Riassunto
Nell'estate del 2022, Twilio, l'azienda che fornisce a Signal i servizi di verifica dei numeri, ha subito un attacco di phishing. Ecco cosa c'è da sapere:
- Assicuriamo a tutti gli utenti che la cronologia dei messaggi, l'elenco dei contatti, le informazioni del profilo, le persone bloccate e altri dati personali rimangono privati e al sicuro e non sono stati compromessi.
- Nel caso di circa 1900 utenti, un hacker potrebbe aver tentato di registrare nuovamente il loro numero su un altro dispositivo o aver scoperto che il numero era registrato su Signal. Questo attacco è stato bloccato da Twilio. 1900 utenti sono una piccola percentuale delle persone che usano Signal, quindi la maggior parte di loro non ha avuto alcun problema.
Abbiamo contattato queste 1900 persone invitandole a registrarsi di nuovo su Signal sui propri dispositivi. Se hai ricevuto un SMS da Signal con un link a questo articolo, segui questi passaggi:
- Apri Signal sul telefono e registra di nuovo il tuo account se l'app te lo chiede.
- Per proteggere il tuo account al meglio, ti consigliamo vivamente di attivare il blocco di registrazione dalle Impostazioni dell'app. Abbiamo creato questa funzione per proteggere gli utenti da minacce come quella subita da Twilio.
Cos'è successo di preciso?
Twilio, l'azienda che fornisce a Signal i servizi di verifica dei numeri, ci ha contattati per avvertirci che aveva subito un attacco di phishing. Dopodiché abbiamo avviato un'indagine per scoprire cosa fosse successo.
- Un hacker ha avuto accesso alla console del servizio clienti di Twilio mediante un cyberattacco. Circa 1900 utenti si sono trovati in una di queste due situazioni: 1) è stato potenzialmente scoperto che il loro numero di telefono era registrato a un account Signal; 2) è stato rivelato il codice di verifica tramite SMS che utilizzavano per registrarsi su Signal.
- Nel lasso di tempo in cui l'hacker ha avuto accesso ai sistemi del servizio clienti di Twilio, c'era la possibilità che tentasse di registrare i numeri di telefono su un dispositivo diverso mediante il codice di verifica tramite SMS. L'hacker ora non ha più accesso a questi dati e Twilio ha bloccato l'attacco.
- Tra questi 1900 numeri di telefono, l'hacker ha cercato tre numeri nello specifico e una di queste tre persone ci ha segnalato che il suo account era stato registrato di nuovo.
La cosa più importante è che l'hacker non ha avuto accesso alla cronologia dei messaggi, alle informazioni del profilo e all'elenco dei contatti. La cronologia dei messaggi viene archiviata esclusivamente sul tuo dispositivo e Signal non ne conserva nessuna copia. L'elenco dei contatti, le informazioni del profilo, le persone che hai bloccato e altri dati possono essere recuperati solo tramite il tuo PIN di Signal che non è stato (e non può essere) hackerato. Ad ogni modo, nel caso in cui un hacker fosse riuscito a registrare nuovamente un account, avrebbe potuto ricevere e invare messaggi Signal da quel numero.
Ecco cosa abbiamo fatto per tutelare gli utenti coinvolti:
- Abbiamo annullato la registrazione a Signal su tutti i dispositivi in uso (o quelli su cui l'hacker ha registrato l'account) delle 1900 persone potenzialmente coinvolte dall'attacco, chiedendo loro di registrarsi di nuovo con il proprio numero di telefono sul loro dispositivo preferito.
- Abbiamo avvisato tramite SMS tutte le 1900 persone potenzialmente coinvolte.
Tra il 15 e il 16 agosto, abbiamo avvisato gli utenti invitandoli a registrarsi di nuovo su Signal con il proprio numero di telefono.
Signal era pronto alla tipologia di attacco alle telecomunicazioni subita da Twilio: l'app dispone infatti di funzioni come il blocco di registrazione e i PIN di Signal. Consigliamo vivamente a tutti gli utenti di attivare il blocco di registrazione. Sebbene non possiamo risolvere direttamente i problemi legati all'ecosistema delle telecomunicazioni, lavoreremo con Twilio e altri potenziali fornitori di servizi per rafforzarne la sicurezza a beneficio dei nostri utenti.
Il mio account è stato coinvolto?
- Sulla base delle informazioni ricevute da Twilio, circa 1900 utenti potrebbero aver subito l'attacco e sono stati contattati tramite SMS direttamente da noi. Abbiamo iniziato ad avvisare gli utenti il 15 agosto e concluso tutte le comunicazioni il 16 agosto. Il messaggio SMS che abbiamo inviato era il seguente: "Questo messaggio è da parte di Signal Messenger. Ti stiamo contattando per tutelare il tuo account Signal. Apri Signal e registrati di nuovo. Per maggiori informazioni: https://signal.org/smshelp"
- Se aprendo Signal hai visto un banner che ti avvisava che il tuo dispositivo non era più registrato, è possibile che il tuo account sia rimasto coinvolto. Tuttavia, il motivo del messaggio potrebbe essere un altro, come ad esempio un prolungato periodo di inattività.
I miei dati personali sono stati hackerati?
No. Signal è progettato per tenere i tuoi dati al sicuro… nelle tue mani. Non abbiamo accesso alla tua cronologia dei messaggi, elenco dei contatti, informazioni del profilo, persone bloccate o altri dati. Inoltre, neanche Twilio ha accesso alle tue informazioni, neanche dopo un cyberattacco. Ad ogni modo, nel caso in cui un hacker fosse riuscito a ri-registrare un account durante l'attacco a Twilio, avrebbe potuto ricevere o inviare messaggi da quel numero di telefono su Signal.
Le persone con cui chatto sono state coinvolte?
Data la quantità minima di persone coinvolte nell'attacco, è molto improbabile. Tuttavia, per sapere se un contatto è stato coinvolto nell'attacco, puoi metterti direttamente in contatto con la persona in questione: chiedile se ha ricevuto un SMS da Signal in cui veniva richiesto di registrarsi nuovamente e mettila al corrente dell'avvenuto.
Cosa devo fare?
Consigliamo ai nostri utenti di attivare il blocco di registrazione sul proprio account Signal. L'utilizzo di un blocco di registrazione opzionale con il tuo PIN di Signal rappresenta un ulteriore livello di verifica del processo di registrazione. Vai sulle Impostazioni (profilo) > Account > Blocco registrazione.
Cosa sta facendo Signal per impedire eventuali attacchi futuri?
Stiamo lavorando a stretto contatto con Twilio e altri fornitori di servizi per migliorare le loro pratiche in materia di sicurezza. Per quanto riguarda gli utenti, consigliamo vivamente di attivare il blocco di registrazione.