Podsumowanie
Latem 2022 roku firma Twilio, która dostarcza aplikacji Signal usługi weryfikacji numerów telefonów, ucierpiała w wyniku ataku phishingowego. Oto co powinni wiedzieć nasi użytkownicy:
- Wszyscy użytkownicy mogą być pewni, że ich historia wiadomości, lista kontaktów, informacje o profilu, zablokowane osoby i inne dane osobowe pozostają prywatne, bezpieczne i nie zostały dotknięte atakiem.
- W przypadku około 1900 użytkowników cyberprzestępcy mogli dokonać próby ponownej rejestracji numeru na inne urządzenie lub pozyskać wiedzę, że numer jest zarejestrowany w Signal. Cyberatak został przerwany przez Twilio. 1900 użytkowników stanowi bardzo niewielki procent wszystkich użytkowników komunikatora, co oznacza, że zdecydowana większość kont nie ucierpiała w wyniku ataku.
Wszyscy poszkodowani użytkownicy zostali przez nas powiadomieni oraz poproszeni o ponowną rejestrację w aplikacji Signal na telefonie. Jeśli na Twój numer przyszedł SMS od Signal z linkiem do tego artykułu, wykonaj następujące kroki:
- Otwórz Signal w telefonie i dokonaj ponownej rejestracji, jeśli aplikacja Cię o to poprosi.
- W celu jak najlepszej ochrony konta zalecamy włączenie blokady rejestracji w Ustawieniach aplikacji. Stworzyliśmy tę funkcję specjalnie z myślą o ochronie użytkowników przed zagrożeniami takimi jak atak na Twilio.
Co dokładnie się stało?
Firma Twilio, która dostarcza Signalowi usługi weryfikacji numerów telefonów, powiadomiła nas, że padła ofiarą ataku phishingowego. Przeprowadziliśmy dochodzenie w sprawie tego zdarzenia i ustaliliśmy, co następuje.
- Hakerzy uzyskali dostęp do konsoli obsługi klienta Twilio poprzez phishing. W wyniku ataku ucierpiały konta 1900 użytkowników: albo 1) ich numery telefonów zostały ujawnione jako zarejestrowane w Signal, albo 2) wyciekły ich kody weryfikacyjne SMS użyte do rejestracji w Signal.
- Podczas okna czasowego, w którym cyberprzestępcy mieli dostęp do systemów obsługi klienta Twilio, mogli oni próbować zarejestrować pozyskane numery telefonów na innym urządzeniu przy użyciu kodu weryfikacyjnego SMS. Hakerom zablokowano dostęp do systemów, a atak został przerwany przez Twilio.
- Wśród 1900 kont cyberprzestępcy poszukiwali numerów trzech użytkowników. Od jednego z nich uzyskaliśmy zgłoszenie, że jego konto rzeczywiście zostało przerejestrowane.
Co ważne, hakerzy nie uzyskali dostępu do historii wiadomości, informacji o profilu czy listy kontaktów. Historia wiadomości jest przechowywana tylko w urządzeniu użytkownika, a Signal nie zachowuje jej kopii. Listy kontaktów, informacje o profilu, zablokowanych osobach i inne dane można odzyskać tylko za pomocą kodu PIN do Signal , który nie został (i nie mógł być) udostępniony w wyniku tego naruszenia. Jednak w przypadku ponownej rejestracji konta hakerzy byli w stanie wysyłać i odbierać wiadomości Signal z pozyskanego numeru telefonu.
Podjęliśmy następujące kroki w celu ochrony poszkodowanych użytkowników:
- W przypadku wszystkich 1900 potencjalnie poszkodowanych użytkowników wyrejestrowaliśmy aplikację Signal ze wszystkich aktualnie używanych przez nich urządzeń (lub tych, na których aplikację zarejestrowali hakerzy), a następnie poprosiliśmy ich o ponową rejestrację Signal z podaniem numeru telefonu na preferowanym urządzeniu.
- Wszystkich 1900 potencjalnie poszkodowanych użytkowników powiadomiliśmy o incydencie bezpośrednio poprzez SMS.
Do powiadamiania użytkowników i zalecania im ponownej rejestracji z podaniem numeru telefonu przystąpiliśmy już 15 sierpnia. Ukończyliśmy ten proces 16 sierpnia.
Właśnie z myślą o tego rodzaju cyberatakach telekomunikacyjnych, jakiego ofiarą padła firma Twilio, opracowaliśmy funkcje zabezpieczające, takie jak blokada rejestracji i PIN-y do Signal. Gorąco zachęcamy użytkowników do włączenia blokady rejestracji. Choć nie mamy możliwości bezpośredniego rozwiązywania problemów dotykających ekosystem telekomunikacyjny, będziemy współpracować z Twilio, a potencjalnie również z innymi dostawcami, w celu wzmocnienia ich zabezpieczeń wszędzie tam, gdzie ma to znaczenie dla naszych użytkowników.
Czy moje konto zostało dotknięte cyberatakiem?
- Zgodnie z informacjami, które otrzymaliśmy od Twilio, potencjalnie mogło ucierpieć 1900 użytkowników. Zostali powiadomieni o incydencie za pomocą SMS-ów. Powiadamianie użytkowników rozpoczęliśmy 15 sierpnia, a ukończyliśmy 16 sierpnia. Wysłaliśmy im wiadomość SMS o treści: „Niniejsza wiadomość pochodzi z komunikatora Signal. Kontaktujemy się z Tobą, aby umożliwić Ci ochronę swojego konta Signal. Otwórz aplikację i dokonaj ponownej rejestracji. Więcej informacji: https://signal.org/smshelp
- Jeśli po otwarciu aplikacji Signal wyświetlił Ci się baner z informacją, że Twoje urządzenie nie jest już zarejestrowane, być może Twoje konto zostało naruszone, ale istnieją też inne powody wyrejestrowania, takie jak długi okres bezczynności.
Czy uzyskano dostęp do moich danych osobowych?
Nie. Aplikację Signal zaprojektowaliśmy tak, aby Twoje dane były w Twoich rękach, a nie w naszych. Signal nie ma dostępu do historii wiadomości, listy kontaktów, informacji o profilu, osób zablokowanych i innych danych osobowych. Tym bardziej do tych informacji nie ma dostępu Twilio, więc cyberprzestępcy nie mogli ich pozyskać. Jednak w przypadku tych kont, na których w wyniku cyberataku dokonano ponownej rejestracji, hakerzy byli w stanie wysyłać i odbierać wiadomości Signal z pozyskanego numeru telefonu przez okres trwania incydentu.
Czy poszkodowany został ktoś, z kim rozmawiam?
Biorąc pod uwagę, jak niewiele kont zostało naruszonych, jest to wysoce nieprawdopodobne. Jeśli mimo wszystko chcesz wiedzieć, czy dany użytkownik został poszkodowany, zapytaj go, czy otrzymał od Signal SMS z prośbą o ponowną rejestrację konta i informujący o tym, gdzie znaleźć więcej informacji na temat incydentu.
Co mam zrobić?
Zachęcamy użytkowników do włączenia blokady rejestracji na koncie Signal. Używanie opcjonalnej blokady rejestracji z Twoim kodem PIN do Signal zapewnia dodatkową weryfikację w trakcie procesu rejestracji. Aby włączyć blokadę, przejdź do Ustawienia Signal (profil) > Konto > Blokada rejestracji.
Co robi Signal, aby zapobiec podobnym sytuacjom w przyszłości?
Jesteśmy w kontakcie z zespołem Twilio i aktywnie współpracujemy z nim i innymi dostawcami w celu poprawy ich praktyk bezpieczeństwa. Naszych użytkowników zachęcamy natomiast do włączenia blokady rejestracji.