zugriff auf die Kundendienstsysteme von Twilio hatte, war es ihm möglich, die Telefonnummern, auf die er Zugriff hatte, mit dem SMS-Verifizierungscode auf einem anderen Gerät zu registrieren. Der Angreifer hat inzwischen keinen Zugriff mehr und der Angriff wurde von Twilio unterbunden.
- Unter den 1.900 Telefonnummern suchte der Angreifer explizit nach 3 Nummern, und wir haben von einer dieser 3 Personen einen Bericht erhalten, dass ihr Konto neu registriert wurde.
Wichtig ist, dass die Angreifenden dadurch keinen Zugriff auf den Nachrichtenverlauf, die Profilinformationen oder die Kontaktlisten der Betroffenen erhielt. Der Nachrichtenverlauf wird nur auf deinem Gerät gespeichert und Signal bewahrt keine Kopie davon auf. Deine Kontaktlisten, Profilinformationen, blockierte Personen und mehr können nur mit deinerSignal-PIN wiederhergestellt werden, auf die bei diesem Vorfall nicht zugegriffen wurde (und auch nicht zugegriffen werden konnte). Sollte es einer angreifenden Partei jedoch gelingen, ein Konto neu zu registrieren, könnte sie von dieser Telefonnummer aus Signal-Nachrichten senden und empfangen.
Wir haben folgende Anstrengungen unternommen, um die betroffenen Personen zu schützen:
- Bei allen 1.900 potenziell betroffenen Personen haben wir die Registrierung von Signal auf allen Geräten aufgehoben, die sie derzeit verwendeten (oder auf denen sie von einem Angreifer registriert wurden). Außerdem haben wir die Personen aufgefordert, Signal mit ihrer Telefonnummer auf ihrem bevorzugten Gerät neu zu registrieren.
- Wir haben alle 1.900 potenziell betroffenen Personen direkt per SMS benachrichtigt.
Am 15. August hatten wir die Personen bereits benachrichtigt und sie aufgefordert, Signal erneut mit ihrer Telefonnummer zu registrieren. Bis zum 16. August hatten wir den Vorgang beendet.
Die Art von Telekommunikationsangriff, die Twilio erlitten hat, ist eine Schwachstelle, gegen die Signal Funktionen wie Registrierungssperre und Signal-PINs entwickelt, um sich davor zu schützen. Wir empfehlen den Menschen, die Signal nutzen, daher dringend, die Registrierungssperre zu aktivieren. Wir haben zwar nicht die Möglichkeit, die Probleme im Telekommunikationsbereich direkt zu beheben, aber wir werden mit Twilio und möglicherweise auch anderen Anbietern zusammenarbeiten, um die Sicherheit dort zu erhöhen, wo es für Signal und die Menschen, die uns nutzen, wichtig ist.
Hat mich das betroffen?
- Nach den Informationen, die wir von Twilio erhalten haben, waren möglicherweise 1.900 Personen betroffen. Wir haben diese Personen per SMS benachrichtigt. Wir haben am 15. August mit der Benachrichtigung der Betroffenen begonnen und die Benachrichtigungen am 16. August abgeschlossen. Die SMS-Nachricht, die wir diesen Personen geschickt haben, lautete: »Dies ist eine Nachricht von Signal Messenger. Wir wenden uns an dich, damit du dein Signal-Konto schützen kannst. Öffne Signal und melde dich erneut an. Mehr Infos: https://signal.org/smshelp«
- Wenn du beim Öffnen von Signal ein Banner gesehen hast, das besagt, dass dein Gerät nicht mehr registriert ist, könnte es sein, dass du betroffen bist, aber es gibt auch andere Gründe, warum du nicht mehr registriert bist, wie zum Beispiel eine lange Phase der Inaktivität.
Wurde auf meine persönlichen Daten zugegriffen oder wurden sie gehackt?
Nein. Signal ist so konzipiert, dass deine Daten bei dir bleiben und nicht bei uns. Signal hat keinen Zugang auf deinen Nachrichtenverlauf, deine Kontaktliste, deine Profilinformationen, den Personen, die du blockiert hast, und anderen persönlichen Daten. Und diese Informationen stehen Twilio mit Sicherheit nicht zur Verfügung, auch nicht über den Zugang, den sich die Angreifer von Twilio vorübergehend verschafft haben. Falls ein Angreifer jedoch in der Lage war, während der Zeit, in der der Twilio-Angriff stattfand, ein Konto neu zu registrieren, konnte er von dieser Telefonnummer aus Nachrichten über Signal senden und empfangen.
War jemand, mit dem ich mich unterhalten habe, betroffen?
Da nur wenige Menschen betroffen waren, ist das sehr unwahrscheinlich. Wenn du dich jedoch fragst, ob einer deiner Kontakte betroffen war, kannst du diese kontaktieren und fragen, ob sie eine SMS von Signal erhalten haben, in der sie aufgefordert wurden, ihr Konto neu zu registrieren, und in der auf weitere Informationen zu dem Vorfall hingewiesen wurde.
Was soll ich tun?
Wir empfehlen den Menschen, die Signal nutzen, für ihr Signal-Konto die Registrierungssperre zu aktivieren. Die optionale Registrierungssperre mit deiner Signal-PIN bietet eine zusätzliche Verifizierungsebene für den Registrierungsprozess. Gehe dazu zu Signal-Einstellungen (Profil) > Konto > Registrierungssperre.
Was unternimmt Signal, um zu verhindern, dass so etwas noch einmal passiert?
Wir stehen in Kontakt mit Twilio und arbeiten aktiv mit ihnen und anderen Anbietern zusammen, um ihre Sicherheitsverfahren zu verbessern. Den Menschen, die Signal nutzen, empfehlen wir, die Registrierungssperre zu aktivieren.