Özet
Signal'e telefon numarası doğrulama hizmetleri veren şirket Twilio, 2022 yazında bir kimlik avı saldırısına maruz kaldı. İşte kullanıcılarımızın bilmesi gerekenler:
- Tüm kullanıcılar mesaj geçmişlerinin, kişi listelerinin, profil bilgilerinin, kimi engellediklerinin ve diğer kişisel verilerinin gizli ve güvende kaldığından ve etkilenmediğinden emin olabilir.
- Yaklaşık 1.900 kullanıcı için geçerli olacak şekilde, bir saldırgan tarafından söz konusu numaralar başka bir cihaza yeniden kaydedilmeye çalışılmış veya bu numaraların Signal'a kayıtlı olduğu öğrenilmiş olabilir. Bu saldırı o zamandan beri Twilio tarafından durduruldu. 1.900 kullanıcı, Signal'in toplam kullanıcılarının çok küçük bir yüzdesidir, bu da çoğunun etkilenmediği anlamına gelir.
Bu 1.900 kullanıcıyı doğrudan bilgilendirdik ve Signal'ı cihazlarına yeniden kaydetmelerini istedik. Signal'den bu destek makalesine dair bir bağlantı içeren SMS mesajı aldıysan lütfen şu adımları izle:
- Telefonunda Signal'i aç ve uygulama senden bunu yapmanı isterse Signal hesabını tekrar kaydet.
- Hesabını en iyi şekilde korumak için uygulamanın Ayarlar bölümünden kayıt kilidini etkinleştirmeni şiddetle tavsiye ederiz. Bu özelliği, kullanıcıları Twilio saldırısı gibi tehditlere karşı korumak için oluşturduk.
Tam olarak ne oldu?
Signal'e telefon numarası doğrulama hizmetleri sağlayan şirket Twilio, bir kimlik avı saldırısına maruz kaldıklarını bize bildirdi. Olayla ilgili bir soruşturma yürüttük ve şunları belirledik.
- Bir saldırgan, kimlik avı yoluyla Twilio'nun müşteri destek konsoluna erişim sağladı. Yaklaşık 1.900 kullanıcı için ya 1) telefon numaralarının bir Signal hesabına kayıtlı olduğu ortaya çıktı ya da 2) Signal'e kaydolmak için kullanılan SMS doğrulama kodu ortaya çıktı.
- Bir saldırganın Twilio'nun müşteri destek sistemlerine eriştiği pencerede, eriştiği telefon numaralarını SMS doğrulama kodunu kullanarak başka bir cihaza kaydetmeye çalışması mümkündü. Saldırganın artık bu erişimi yok ve saldırı Twilio tarafından durduruldu.
- Saldırgan, 1.900 telefon numarası arasında açıkça üç numara aradı ve bu üç kullanıcıdan birinden, hesabının yeniden kaydedildiğine dair bir rapor aldık.
Önemle altını çizmek isteriz ki bu durum saldırganın herhangi bir mesaj geçmişine, profil bilgilerine veya kişi listelerine erişimine izin vermedi. Mesaj geçmişi yalnızca cihazında saklanır ve Signal bunun bir kopyasını saklamaz. Kişi listelerin, profil bilgilerin, kimleri engellediğin ve daha fazlası, yalnızca bu olayın bir parçası olarak erişilmeyen (ve erişilemeyen ) Signal PIN'inle kurtarılabilir. Ancak bir saldırganın bir hesabı yeniden kaydetmesi durumunda, o telefon numarasından Signal mesajları gönderip alabilir.
Etkilenen kullanıcıları korumak adına şu adımları uyguladık:
- Potansiyel olarak etkilenen 1.900 kullanıcının tümü için, kullanıcının o anda kullanmakta olduğu (veya bir saldırganın kaydettirdiği) tüm cihazlarda Signal'in kaydını kaldırdık ve Signal'i tercih ettikleri cihazda telefon numarasıyla yeniden kaydetmelerini zorunlu kıldık.
- Potansiyel olarak etkilenen 1.900 kullanıcının tümünü doğrudan SMS yoluyla bilgilendirdik.
15 Ağustos itibariyle, kullanıcıları zaten bilgilendiriyorduk ve Signal'i telefon numaralarıyla yeniden kaydetmelerini şart koşuyorduk. 16 Ağustos'a kadar bu işlemleri tamamladık.
Twilio'nun maruz kaldığı türden bir telekomünikasyon saldırısı, Signal'in korumak için kayıt kilidi ve Signal PIN'leri gibi özellikler geliştirdiği bir güvenlik açığıdır. Kullanıcıların kayıt kilidini etkinleştirmelerini önemle tavsiye ederiz. Telekomünikasyon ekosistemini etkileyen sorunları doğrudan çözemesek de kullanıcılarımız için önemli olan yerlerde güvenliklerini sıkılaştırmak için Twilio ve potansiyel olarak diğer sağlayıcılarla birlikte çalışacağız.
Bu durum beni etkiledi mi?
- Twilio'dan aldığımız bilgilere göre 1.900 kullanıcı potansiyel olarak etkilenmiş olabilir. Bu kullanıcıları SMS ile bilgilendiriyoruz. 15 Ağustos'ta kullanıcıları bilgilendirmeye başladık ve 16 Ağustos'ta kullanıcıları bilgilendirmeyi tamamladık. Bu kullanıcılara gönderdiğimiz SMS mesajı şöyleydi: "Bu, Signal Messenger'dan. Signal hesabınızı koruyabilmeniz için size ulaşıyoruz. Signal'i açın ve tekrar kaydolun. Daha fazla bilgi için https://signal.org/smshelp adresine göz at.
- Signal'i açtığında cihazının artık kayıtlı olmadığını belirten bir uyarı gördüysen bu durumdan etkilenmiş olabilirsin ancak bu uyarı, uzun süre işlem yapılmaması gibi başka nedenlerden de kaynaklı olabilir.
Kişisel verilerim ele geçirildi mi?
Hayır. Signal, verilerini bizim elimizde değil, senin elinde tutmak için tasarlanmıştır. Signal'in mesaj geçmişine, kişi listene, profil bilgilerine, kimleri engellediğine ve diğer kişisel verilerine erişimi yoktur. Ve bu bilgiler kesinlikle Twilio veya Twilio'nun saldırganları tarafından geçici olarak elde edilen erişim yoluyla elde edilemez. Ancak bir saldırganın Twilio saldırısının aktif olduğu süre içinde bir hesabı yeniden kaydetmesi durumunda, Signal'de bu telefon numarasından mesaj gönderip alabilir.
Sohbet ettiğim biri etkilendi mi?
Etkilenen az sayıda insan göz önüne alındığında, bu pek olası değildir. Ancak bir kişinin etkilenip etkilenmediğini merak ediyorsan, onlara ulaşıp Signal'den hesaplarını yeniden kaydetmelerini isteyen ve olayla ilgili daha fazla bilgiye yönlendiren bir SMS bildirimi alıp almadıklarını sorabilirsin.
Ne yapmalıyım?
Kullanıcıları, Signal hesapları için kayıt kilidini etkinleştirmeye teşvik ediyoruz. Signal PIN'inle isteğe bağlı bir kayıt kilidi kullanmak, kayıt işlemine ek bir doğrulama katmanı ekler. Bunu yapmak için Signal Ayarları (profil) > Hesap > Kayıt Kilidi'ne git.
Signal bunun tekrar yaşanmasını önlemek için ne yapıyor?
Twilio ile iletişim halindeyiz ve güvenlik uygulamalarını iyileştirmek için onlarla ve diğer sağlayıcılarla aktif olarak çalışıyoruz. Kullanıcı tarafında, kullanıcıları kayıt kilidini etkinleştirmeye teşvik ediyoruz.