Краткое содержание
Летом 2022 года Twilio, компания, предоставляющая Signal услуги по проверке телефонных номеров, подверглась фишинговой атаке. Вот что нужно знать нашим пользователям:
- Все пользователи могут быть уверены, что их история сообщений, списки контактов и тех, кого они заблокировали, информация профиля и другие личные данные не были затронуты и остаются конфиденциальными и безопасными.
- Злоумышленники могли попытаться перерегистрировать на другое устройство номера примерно 1900 пользователей или узнать, что их номера были зарегистрированы в Signal. После этого Twilio остановила атаку. 1900 пользователей – это крайне малая доля общего числа пользователей Signal, а это означает, что большинство из них не пострадали.
Мы уведомили этих 1900 пользователей напрямую и предложили им повторно зарегистрироваться в Signal на своих устройствах. Если вы получили SMS-сообщение от Signal со ссылкой на эту статью службы поддержки, пожалуйста, выполните следующие действия:
- Откройте Signal на своем телефоне и зарегистрируйте свой аккаунт Signal снова, если приложение предложит вам это сделать.
- Чтобы вы могли наилучшим образом защитить свой аккаунт, мы настоятельно рекомендуем вам включить блокировку регистрации в настройках приложения. Мы создали эту функцию для защиты пользователей от таких угроз, как атака на Twilio.
Что именно произошло?
Twilio, компания, предоставляющая Signal услуги по проверке телефонных номеров, подверглась фишинговой атаке. Мы провели расследование этого инцидента и установили следующее.
- Злоумышленники получили доступ к консоли поддержки клиентов Twilio с помощью фишинга. Это коснулось примерно 1900 пользователей следующим образом: либо 1) их телефонные номера могли быть определены как зарегистрированные в аккаунтах Signal, либо 2) был вскрыт код подтверждения из СМС, используемый для регистрации в Signal.
- В определённый промежуток времени, когда злоумышленники имели доступ к системам поддержки клиентов Twilio, они могли попытаться зарегистрировать телефонные номера, которые оказались в их распоряжении, на другом устройстве, используя проверочный код из СМС. У злоумышленников больше нет этого доступа, и Twilio остановила атаку.
- Среди 1900 телефонных номеров злоумышленники явно искали три номера, и мы получили сообщение от одного из этих трех пользователей о том, что его аккаунт был перерегистрирован.
Важно отметить, что это не дало злоумышленникам доступа к истории сообщений, информации профиля или спискам контактов кого-либо из пользователей. История сообщений хранится только на вашем устройстве, и Signal не сохраняет её копию. Ваши списки контактов и тех, кого вы заблокировали, информация профиля и многое другое могут быть восстановлены только с помощью вашего Пин-кода Signal, доступ к которому не был (и не мог быть) получен в рамках этого инцидента. Однако в случае, если злоумышленникам удалось перерегистрировать аккаунт на другой номер, они могли отправлять и получать сообщения Signal с этого номера телефона.
Мы предприняли следующие шаги для защиты пострадавших пользователей:
- Мы отменили регистрацию Signal всех 1900 потенциально затронутых пользователей на всех устройствах, которые они использовали на тот момент (или на которые их зарегистрировали злоумышленники), и предписали им повторно зарегистрировать Signal со своим номером телефона на предпочитаемом устройстве.
- Мы уведомили всех 1900 потенциально затронутых пользователей напрямую с помощью SMS.
По состоянию на 15 августа мы уже уведомили пользователей и предписали им повторно зарегистрировать Signal со своим номером телефона. Мы завершили этот процесс к 16 августа.
Тип телекоммуникационной атаки, которой подверглась Twilio, – это уязвимость, для защиты от которой Signal разработал такие функции, как блокировка регистрации и ПИН-коды Signal. Мы настоятельно рекомендуем пользователям включить блокировку регистрации. Хотя у нас нет возможности напрямую устранять проблемы, влияющие на телекоммуникационную экосистему, мы будем работать с Twilio и, возможно, с другими поставщиками, чтобы усилить их безопасность там, где это важно для наших пользователей.
Затронуло ли это меня?
- На основании информации, которую мы получили от Twilio, потенциально могли пострадать 1900 пользователей. Мы уведомляем этих пользователей с помощью SMS. Мы начали уведомлять пользователей 15 августа и завершили этот процесс к 16 августа. Мы отправили этим пользователям следующее SMS-сообщение: «Это сообщение от Signal Messenger. Мы хотим помочь вам защитить свой аккаунт Signal. Откройте Signal и зарегистрируйтесь снова. Дополнительная информация: https://signal.org/smshelp»
- Если при открытии Signal вы видите баннер, сообщающий, что ваше устройство больше не зарегистрировано, возможно, вы оказались затронуты атакой, но есть и другие причины отмены регистрации, например длительный период отсутствия активности.
Был ли получен доступ к моим персональным данным и не были ли они взломаны?
Нет. Signal создан таким образом, что ваши данные находятся в ваших руках, а не в наших. Signal не имеет доступа к истории ваших сообщений, списку контактов и тех, кого вы заблокировали, информации профиля и другим персональным данным. И эта информация, конечно же, недоступна как Twilio, так и злоумышленникам, атаковавшим Twilio и на какое-то время получившим доступ. Тем не менее в случае, если злоумышленники сумели перерегистрировать аккаунт во время активной фазы атаки на Twilio, они могли отправлять и получать сообщения с этого телефонного номера в Signal.
Пострадали ли те, с кем я обменивался сообщениями?
Учитывая небольшое число пострадавших, это крайне маловероятно. Однако, если вам интересно, пострадал ли кто-либо из ваших контактов, вы можете связаться с ним и спросить, получал ли он SMS-уведомление от Signal с просьбой перерегистрировать свой аккаунт и дополнительной информацией об инциденте.
Что мне делать?
Мы рекомендуем пользователям включить блокировку регистрации для своего аккаунта Signal. Использование дополнительной блокировки регистрации с помощью вашего PIN-кода Signal добавляет в процесс регистрации ещё один уровень проверки. Для этого перейдите в Настройки Signal (профиль) > Аккаунт > Блокировка регистрации.
Что Signal делает для предотвращения подобного в будущем?
Мы находимся на связи с Twilio и активно работаем с ними и другими поставщиками над улучшением их методов обеспечения безопасности. Мы также рекомендуем пользователям включить блокировку регистрации.