บทความในส่วนนี้

เหตุการณ์ Twilio: สิ่งที่ผู้ใช้ Signal ต้องรู้

สรุป
ในฤดูร้อนปี 2022 Twilio บริษัทที่ให้บริการการตรวจยืนยันหมายเลขโทรศัพท์แก่ Signal ได้รับความเสียหายจากการโจมตีฟิชชิง เราจึงขอแจ้งให้ทราบว่า:

  • ผู้ใช้ทั้งหมดสามารถสบายใจได้ว่าประวัติข้อความ รายชื่อผู้ติดต่อ ข้อมูลโปรไฟล์ คนที่บล็อกเอาไว้ และข้อมูลส่วนตัวอื่นๆ จะยังมีความเป็นส่วนตัวและปลอดภัย และไม่ได้รับผลกระทบ
  • สำหรับผู้ใช้ประมาณ 1,900 คน ผู้โจมตีอาจจะพยายามลงทะเบียนหมายเลขของพวกเขาใหม่กับอุปกรณ์อื่น หรือได้รู้ว่าหมายเลขของพวกเขาถูกลงทะเบียนกับ Signal แล้ว ตั้งแต่การโจมตีนี้ถูกปิดโดย Twilio ผู้ใช้งาน 1,900 คน ผู้ใช้งาน 1,900 คนเป็นเปอร์เซ็นต์ที่เล็กน้อยมากจากผู้ใช้ทั้งหมดของ Signal แปลว่าคนส่วนใหญ่ไม่ได้รับผลกระทบ

เราได้แจ้งผู้ใช้ทั้ง 1,900 คนนี้โดยตรง และบอกให้ผู้ใช้ลงทะเบียน Signal ใหม่บนอุปกรณ์ หากคุณได้รับข้อความ SMS จาก Signal ที่มีลิงก์มายังบทความช่วยเหลือนี้ กรุณาทำตามขั้นตอนต่อไปนี้

  1. เปิด Signal บนโทรศัพท์และลงทะเบียนบัญชี Signal ใหม่อีกครั้งถ้าแอปบอกให้คุณทำแบบนั้น
  2. เพื่อปกป้องบัญชีของคุณให้ดีที่สุด เราแนะนำให้คุณเปิดใช้งานล็อกการลงทะเบียนในการตั้งค่าแอป เราได้สร้างฟีเจอร์นี้เพื่อป้องกันผู้ใช้งานจากการคุกคามอย่างเช่นการโจมตี Twilio

เกิดอะไรขึ้นกันแน่
Twilio บริษัทผู้ให้บริการการตรวจยืนยันหมายเลขโทรศัพท์แก่ Signal แจ้งเราว่าบริษัทได้รับความเสียหายจากการโจมตีฟิชชิง เราดำเนินการสืบสวนและได้ข้อสรุปดังต่อไปนี้

  • ผู้โจมตีได้รับการเข้าถึงแผงควบคุมการสนับสนุนลูกค้าของ Twilio จากการฟิชชิ่ง สำหรับผู้ใช้งานประมาณ 1,900 คน 1) หมายเลขโทรศัพท์ของพวกเขาอาจจะถูกเปิดเผยว่ามีการลงทะเบียนไว้กับบัญชี Signal อยู่ หรือ 2) รหัสยืนยัน SMS ที่ถูกใช้ลงทะเบียนกับ Signal ถูกเปิดเผย
  • ระหว่างหน้าต่างตอนที่ผู้โจมตีได้การเข้าถึงระบบสนับสนุนลูกค้าของ Twilio ก็มีความเป็นไปได้ว่าพวกเขาจะพยายามลงทะเบียนหมายเลขโทรศัพท์ที่พวกเขาเข้าถึงอุปกรณ์อื่นๆ โดยใช้รหัสยืนยัน SMS ผู้โจมตีจะไม่สามารถเข้าถึงได้อีกแล้ว และการโจมตีนี้ก็ถูก Twilio ปิดไปเรียบร้อยแล้ว
  • ในหมายเลขโทรศัพท์ 1,900 หมายเลข ผู้โจมตีค้นหาสามหมายเลขอย่างชัดเจน และเราได้รับรายงานจากหนึ่งในผู้ใช้สามคนที่หมายเลขถูกลงทะเบียนซ้ำ

ที่สำคัญคือ สิ่งนี้ไม่ได้ทำให้ผู้โจมตีเข้าถึงประวัติข้อความ ข้อมูลโปรไฟล์ หรือรายชื่อผู้ติดต่อได้ประวัติข้อความถูกเก็บไว้บนอุปกรณ์ของคุณเท่านั้นและ Signal ไม่ได้เก็บสำเนาเอาไว้ รายชื่อผู้ติดต่อของคุณ ข้อมูลโปรไฟล์ คนที่คุณบล็อกไว้ และอื่นๆ อีกมากมายสามารถกู้ได้ด้วย Signal PINของคุณเท่านั้น ซึ่งไม่ (และไม่สามารถทำได้) ถูกเข้าถึงเป็นส่วนหนึ่งของเหตุการณ์นี้ อย่างไรก็ตาม ในกรณีที่ผู้โจมตีสามารถลงทะเบียนบัญชีซ้ำได้ พวกเขาอาจจะส่งและได้รับข้อความ Signal จากหมายเลขโทรศัพท์นั้น

เราได้ดำเนินการดังต่อไปนี้เพื่อปกป้องผู้ใช้ที่ได้รับผลกระทบ:

  1. สำหรับผู้ใช้ 1,900 คนที่อาจได้รับผลกระทบ เราได้ยกเลิกการลงทะเบียน Signal จากอุปกรณ์ทุกเครื่องที่ผู้ใช้กำลังใช้งานอยู่ในตอนนั้น (หรืออุปกรณ์ที่ผู้โจมตีนำไปลงทะเบียนไว้) และให้ผู้ใช้ลงทะเบียน Signal ใหม่ด้วยหมายเลขโทรศัพท์บนอุปกรณ์ที่ต้องการ
  2. เราได้แจ้งผู้ใช้ที่อาจได้รับผลกระทบทั้ง 1,900 คนโดยตรงผ่านทาง SMS

เริ่มจากวันที่ 15 สิงหาคม เราแจ้งผู้ใช้และให้ผู้ใช้ลงทะเบียน Signal ใหม่ด้วยหมายเลขโทรศัพท์ ซึ่งเสร็จสิ้นแล้วภายในวันที่ 16 สิงหาคม

การโจมตีระบบสื่อสารแบบนี้ที่ Twilio ได้รับผลกระทบ เป็นจุดอ่อนที่ทำให้ Signal พัฒนาฟีเจอร์อย่างเช่น ล็อกการลงทะเบียนและSignal Pinเพื่อป้องกัน เราแนะนำให้ผู้ใช้เปิดใช้งานล็อกการลงเทียนแม้ว่าเราจะไม่สามารถแก้ไขได้โดยตรงในปัญหานี้ที่กระทบระบบนิเวศการสื่อสาร แต่เราก็จะร่วมมือกับ Twilio และผู้ให้บริการอื่นๆ เพื่อเพิ่มความปลอดภัยในส่วนที่ผู้ใช้ของเราให้ความสำคัญ


เหตุการณ์นี้ส่งผลกระทบต่อฉันหรือไม่

  • จากข้อมูลที่เราได้รับจาก Twilio มีผู้ใช้งาน 1,900 คนที่อาจได้รับผลกระทบ เราได้แจ้งผู้ใช้กลุ่มนี้ผ่านทาง SMS โดยเริ่มแจ้งในวันที่ 15 สิงหาคม และทำเสร็จสิ้นภายในวันที่ 16 สิงหาคม ข้อความ SMS ที่เราส่งมีใจความว่า "นี่คือข้อความจาก Signal Messenger เราติดต่อมาเพื่อให้คุณสามารถปกป้องบัญชี Signal ของคุณได้ เปิด Signal แล้วลงทะเบียนอีกครั้ง ข้อมูลเพิ่มเติม: https://signal.org/smshelp"
  • ถ้าคุณเห็นแถบแสดงเมื่อคุณเปิด Signal แจ้งว่าอุปกรณ์ของคุณไม่ได้ลงทะเบียนไว้แล้ว คุณอาจจะได้รับผลกระทบ แต่ก็มีเหตุผลอื่นที่คุณอาจจะไม่ได้ลงทะเบียนไว้อีกต่อไป เช่น ไม่ได้มีการใช้งานมาเป็นระยะเวลานาน

ข้อมูลส่วนตัวของฉันถูกเข้าถึงหรือแฮ็กหรือไม่
ไม่ Signal ถูกออกแบบมาเพื่อรักษาข้อมูลให้อยู่ในมือคุณ แทนที่จะอยู่กับเรา Signal ไม่มีสิทธิ์เข้าถึงประวัติการส่งข้อความของคุณ รวมถึงรายชื่อผู้ติดต่อ ข้อมูลโปรไฟล์ คนที่คุณบล็อก และข้อมูลส่วนตัวอื่นๆ และข้อมูลเหล่านี้ก็ไม่ได้อยู่กับ Twilio หรือผ่านการเข้าถึงชั่วคราวที่ผู้โจมตี Twilio ได้รับไปอย่างแน่นอน อย่างไรก็ตาม ในกรณีที่ผู้โจมตีสามารถลงทะเบียนบัญชีใหม่ได้ในช่วงที่ Twilio ถูกโจมตีอยู่ ผู้โจมตีอาจจะส่งและรับข้อความจากหมายเลขโทรศัพท์นั้นทาง Signal

คนที่ฉันแชทด้วยได้รับผลกระทบหรือไม่
เป็นไปได้ยาก เนื่องจากผู้ได้รับผลกระทบเป็นผู้ใช้งานกลุ่มเล็กๆ แต่หากสงสัยว่าผู้ติดต่อของคุณได้รับผลกระทบ ให้ติดต่อและสอบถามพวกเขาว่าได้รับข้อความ SMS จาก Signal ที่แจ้งให้ลงทะเบียนบัญชีใหม่หรือไม่ และโปรดแจ้งข้อมูลเพิ่มเติมเกี่ยวกับเหตุการณ์ดังกล่าว

ฉันควรทำอย่างไร
เราแนะนำให้ผู้ใช้เปิดใช้งานกุญแจลงทะเบียนบัญชี Signal การใช้กุญแจลงทะเบียนเสริมด้วย Signal PIN จะเพิ่มขั้นตอนการยืนยันในกระบวนการลงทะเบียน ไปที่การตั้งค่า Signal (โปรไฟล์) > บัญชี > กุญแจลงทะเบียน เพื่อดำเนินการ

Signal ทำอะไรบ้างเพื่อป้องกันไม่ให้เกิดเหตุการณ์เช่นนี้อีก
เราได้ติดต่อ Twilio และร่วมมือกับทางบริษัทและผู้ให้บริการรายอื่นๆ เพื่อปรับปรุงพัฒนาการรักษาความปลอดภัยให้ดียิ่งขึ้น ในฝั่งของผู้ใช้งาน เราแนะนำให้ผู้ใช้เปิดใช้งานกุญแจลงทะเบียน

บทความที่เกี่ยวข้อง