خلاصه
در تابستان سال ۲۰۲۲، شرکت Twilio که خدمات تأیید شماره تلفن را به سیگنال ارائه میدهد، هدف یک حمله فیشینگ قرار گرفت. آنچه کاربران ما باید بدانند:
- خاطر همه کاربران آسوده باشد که تاریخچه پیامها، فهرستهای مخاطبین، اطلاعات نمایه، کسانی که مسدود کردهاند و سایر دادههای شخصی همچنان خصوصی و امن هستند و تحت تأثیر قرار نگرفتند.
- در مورد حدود ۱۹۰۰ کاربر، یک مهاجم میتوانسته است شماره تلفن آنها را در دستگاه دیگری دوباره ثبت کند یا بداند که شماره تلفن آنها در سیگنال ثبت شده است. Twilio این حمله را مهار کرده است. ۱۹۰۰ کاربر درصد بسیار کوچکی از کل کاربران سیگنال است و این یعنی حمله بر بیشتر کاربران تأثیری نداشت.
ما مستقیماً به این ۱۹۰۰ کاربر اطلاع دادیم و از آنها خواستیم که سیگنال را دوباره روی دستگاههای خود ثبت کنند. اگر شما پیامکی حاوی پیوند به این مقاله پشتیبانی از سیگنال دریافت کردید، لطفاً این مراحل را طی کنید:
- سیگنال را در تلفنتان باز کنید و اگر برنامه از شما میخواهد که حساب سیگنال خود را دوباره ثبت کنید، این کار را انجام دهید.
- برای محافظت از حسابتان به بهترین شکل ممکن، اکیداً توصیه میکنیم در «تنظیمات» برنامه، قفل ثبتنام را فعال کنید. ما این قابلیت را برای حفاظت از کاربران خود در برابر تهدیداتی مانند حملهای که به Twilio شد ایجاد کردیم.
دقیقاً چه اتفاقی افتاد؟
Twilio، شرکتی که خدمات تأیید شماره تلفن را به سیگنال ارائه میدهد، به ما اطلاع داد که هدف یک حمله فیشینگ قرار گرفتهاند. ما درباره این حادثه تحقیق و تفحص کردیم و به نتیجه زیر رسیدیم.
- یک مهاجم از طریق حمله فیشینگ به کنسول پشتیبانی مشتریان Twilio دسترسی پیدا کرده بود. برای حدود ۱۹۰۰ کاربر، یکی از این دو اتفاق افتاد: یا ۱) ممکن است که افشا شده باشد که شماره تلفن آنها در یک حساب سیگنال ثبت شده است، یا ۲) کد تأیید پیامکی مورد استفادهشان برای ثبتنام در سیگنال افشا شد.
- در طول مدت این رخنه امنیتی، وقتی مهاجم به سیستمهای پشتیبانی مشتریان Twilio دسترسی پیدا کرد، میتوانسته است تلاش کند شماره تلفنهایی که به آنها دست یافته است را با استفاده از کد تأیید پیامکی در دستگاه دیگری ثبت کند. مهاجم دیگر این دسترسی را ندارد و Twilio حمله را مهار کرده است.
- در میان این ۱۹۰۰ شماره تلفن، مهاجم مشخصاً سه شماره تلفن را جستجو کرده بود و یکی از این سه کاربر به ما گزارش داد که حسابش دوباره ثبت شده است.
مهمتر اینکه این به مهاجم امکان دسترسی به هیچیک از تاریخچه پیامها، اطلاعات نمایه یا فهرست مخاطبان را نداد. تاریخچه پیامها فقط در دستگاه شما ذخیره میشود و سیگنال نسخهای از آن را نگه نمیدارد. فهرست مخاطبان، اطلاعات نمایه، افرادی که مسدود کردهاید و سایر موارد فقط با پین سیگنال شما قابل بازیابی است که در این حادثه امنیتی مورد دسترسی قرار نگرفت (و امکان دسترسی به آن هم وجود نداشت). اما در صورتی که مهاجم میتوانست حسابی را دوباره ثبت کند، قادر به ارسال و دریافت پیامهای سیگنال از آن شماره تلفن میبود.
ما این گامها را برای محافظت از کاربرانی که این حمله روی آنها تأثیر داشت برداشتهایم:
- برای همه ۱۹۰۰ کاربری که احتمالاً تحت تأثیر قرار گرفتهاند، ما سیگنال را در همه دستگاههایی که آن کاربر در آن زمان ستفاده میکرد (یا مهاجم برایشان ثبت کرده بود) لغو ثبتنام کردیم و کاربران را ملزم کردیم که حساب سیگنال را با شماره تلفن خود در دستگاه دلخواهشان دوباره ثبت کنند.
- به همه ۱۹۰۰ کاربری که احتمالاً این حمله روی آنها تأثیر داشت مستقیماً از طریق پیامک اطلاعرسانی کردیم.
از همان ۱۵ آگوست، ما اطلاعرسانی به کاربران را شروع کرده بودیم و آنها را ملزم کردیم که سیگنال را دوباره با شماره تلفن خود ثبت کنند. این کار را تا ۱۶ آگوست کامل کردیم.
نوع حمله مخابراتی که Twilio دچار آن شد نوعی آسیبپذیری است که سیگنال برای حفظ امنیت در برابر آن، قابلیتهایی مانند قفل ثبتنام و پین سیگنال را ایجاد کرد. اکیداً به کاربران توصیه میکنیم که قفل ثبتنام را فعال کنند. با این که توانایی رفع مستقیم مشکلاتی که بر اکوسیستم مخابراتی تأثیرگذار است را نداریم، با Twilio و احتمالاً سایر ارائهدهندگان خدمات همکاری خواهیم کرد تا امنیتشان را در آنجا که برای کاربران ما مهم و تأثیرگذار است افزایش دهند.
آیا این حادثه بر من تأثیر گذاشت؟
- بر اساس اطلاعاتی که از Twilio دریافت کردیم، ۱۹۰۰ کاربر ممکن است تحت تأثیر قرار گرفته باشند. ما در حال اطلاعرسانی به این کاربران از طریق پیامک هستیم. ما اطلاعرسانی به کاربران را از ۱۵ آگوست شروع کردیم و ۱۶ آگوست به پایان رساندیم. پیامکی که به این کاربران میفرستادیم این بود: «این پیامک از پیامرسان سیگنال است. با شما تماس گرفتهایم تا بتوانید از حساب سیگنال خود محافظت کنید. سیگنال را باز کنید و دوباره ثبتنام کنید. اطلاعات بیشتر در: https://signal.org/smshelp»
- اگر وقتی سیگنال را باز کردید بنری مشاهده کردید مبنی بر اینکه دستگاهتان دیگر ثبت نیست، ممکن است تحت تأثیر این حمله قرار گرفته باشید، اما دلایل دیگری مانند عدم فعالیت به مدت طولانی هم میتواند موجب شده باشد که دیگر ثبت نباشید.
آیا به دادههای شخصی من دسترسی یافتند یا دادههای شخصیام هک شدند؟
نه. سیگنال طوری طراحی شده است که دادههایتان در دستان خودتان باشد، نه دیگران. سیگنال به تاریخچه پیامها، فهرست مخاطبان شما، اطلاعات نمایه، کسانی که مسدود کردهاید و سایر دادههای شخصی شما دسترسی ندارد. این اطلاعات قطعاً در دسترس Twilio یا حملهکنندگان به Twilio در اثر دسترسی موقتی که بهدست آوردند، نیست. اما در صورتی که مهاجم میتوانست در زمانی که حمله به Twilio در جریان بود حسابی را دوباره ثبت کند، قادر به ارسال و دریافت پیامهای سیگنال از آن شماره تلفن میبود.
آیا هیچیک از کسانی که با آنها گفتگو میکنم تحت تأثیر این حمله قرار گرفته است؟
با توجه به اینکه تعداد بسیار کمی از افراد تحت تأثیر این حمله قرار گرفتند، این بسیار بعید است. اما اگر میخواهید بدانید که مخاطبی تحت تأثیر قرار گرفته است یا نه، میتوانید با آنها تماس بگیرید و بپرسید که آیا اطلاعیه پیامکی از سیگنال دریافت کردند که از آنها بخواهد حسابشان را دوباره ثبت کنند و آنها را به خواندن اطلاعات بیشتر درباره حادثه دعوت کند.
من باید چهکار کنم؟
به کاربران توصیه میکنیم که برای حساب سیگنال خود، قفل ثبتنام را فعال کنند. استفاده از قفل ثبتنام اختیاری با پین سیگنالتان یک مرحله تأیید بیشتر را به فرایند ثبتنام اضافه میکند. برای انجام این کار، به «تنظیمات» (نمایه) > «حساب» > «قفل ثبتنام» بروید.
سیگنال برای جلوگیری از تکرار این حادثه چه اقدامی میکند؟
ما با Twilio در تماس هستیم و با آنها و سایر ارائهدهندگان خدمات همکاری فعال داریم تا تمهیدات امنیتی خود را بهبود ببخشند. از سوی دیگر هم به کاربران توصیه میکنیم که قفل ثبتنام را فعال کنند.