Основна інформація
Улітку 2022 року Twilio, компанія, яка надає Signal послуги перевірки телефонних номерів, зазнала фішингової атаки. Ось що потрібно знати нашим користувачам:
- Усі користувачі можуть бути впевнені, що їхня історія повідомлень, списки контактів, інформація профілю, чорний список та інші особисті дані лишаються конфіденційними й захищеними, і що вони не постраждали.
- Зловмисник міг спричинити шкоду близько 1 900 користувачам, перереєструвавши їхні номери на інших пристроях або дізнавшись, що їхній номер зареєстрований у Signal. Відтоді ця атака була знешкоджена командою Twilio. 1 900 користувачів — це дуже малий відсоток від загальної кількості користувачів Signal, тобто більшість не постраждала.
Ми повідомили цих 1 900 користувачів про інцидент і попросили їх повторно зареєструватись у Signal зі своїх пристроїв. Якщо ви отримали повідомлення від Signal з посиланням на цю статтю, будь ласка, виконайте такі кроки:
- Відкрийте Signal у телефоні й повторно зареєструйте свій акаунт, якщо побачите відповідну підказку від застосунку.
- Для максимального захисту ми рекомендуємо увімкнути блокування реєстрації в налаштуваннях застосунку. Ми створили цю функцію, щоб захистити користувачів від подібних загроз, яка сталась у випадку з Twilio.
Що саме сталося?
Twilio, компанія, що надає Signal послуги з підтвердження за номером телефону, повідомила, що вона зазнала фішингової атаки. Ми провели розслідування й виявили наступні факти.
- Зловмисник отримав доступ до консолі служби підтримки за допомогою фішингу. Приблизно для 1 900 користувачів атака мала такі наслідки: 1) потенційно були розкриті їхні номери телефону, використанні під час реєстрації в Signal, 2) або були розкриті SMS-коди перевірки, використані під час реєстрації в Signal.
- Протягом часу, поки зловмисник мав доступ до систем служби підтримки Twilio, він міг спробувати зареєструвати розкриті номери телефону на інших пристроях за допомогою SMS-повідомлень з кодом перевірки. Зловмисник більше не має цього доступу, а Twilio зупинила атаку.
- Серед 1 900 номерів телефону зловмисник явно шукав три конкретні номери. Ми отримали звіт від одного з цих номерів про повторну реєстрацію акаунту.
Важливо зазначити, що зловмисник не отримав доступу до історії повідомлень, інформації профілів і списків контактів. Історія повідомлень зберігається лише на вашому пристрої, і Signal не має її копії. Списки контактів, інформацію профілю, чорний список тощо можна відновити тільки за допомогою PIN-коду Signal, до якого зловмисник не отримав (і не міг отримати) доступ. Але зловмисник мав можливість повторно зареєструвати один акаунт, тому він мав змогу надсилати й отримувати повідомлення в Signal із цього номеру телефону.
Для захисту уражених користувачів ми вжили таких заходів:
- Ми скасували реєстрацію в Signal для всіх потенційно уражених 1 900 користувачів на всіх пристроях, які використовувалися на той момент (або на яких міг зареєструватися зловмисник). Цим користувачам потрібно було повторно зареєструвати свій номер телефону в Signal на бажаному пристрої.
- Ми безпосередньо сповістили всіх 1 900 потенційно постраждалих користувачів за допомогою SMS.
Станом на 15 серпня ми вже сповіщали користувачів і просили їх повторно зареєструвати свій номер телефону в Signal. До 16 серпня цей процес було завершено.
Телекомунікаційна атака, якої зазнала компанія Twilio, — це вразливість, для запобігання якій Signal і розробив такі функції, як блокування реєстрації та PIN-код Signal. Ми наполегливо рекомендуємо користувачам увімкнути блокування реєстрації. Хоча ми не маємо можливості безпосередньо вирішити проблеми, що впливають на телекомунікаційну екосистему, ми працюватимемо з Twilio та потенційно з іншими постачальниками, щоб посилити безпеку там, де це важливо для наших користувачів.
Чи я теж жертва цієї атаки?
- Спираючись на інформацію, яку ми отримали від Twilio, потенційно могли постраждати 1 900 користувачів. Ми сповіщали цих користувачів за допомогою SMS-повідомлень. Ми почали сповіщати користувачів 15 серпня й завершили сповіщання 16 серпня. Ми надіслали цим користувачам таке повідомлення: «Це повідомлення від Signal Messenger. Ми пишемо для того, щоб допомогти захистити ваш акаунт Signal. Відкрийте Signal і зареєструйтеся знову. Подробиці: https://signal.org/smshelp
- Якщо під час входу в Signal ви побачили банер з інформацією, що ваш пристрій більше не зареєстровано, можливо, ви теж стали жертвою атаки, але є й інші причини, чому ви більше не зареєстровані, наприклад тривалий період бездіяльності.
Чи було розкрито або викрадено мої особисті дані?
Ні. Signal розроблено таким чином, щоб ваші дані зберігались у вас, а не в Signal. Signal не має доступу до вашої історії повідомлень, списку контактів, інформації профілю, переліку заблокованих користувачів та інших особистих даних. Такої інформацій також не має Twilio, і зловмисник не міг би її отримати під час цієї короткотривалої атаки. Але зловмисник мав можливість повторно зареєструвати один акаунт, тому він міг надсилати й отримувати повідомлення в Signal із цього номеру телефону.
Чи постраждав хтось із мого списку контактів?
З огляду на невелику кількість постраждалих, це дуже малоймовірно. Однак, якщо вам цікаво, чи постраждав хтось із ваших контактів, ви можете зв'язатися з ними й запитати, чи отримували вони SMS-повідомлення від Signal із проханням повторно зареєструвати акаунт і посиланням на додаткову інформацію про інцидент.
Що слід зробити?
Ми рекомендуємо користувачам увімкнути блокування реєстрації для свого акаунту Signal. Використання такого необов'язкового блокування реєстрації за допомогою PIN-коду Signal підсилить захист вашого акаунту. Для цього перейдіть у налаштування Signal (профіль) > Акаунт > Блокувати реєстрацію.
Що робить Signal для запобігання таким ситуаціям?
Ми підтримуємо зв'язок із Twilio й активно співпрацюємо з ними та іншими постачальниками, щоб покращити їхні заходи безпеки. А користувачам ми рекомендуємо ввімкнути блокування реєстрації.