Resumo
Em meados de 2022, a Twilio, empresa que fornece serviços de verificação de números de telefone para o Signal, sofreu um ataque de phishing. Veja o que os usuários precisam saber:
- Mas sem desespero: o histórico de mensagens, listas de contatos, informações de perfil, informações de bloqueio e outros dados pessoais continuam confidenciais e seguros, pois não foram afetados.
- É possível que o hacker tenha feito tentativas de cadastrar novamente o número de 1.900 usuários em outro dispositivo ou que tenha obtido a informação de que o número estava cadastrado no Signal. Este ataque já foi interrompido pela Twilio. Além disso, 1.900 usuários é uma porcentagem muito pequena do número total de usuários do Signal, ou seja, a maioria não foi afetada.
Notificamos esses 1.900 usuários diretamente e solicitamos que eles registrassem novamente o Signal em seus dispositivos. Se você recebeu uma mensagem SMS do Signal com um link para este artigo, siga estas etapas:
- Abra o Signal no seu telefone e cadastre sua conta novamente, caso o app faça essa solicitação.
- Para melhorar a proteção da sua conta, recomendamos que você ative o bloqueio de cadastro nas configurações do app. Criamos este recurso para proteger usuários contra ameaças como o ataque ao Twilio.
O que realmente aconteceu?
A Twilio, empresa que fornece serviços de verificação de número de telefone para o Signal, nos informou que sofreu um ataque de phishing. Fizemos uma investigação sobre o incidente e chegamos a seguinte conclusão:
- Um hacker obteve acesso ao painel de suporte ao cliente da Twilio via phishing O ataque afetou aproximadamente 1.900 usuários, da seguinte forma: 1) números de telefone foram potencialmente revelados, como cadastrados na conta do Signal, ou 2) o código de verificação por SMS usado para cadastro no Signal foi revelado.
- Durante o período de tempo que o hacker teve acesso aos sistemas de suporte ao cliente da Twilio, houve tentativas de registrar números de telefone cadastrados no Signal em outros dispositivos, usando o código de verificação por SMS. O hacker não tem mais acesso a isso, o ataque já foi interrompido pela Twilio.
- Desses 1.900 números de telefone, o hacker buscou três números explicitamente. Nós recebemos uma denúncia de um desses três usuários de que a conta tinha sido cadastrada novamente.
Acima de tudo, o hacker não teve acesso ao histórico de mensagens, informações de perfil ou listas de contatos. O histórico de mensagens fica armazenado apenas no seu dispositivo, e o Signal não mantém uma cópia. Dados como suas listas de contatos, informações de perfil, pessoas que você bloqueou e muito mais podem ser recuperados com seu PIN do Signal que não pode (e não poderia) ser acessado como parte deste incidente. Entretanto, caso o hacker tenha conseguido cadastrar novamente uma conta, ele poderá enviar e receber mensagens no Signal deste número de telefone.
Tomamos estas medidas para proteger os usuários afetados:
- Para todos os 1.900 usuários potencialmente afetados, cancelamos o registro do Signal em todos os dispositivos que o usuário estava usando no momento (ou nos quais o hacker registrou) e exigimos que fosse feito um novo registro no Signal com o número de telefone do dispositivo escolhido.
- Notificamos todos os 1.900 usuários potencialmente afetados diretamente via SMS.
Desde 15 de agosto, já estávamos notificando os usuários e exigindo que eles registrassem novamente o Signal com seu número de telefone. O procedimento foi concluído no dia 16 de agosto.
O tipo de ataque de telecomunicações sofrido pela Twilio é uma vulnerabilidade, e o Signal criou recursos como o bloqueio de cadastro e osPINs do Signal para se proteger. A nossa recomendação é que os usuários ativem o bloqueio de cadastro. Enquanto ainda não conseguimos corrigir os problemas que afetam o ecossistema de telecomunicações diretamente, vamos trabalhar juntamente com a Twilio e potencialmente com outros fornecedores, para reforçar a segurança onde ela é mais importante para os usuários.
O ataque afetou a minha conta?
- Com base nas informações que recebemos da Twilio, cerca de 1.900 usuários podem ter sido afetados. Essas pessoas estão sendo notificadas por SMS. Começamos a notificar os usuários no dia 15 de agosto e concluímos a notificação no dia 16 de agosto. Este é o SMS enviado aos usuários: "Aqui é o Signal Messenger. Estamos entrando em contato para que você possa proteger sua conta do Signal. Abra o Signal e cadastre-se novamente. Para mais informações, acesse: https://signal.org/smshelp"
- Caso tenha visto um banner quando abriu o Signal dizendo que seu dispositivo não está mais cadastrado, talvez sua conta tenha sido afetada, mas há outros motivos pelos quais seu cadastro pode não estar mais registrado, como um longo período de inatividade.
Alguém acessou ou hackeou meus dados pessoais?
Não. O Signal foi desenvolvido para manter seus dados sob o seu controle, e não nas mãos de terceiros. O Signal não tem acesso ao seu histórico de mensagens, lista de contatos, informações de perfil, pessoas que você bloqueou e outros dados pessoais. Essas informações também não estão disponíveis para a Twilio, por isso, também não estiveram disponíveis temporariamente para os hackers. Entretanto, caso o hacker tenha conseguido cadastrar uma conta novamente durante o ataque à Twilio, é possível que tenha ocorrido uma troca de mensagens com este número de telefone no Signal.
O ataque afetou alguém com quem eu converso?
Devido ao pequeno número de pessoas afetadas, é pouco provável. Mas, caso queira saber se algum contato foi afetado, entre em contato e pergunte se receberam um aviso por SMS do Signal solicitando um novo cadastro e fornecendo mais informações sobre o incidente.
O que devo fazer?
Incentivamos os usuários a ativar o bloqueio de cadastro na conta do Signal. Usar um bloqueio de cadastro adicional juntamente com seu PIN do Signal adiciona mais recursos de verificação ao processo de cadastro. Para fazer isso, acesse as configurações do Signal (perfil) > Conta > Bloqueio de cadastro.
O que o Signal está fazendo para evitar que isso aconteça novamente?
Estamos em contato com a Twilio e trabalhando ativamente com eles e outros fornecedores para melhorar nossas práticas de segurança. Quanto aos usuários, incentivamos a todos que ativem o bloqueio de cadastro.