Ringkasan
Pada musim panas 2022, Twilio, perusahaan yang menyediakan layanan verifikasi nomor telepon untuk Signal, mengalami serangan phishing. Berikut hal yang perlu diketahui pengguna kami:
- Semua pengguna dapat yakin bahwa riwayat pesan, daftar kontak, informasi profil, pengguna yang mereka blokir, dan data pribadi lainnya tetap privat dan aman serta tidak terpengaruh.
- Bagi sekitar 1.900 pengguna, si pembobol data dapat mencoba mendaftarkan ulang nomor pengguna tersebut ke perangkat lain atau mengetahui bahwa nomor mereka telah didaftarkan ke Signal. Serangan ini telah diatasi oleh Twilio. Jumlah 1.900 pengguna adalah persentase yang sangat kecil dari total seluruh pengguna Signal, artinya sebagian besar pengguna tidak terdampak serangan tersebut.
Kami memberi tahu 1.900 pengguna ini secara langsung, dan meminta mereka untuk mendaftar ulang Signal di perangkat mereka. Jika Anda menerima pesan SMS dari Signal dengan tautan ke artikel dukungan ini, ikuti langkah-langkah berikut:
- Buka Signal di ponsel dan daftarkan kembali akun Signal Anda jika aplikasi meminta Anda melakukannya.
- Untuk melindungi akun Anda secara maksimal, kami sangat menyarankan agar Anda mengaktifkan kunci pendaftaran di Pengaturan aplikasi. Kami menciptakan fitur ini untuk melindungi pengguna dari ancaman seperti serangan Twilio.
Apa yang sebenarnya terjadi?
Twilio, perusahaan yang menyediakan layanan verifikasi nomor telepon untuk Signal, memberi tahu kami bahwa mereka mengalami serangan phishing. Kami melakukan penyelidikan atas insiden tersebut dan menyimpulkan hal-hal berikut.
- Pembobol data mendapatkan akses ke konsol dukungan pelanggan Twilio melalui cara phishing. Untuk sekitar 1.900 pengguna, 1) nomor telepon mereka berpotensi terungkap telah terdaftar ke akun Signal, atau 2) kode verifikasi SMS yang digunakan untuk mendaftar ke Signal telah terungkap.
- Selama durasi waktu ketika pembobol data memiliki akses ke sistem dukungan pelanggan Twilio, ada kemungkinan mereka mencoba mendaftarkan nomor telepon yang mereka akses ke perangkat lain menggunakan kode verifikasi SMS. Kini pembobol data tersebut sudah tidak memiliki akses, dan serangan tersebut telah diatasi oleh Twilio.
- Di antara 1.900 nomor telepon tersebut, pembobol data secara eksplisit mencari tiga nomor, dan kami telah menerima laporan dari salah satu dari tiga pengguna tersebut bahwa akun mereka telah didaftarkan ulang.
Poin pentingnya, insiden ini tidak memberi pembobol data akses ke riwayat pesan, informasi profil, atau daftar kontak apa pun. Riwayat pesan hanya disimpan di perangkat Anda dan Signal tidak menyimpan salinannya. Daftar kontak, informasi profil, pengguna yang Anda blokir, dan lainnya hanya dapat dipulihkan dengan PIN Signal yang tidak (dan tidak dapat) diakses sebagai bagian dari insiden ini. Namun jika pembobol data dapat mendaftarkan ulang akun, mereka dapat mengirim dan menerima pesan Signal dari nomor telepon tersebut.
Kami mengambil langkah-langkah berikut untuk melindungi pengguna yang terdampak:
- Bagi 1.900 pengguna yang berpotensi terdampak, kami membatalkan pendaftaran Signal di semua perangkat yang saat ini digunakan pengguna (atau, yang didaftarkan oleh pembobol) dan meminta mereka untuk mendaftarkan ulang Signal dengan nomor telepon mereka di perangkat pilihan mereka.
- Kami memberi tahu 1.900 pengguna yang berpotensi terdampak secara langsung melalui SMS.
Mulai 15 Agustus, kami telah memberi tahu pengguna dan meminta mereka untuk mendaftar ulang Signal dengan nomor telepon mereka. Kami menyelesaikan ini sebelum 16 Agustus.
Tipe serangan telekomunikasi yang dialami oleh Twilio adalah kerentanan coba diatasi oleh Signal dengan menyediakan fitur seperti kunci pendaftaran dan PIN Signal sebagai perlindungan. Kami sangat menganjurkan pengguna untuk mengaktifkan kunci pendaftaran. Meskipun kami tidak dapat secara langsung memperbaiki masalah yang memengaruhi ekosistem telekomunikasi, kami akan bekerja sama dengan Twilio dan kemungkinan penyedia layanan lain untuk memperketat keamanan mereka yang penting bagi pengguna kami.
Apa saya terdampak hal ini?
- Berdasarkan informasi yang kami terima dari Twilio, 1.900 pengguna berpotensi terdampak. Kami memberi tahu semua pengguna tersebut melalui SMS. Kami mulai memberi tahu pengguna pada 15 Agustus dan selesai pada 16 Agustus. Pesan SMS yang kami kirimkan kepada para pengguna ini berisi: “Ini dari Signal Messenger. Kami menghubungi Anda agar Anda dapat melindungi akun Signal Anda. Buka Signal dan daftar lagi. Info selengkapnya: https://signal.org/smshelp"
- Jika saat membuka Signal Anda melihat banner yang mengatakan bahwa perangkat Anda sudah tidak terdaftar, Anda mungkin telah terdampak, tetapi ada alasan lain mengapa Anda mungkin sudah tidak terdaftar, misalnya karena tidak aktif dalam waktu lama.
Apakah data pribadi saya diakses atau diretas?
Tidak. Signal dirancang untuk menyimpan data Anda di tangan Anda, bukan di tangan kami. Signal tidak memiliki akses ke riwayat pesan, daftar kontak, informasi profil, pengguna yang Anda blokir, dan data pribadi Anda lainnya. Dan informasi ini tentunya tidak tersedia untuk Twilio, atau melalui akses yang diperoleh sementara oleh pembobol data Twilio. Namun, jika pembobol data dapat mendaftarkan ulang akun selama serangan Twilio berlangsung, mereka dapat mengirim dan menerima pesan dari nomor telepon tersebut di Signal.
Apakah seseorang yang saya ajak mengobrol terdampak?
Mengingat pengguna yang terdampak jumlahnya kecil, sangat kecil kemungkinan hal tersebut terjadi. Namun, jika Anda ingin tahu apakah seorang kontak terdampak, Anda dapat menghubungi mereka dan menanyakan apakah mereka menerima pemberitahuan SMS dari Signal yang meminta mereka untuk mendaftarkan ulang akun mereka dan mengarahkan mereka ke informasi lebih lanjut tentang insiden tersebut.
Apa yang harus saya lakukan?
Kami mendorong pengguna untuk mengaktifkan kunci pendaftaran untuk akun Signal mereka. Menggunakan kunci pendaftaran opsional dengan PIN Signal akan menambahkan lapisan verifikasi ekstra ke proses pendaftaran. Buka Pengaturan Signal (profil) > Akun > Kunci Pendaftaran untuk melakukan ini.
Apa yang dilakukan Signal untuk mencegah hal ini terjadi lagi?
Kami terus berkomunikasi dengan Twilio, dan secara aktif bekerja sama dengan mereka dan penyedia lain untuk meningkatkan praktik keamanan mereka. Di sisi pengguna, kami mendorong pengguna untuk mengaktifkan kunci pendaftaran.