In het kort
In de zomer van 2022 kreeg Twilio, het bedrijf dat Signal voorziet van telefoonnummerverificatiediensten, te maken met een phishing-aanval. Dit is wat onze gebruikers moeten weten:
- Alle gebruikers kunnen erop vertrouwen dat hun chatgeschiedenis, contactlijsten, profielinformatie, wie ze hebben geblokkeerd en andere persoonlijke gegevens privé en veilig blijven en niet zijn aangetast.
- Voor ongeveer 1.900 gebruikers kan een aanvaller hebben geprobeerd hun nummer opnieuw te registreren op een ander apparaat, of te weten zijn gekomen dat hun nummer is geregistreerd bij Signal. Deze aanval is inmiddels afgesloten door Twilio. 1.900 gebruikers is een zeer klein percentage van het totale aantal gebruikers van Signal, wat betekent dat de meesten niet zijn getroffen.
We hebben deze 1.900 gebruikers rechtstreeks op de hoogte gebracht en hen gevraagd om Signal opnieuw te registreren op hun apparaten. Als je een sms-bericht van Signal hebt ontvangen met een link naar dit ondersteuningsartikel, volg dan deze stappen:
- Open Signal op je telefoon en registreer je Signal-account opnieuw als de app je hierom vraagt.
- Om je account zo goed mogelijk te beschermen, raden we je ten zeerste aan om registratievergrendeling aan te zetten in de instellingen van de app. We hebben deze functie ontwikkeld om gebruikers te beschermen tegen bedreigingen zoals de cyberaanval op Twilio.
Wat is er precies gebeurd?
Twilio, het bedrijf dat Signal voorziet van verificatiediensten voor telefoonnummers, heeft ons laten weten dat ze te maken hebben gehad met een phishing-aanval. Wij hebben onderzoek gedaan naar het incident en daarmee het volgende vastgesteld.
- Een aanvaller heeft via phishing toegang gekregen tot de klantenondersteuningsconsole van Twilio. Voor ongeveer 1.900 gebruikers werd ofwel 1) hun telefoonnummer mogelijk weergegeven als zijnde geregistreerd bij een Signal-account, of 2) de sms-verificatiecode die werd gebruikt om zich bij Signal te registreren, werd achterhaald.
- Tijdens de periode waarin een aanvaller toegang had tot de klantenondersteuningssystemen van Twilio, was het voor hen mogelijk om te proberen de telefoonnummers die ze hadden gebruikt op een ander apparaat te registreren met behulp van de sms-verificatiecode. De aanvaller heeft deze toegang niet meer en Twilio heeft de aanval weten te stoppen.
- Van de 1.900 telefoonnummers zocht de aanvaller expliciet naar drie nummers, en we hebben een rapport ontvangen van een van die drie gebruikers dat hun account opnieuw is geregistreerd.
Belangrijk om te melden is dat dit de aanvaller geen toegang gaf tot chatgeschiedenis, profielinformatie of contactlijsten. De chatgeschiedenis wordt alleen op je apparaat opgeslagen en Signal bewaart daar geen kopie van. Je contactlijsten, profielinformatie, wie je hebt geblokkeerd en meer kunnen alleen worden hersteld met je Signal-pincode die niet werd (of kon worden) gebruikt als onderdeel van dit incident. In het geval dat een aanvaller een account opnieuw kon registreren, kon diegene Signal-berichten versturen en ontvangen vanaf dat telefoonnummer.
We hebben deze stappen genomen om getroffen gebruikers te beschermen:
- Voor alle 1.900 mogelijk getroffen gebruikers hebben we de registratie van Signal ongedaan gemaakt op alle apparaten die de gebruiker momenteel gebruikten (of waarop een aanvaller ze had geregistreerd), en moesten ze Signal opnieuw registreren met hun telefoonnummer op hun apparaat.
- We hebben alle 1.900 mogelijk getroffen gebruikers rechtstreeks via sms op de hoogte gebracht.
Vanaf 15 augustus brachten we gebruikers zo al op de hoogte en vertelden we ze dat ze Signal opnieuw moesten registreren met hun telefoonnummer. Dit hebben we op 16 augustus afgerond.
Het soort telecomaanval waar Twilio het slachtoffer van is, laat een kwetsbaarheid zien waartegen Signal functies zoals registratievergrendeling en Signal-pincodes heeft ontwikkeld. We raden gebruikers ten zeerste aan om de registratievergrendeling aan te zetten. Hoewel we niet in staat zijn om de problemen die van invloed zijn op het telecom-ecosysteem direct op te lossen, werken we samen met Twilio en mogelijk andere providers om hun beveiliging aan te scherpen waar het voor onze gebruikers van belang is.
Heeft dit invloed op mij gehad?
- Op basis van de informatie die we van Twilio hebben ontvangen, zouden mogelijk 1.900 gebruikers zijn getroffen. We informeren deze gebruikers via sms. We zijn op 15 augustus begonnen met het informeren van gebruikers en hebben dit proces op 16 augustus afgerond. Het sms-bericht dat we deze gebruikers stuurden, luidde: “Dit is een bericht van Signal Messenger. We nemen contact met je op zodat je je Signal-account kunt beschermen. Open Signal en registreer je opnieuw. Meer informatie: https://signal.org/smshelp”
- Als je bij het openen van Signal een banner zag met de mededeling dat je apparaat niet langer geregistreerd is, kan dit betekenen dat de aanval ook gevolgen voor jou had. De banner kan ook om een andere reden zichtbaar zijn geweest, zoals een lange periode van inactiviteit.
Zijn mijn persoonlijke gegevens ingezien of gehackt?
Nee. Signal is ontworpen om jouw gegevens in jouw handen te houden in plaats van die van ons. Signal heeft geen toegang tot je chatgeschiedenis, contactenlijst, profielinformatie, wie je hebt geblokkeerd en andere persoonlijke gegevens. En deze informatie is zeker niet beschikbaar voor Twilio, of via de toegang die Twilio's aanvallers tijdelijk hebben gehad. In het geval dat een aanvaller een account opnieuw kon registreren tijdens de periode dat de Twilio-aanval actief was, konden ze berichten met dat telefoonnummer op Signal versturen en ontvangen.
Was iemand met wie ik chat getroffen?
Gezien het kleine aantal mensen dat getroffen is, is het zeer onwaarschijnlijk. Als je echter toch benieuwd bent of een contact is getroffen, kun je contact met ze opnemen en vragen of ze een sms-bericht van Signal hebben ontvangen waarin ze worden gevraagd hun account opnieuw te registreren en hen te wijzen op meer informatie over het incident.
Wat moet ik doen?
We moedigen gebruikers aan om de registratievergrendeling voor hun Signal-account aan te zetten. Het gebruik van een optioneel registratieslot met je Signal-pincode voegt een extra verificatie toe aan het registratieproces. Ga hiervoor naar Signal-instellingen (profiel) > Account > Registratievergrendeling.
Wat doet Signal om te voorkomen dat dit opnieuw gebeurt?
We staan in contact met Twilio en werken actief met hen en andere providers samen om hun beveiligingspraktijken te verbeteren. Aan de gebruikerskant moedigen we gebruikers aan om registratievergrendeling aan te zetten.