Zusammenfassung
Im Sommer 2022 wurde Twilio, das Unternehmen, das Signal mit Diensten zur Überprüfung von Telefonnummern unterstützt, Opfer eines Phishing-Angriffs. Folgendes sollten unsere Nutzer wissen:
- Alle User können sicher sein, dass ihr Nachrichtenverlauf, ihre Kontaktlisten, ihre Profilinformationen, die von ihnen blockierten Personen und andere persönliche Daten privat und sicher bleiben und nicht betroffen sind.
- Bei etwa 1.900 Usern könnte ein Angreifer versucht haben, ihre Nummer auf einem anderen Gerät neu zu registrieren, oder er könnte herausgefunden haben, dass ihre Nummer bei Signal registriert war. Dieser Angriff wurde inzwischen von Twilio unterbunden. 1.900 User sind ein sehr kleiner Prozentsatz der gesamten Signal-User, was bedeutet, dass die meisten nicht betroffen waren.
Wir haben diese 1.900 Nutzer direkt benachrichtigt und sie aufgefordert, Signal auf ihren Geräten neu zu registrieren. Wenn du eine SMS-Nachricht von Signal mit einem Link zu diesem Support-Artikel erhalten hast, führe bitte die folgenden Schritte aus:
- Öffne Signal auf deinem Mobiltelefon und registriere dein Signal-Konto erneut, wenn die App dich dazu auffordert.
- Um dein Konto bestmöglich zu schützen, empfehlen wir dir dringend, in den App-Einstellungen die Registrierungssperre zu aktivieren . Wir haben diese Funktion entwickelt, um User vor Bedrohungen wie dem Twilio-Angriff zu schützen.
Was genau ist passiert?
Twilio, das Unternehmen, das Signal mit Diensten zur Überprüfung von Telefonnummern unterstützt, teilte uns mit, dass es bei ihnen einen
Phishing-Angriff gegeben hat. Wir haben den Vorfall untersucht und dabei Folgendes festgestellt:
- Ein Angreifer verschaffte sich über Phishing Zugang zur Kundendienst-Konsole von Twilio. Bei etwa 1.900 Usern wurde vermutlich festgestellt, dass 1) deren Telefonnummer für ein Signal-Konto registriert ist, oder es wurde 2) der SMS-Verifizierungscode, der zur Registrierung bei Signal verwendet wurde, ausgespäht.
- Während des Zeitfensters, in dem ein Angreifer Zugriff auf die Kundendienstsysteme von Twilio hatte, war es ihm möglich, die Telefonnummern, auf die er Zugriff hatte, mit dem SMS-Verifizierungscode auf einem anderen Gerät zu registrieren. Der Angreifer hat inzwischen keinen Zugriff mehr und der Angriff wurde von Twilio unterbunden.
- Unter den 1.900 Telefonnummern suchte der Angreifer explizit nach drei Nummern, und wir haben von einem dieser drei User einen Bericht erhalten, dass sein Konto neu registriert wurde.
Wichtig ist, dass der Angreifer dadurch keinen Zugriff auf den Nachrichtenverlauf, die Profilinformationen oder die Kontaktlisten der User erhielt. Der Nachrichtenverlauf wird nur auf deinem Gerät gespeichert und Signal bewahrt keine Kopie davon auf. Deine Kontaktlisten, Profilinformationen, blockierte Personen und mehr können nur mit deinerSignal-PIN wiederhergestellt werden, auf die bei diesem Vorfall nicht zugegriffen wurde (und auch nicht zugegriffen werden konnte). Sollte es einem Angreifer jedoch gelingen, ein Konto neu zu registrieren, könnte er von dieser Telefonnummer aus Signal-Nachrichten senden und empfangen.
Wir haben folgende Anstrengungen unternommen, um die betroffenen Nutzer zu schützen:
- Bei allen 1.900 potenziell betroffenen Nutzern haben wir die Registrierung von Signal auf allen Geräten aufgehoben, die die Nutzer derzeit verwendeten (oder auf denen sie von einem Angreifer registriert wurden), und forderten die Nutzer auf, Signal mit ihrer Telefonnummer auf ihrem bevorzugten Gerät neu zu registrieren.
- Wir haben alle 1.900 potenziell betroffenen Nutzer direkt per SMS benachrichtigt.
Am 15. August hatten wir die Nutzer bereits benachrichtigt und sie aufgefordert, Signal erneut mit ihrer Telefonnummer zu registrieren. Bis zum 16. August hatten wir die Vorgang beendet.
Die Art von Telekommunikationsangriff, die Twilio erlitten hat, ist eine Schwachstelle, gegen die Signal Funktionen wie Registrierungssperre und Signal-PINs entwickelt, um sich davor zu schützen. Wir empfehlen den Usern dringend, die Registrierungssperre zu aktivieren. Wir haben zwar nicht die Möglichkeit, die Probleme im Telekommunikationsbereich direkt zu beheben, aber wir werden mit Twilio und möglicherweise auch anderen Anbietern zusammenarbeiten, um die Sicherheit dort zu erhöhen, wo es für unsere User wichtig ist.
Hat mich das betroffen?
- Nach den Informationen, die wir von Twilio erhalten haben, waren möglicherweise 1.900 Nutzer betroffen. Wir haben diese Nutzer per SMS benachrichtigt. Wir haben am 15. August mit der Benachrichtigung der Nutzer begonnen und die Benachrichtigungen der Nutzer am 16. August abgeschlossen. Die SMS-Nachricht, die wir diesen Nutzern geschickt haben, lautete: »Dies ist eine Nachricht von Signal Messenger. Wir wenden uns an dich, damit du dein Signal-Konto schützen kannst. Öffne Signal und melde dich erneut an. Mehr Infos: https://signal.org/smshelp«
- Wenn du beim Öffnen von Signal ein Banner gesehen hast, das besagt, dass dein Gerät nicht mehr registriert ist, könnte es sein, dass du betroffen bist, aber es gibt auch andere Gründe, warum du nicht mehr registriert bist, wie zum Beispiel eine lange Phase der Inaktivität.
Wurde auf meine persönlichen Daten zugegriffen oder wurden sie gehackt?
Nein. Signal ist so konzipiert, dass deine Daten bei dir bleiben und nicht bei uns. Signal hat keinen Zugang auf deinen Nachrichtenverlauf, deine Kontaktliste, deine Profilinformationen, den Personen, die du blockiert hast, und anderen persönlichen Daten. Und diese Informationen stehen Twilio mit Sicherheit nicht zur Verfügung, auch nicht über den Zugang, den sich die Angreifer von Twilio vorübergehend verschafft haben. Falls ein Angreifer jedoch in der Lage war, während der Zeit, in der der Twilio-Angriff stattfand, ein Konto neu zu registrieren, konnte er von dieser Telefonnummer aus Nachrichten über Signal senden und empfangen.
War jemand, mit dem ich mich unterhalten habe, betroffen?
Da nur wenige Menschen betroffen waren, ist das sehr unwahrscheinlich. Wenn du dich jedoch fragst, ob einer deiner Kontakte betroffen war, kannst du diese kontaktieren und fragen, ob sie eine SMS von Signal erhalten haben, in der sie aufgefordert wurden, ihr Konto neu zu registrieren, und in der auf weitere Informationen zu dem Vorfall hingewiesen wurde.
Was soll ich tun?
Wir empfehlen unseren Nutzern, für ihr Signal-Konto die Registrierungssperre zu aktivieren. Die optionale Registrierungssperre mit deiner Signal-PIN bietet eine zusätzliche Verifizierungsebene für den Registrierungsprozess. Gehe dazu zu Signal-Einstellungen (Profil) > Konto > Registrierungssperre.
Was unternimmt Signal, um zu verhindern, dass so etwas noch einmal passiert?
Wir stehen in Kontakt mit Twilio und arbeiten aktiv mit ihnen und anderen Anbietern zusammen, um ihre Sicherheitsverfahren zu verbessern. Den Nutzern empfehlen wir, die Registrierungssperre zu aktivieren.