इस अनुभाग में लेख

Twilio घटना: Signal यूजर्स को यह पता होना चाहिए

सारांश
2022 की गर्मियों में, Signal को फोन नंबर सत्यापन सेवाएं प्रदान करने वाली कंपनी Twilio को फिशिंग हमले का सामना करना पड़ा। यहां कुछ जानकारी है, जिसे हमारे यूजर्स को जानना ज़रूरी है:

  • सभी यूजर्स निश्चिंत हो सकते हैं कि उनका संदेश इतिहास, संपर्क सूची, प्रोफाइल संबंधी जानकारी, उन्होंने किसे ब्लॉक किया था, और अन्य व्यक्तिगत डेटा, निजी और सुरक्षित रहेंगे और प्रभावित नहीं होंगे।
  • लगभग 1,900 यूजर्स के लिए, हमलावर उनके नंबर को किसी अन्य डिवाइस पर फिर से पंजीकृत करने का प्रयास कर सकता था या यह जान सकता था कि उनका नंबर Signal में पंजीकृत है। इस हमले को अब Twilio पूरी तरह बंद कर चुकी है। 1,900 यूजर्स Signal के कुल यूजर्स का एक बहुत छोटा प्रतिशत है, जिसका मतलब है कि अधिकांश प्रभावित नहीं हुए थे।

हमने इन 1,900 यूजर्स को सीधे सूचित किया, और उन्हें अपनी डिवाइस पर Signal को फिर से पंजीकृत करने के लिए प्रेरित किया। यदि आपको इस सपोर्ट आर्टिकल के लिंक के साथ सिग्नल से एक SMS संदेश प्राप्त हुआ है, तो कृपया इन चरणों का पालन करें:

  1. अपने फोन पर Signal खोलें और यदि ऐप आपको ऐसा करने के लिए कहता है, तो अपना Signal खाता फिर से पंजीकृत करें।
  2. आपके खाते की सर्वोत्तम सुरक्षा के लिए, हम दृढ़ता से अनुशंसा करते हैं कि आप ऐप की सेटिंग में रजिस्ट्रेशन लॉक सक्षम करें। हमने यह फ़ीचर यूजर्स को Twilio हमले जैसे खतरों से बचाने के लिए बनाया है।

वास्तव में क्या हुआ था?
Twilio, जो Signal को फोन नंबर सत्यापन सेवाएं प्रदान करती है, ने हमें सूचित किया कि उस पर फिशिंग हमला हुआ है। हमने घटना की जांच की और यह पाया।

  • हमलावर ने फिशिंग के माध्यम से Twilio के कस्टमर सपोर्ट कंसोल तक पहुंच प्राप्त की। लगभग 1,900 यूजर्स के लिए, या तो 1) यह उजागर किया गया कि उनके फोन नंबर Signal खाते में पंजीकृत हैं , या 2) Signal के साथ पंजीकरण करने के लिए उपयोग किए जाने वाले SMS सत्यापन कोड का खुलासा किया गया।
  • विंडो के दौरान जब हमलावर के पास Twilio के कस्टमर सपोर्ट सिस्टम तक पहुंच थी, तो उनके लिए यह संभव था कि वह SMS सत्यापन कोड इस्तेमाल करके हाथ आए फोन नंबरों को दूसरी डिवाइस से पंजीकृत कर दें। हमलावर के पास अब यह पहुंच नहीं है, और हमले को Twilio द्वारा बंद कर दिया गया है।
  • 1,900 फोन नंबरों में से, हमलावर ने स्पष्ट रूप से तीन नंबरों की खोज की, और हमें उन तीन यूजर्स में से एक से रिपोर्ट मिली कि उनका खाता फिर से पंजीकृत किया गया था।

महत्वपूर्ण रूप से, इसने हमलावर को किसी भी संदेश इतिहास, प्रोफाइल जानकारी या संपर्क सूचियों तक पहुंच नहीं दी। संदेश इतिहास केवल आपकी डिवाइस पर संग्रहीत होता है और Signal इसकी कॉपी नहीं रखता। आपकी संपर्क सूचियां, प्रोफाइल जानकारी, आपने किन्हें ब्लॉक किया है आदि को केवल आपके Signal पिन से रिकवर किया जा सकता है, जिस तक हमलावर नहीं पहुंच पाए थे और ही पहुंच सकते हैं। हालांकि, उस स्थिति में जब कोई हमलावर किसी खाते को फिर से पंजीकृत करने में सक्षम था, वे उस फोन नंबर से Signal संदेश भेज और प्राप्त कर सकते थे।

हमने प्रभावित यूजर्स की सुरक्षा के लिए ये कदम उठाए:

  1. संभावित रूप से प्रभावित सभी 1,900 यूजर्स के लिए, हमने उन सभी डिवाइस पर Signal का पंजीकरण रद्द कर दिया जिनका यूजर वर्तमान में इस्तेमाल कर रहा था (या, जिनसे हमलावर ने उन्हें पंजीकृत किया था) और उनसे उनकी पसंदीदा डिवाइस पर उनके फोन नंबर के साथ Signal को फिर से पंजीकृत करने को कहा।
  2. हमने सभी 1,900 संभावित प्रभावित यूजर्स को सीधे SMS के माध्यम से सूचित किया।

15 अगस्त तक, हम पहले से ही यूजर्स को सूचित कर रहे थे और उन्हें अपने फोन नंबर के साथ Signal को फिर से पंजीकृत करने के लिए कह रहे थे। हमने 16 अगस्त तक यह काम पूरा कर लिया।

Twilio ने जिस तरह के टेलीकॉम हमले का सामना किया, उसके मुकाबले के लिए Signal ने रजिस्ट्रेशन लॉक और Signal पिन जैसे फ़ीचर विकसित किए हैं। हम दृढ़ता से यूजर्स को रजिस्ट्रेशन लॉक सक्षम करने के लिए प्रोत्साहित करते हैं। चूंकि हमारे पास टेलीकॉम ईकोसिस्टम को प्रभावित करने वाली समस्याओं को सीधे ठीक करने की क्षमता नहीं है, इसलिए जहां बात हमारे यूजर्स की आती है, वहां हम Twilio और संभावित रूप से अन्य प्रदाताओं की सुरक्षा को मजबूत करने के लिए उनके साथ काम करेंगे।


क्या इसने मुझे प्रभावित किया?

  • हमें Twilio से मिली जानकारी के आधार पर, संभावित रूप से 1,900 यूजर्स प्रभावित हुए हैं। हम इन यूजर्स को SMS के जरिए सूचित कर रहे हैं। हमने 15 अगस्त को यूजर्स को सूचित करना शुरू किया और 16 अगस्त तक यह काम पूरा कर लिया। हम इन यूजर्स को जो SMS संदेश भेज रहे थे, उसमें लिखा था: “यह Signal मैसेंजर की ओर से है। हम आपसे संपर्क कर रहे हैं, ताकि आप अपने Signal खाते की सुरक्षा कर सकें। Signal खोलें और फिर से पंजीकरण करें। अधिक जानकारी: https://signal.org/smshelp"
  • यदि आपने Signal खोलते समय एक बैनर देखा था जिसमें लिखा था – आपकी डिवाइस अब पंजीकृत नहीं है, तो आप प्रभावित हो सकते हैं, लेकिन ऐसे अन्य कारण भी हैं जिनकी वजह से शायद आप अब पंजीकृत न हों, जैसे कि लंबे समय तक निष्क्रिय रहना।

क्या मेरा व्यक्तिगत डेटा एक्सेस या हैक किया गया था?
नहीं। Signal को इस तरह डिज़ाइन किया गया है कि आपका डेटा केवल आपके पास रहता है, हमारे पास नहीं। Signal के पास आपके संदेश इतिहास, संपर्क सूची, प्रोफाइल संबंधी जानकारी, आपने किसी ब्लॉक किया और अन्य व्यक्तिगत डेटा तक पहुंच नहीं है। और यह जानकारी अब निश्चित रूप से Twilio के लिए या Twilio के हमलावरों द्वारा अस्थायी रूप से प्राप्त की गई पहुंच के माध्यम से उपलब्ध नहीं है। हालांकि, उस स्थिति में जब हमलावर Twilio हमले के सक्रिय होने के दौरान किसी खाते को फिर से पंजीकृत करने में सक्षम था, वे उस फोन नंबर से Signal पर संदेश भेज और प्राप्त कर सकते थे।

क्या जिसके साथ मैं चैट करता था, वो प्रभावित हुआ था?
प्रभावित लोगों की कम संख्या को देखते हुए, इसकी संभावना बेहद कम है। हालांकि, यदि आप वास्तव में यह जानना चाहते हैं कि क्या कोई संपर्क प्रभावित हुआ था, तो आप उनसे संपर्क कर सकते हैं और पूछ सकते हैं कि क्या उन्हें Signal से एक SMS नोटिस मिला है जिसमें उन्हें अपने खाते को फिर से पंजीकृत करने और घटना के बारे में अधिक जानकारी देने के लिए कहा गया है।

मुझे क्या करना चाहिए?
हम यूजर्स को उनके Signal खाते के लिए रजिस्ट्रेशन लॉक सक्षम करने के लिए प्रोत्साहित करते हैं। अपने Signal पिन के साथ एक वैकल्पिक रजिस्ट्रेशन लॉक का इस्तेमाल पंजीकरण प्रक्रिया में एक अतिरिक्त सत्यापन परत जोड़ता है। ऐसा करने के लिए Signal सेटिंग्स (प्रोफाइल) > खाता > रजिस्ट्रेशन लॉक पर जाएँ।

इसे फिर से होने से रोकने के लिए Signal क्या कर रहा है?
हम Twilio के संपर्क में हैं, और सक्रिय रूप से उनके और अन्य प्रदाताओं के साथ काम कर रहे हैं, ताकि उनकी सुरक्षा प्रथाओं में सुधार किया जा सके। यूजर्स के मामले में, हम यूजर्स को रजिस्ट्रेशन लॉक सक्षम करने के लिए प्रोत्साहित करते हैं।

संबंधित लेख