Узагальнена інформація
Улітку 2022 року Twilio, компанія, яка надає Signal послуги перевірки телефонних номерів, зазнала фішингової атаки. Ось що потрібно знати нашим користувачам:
- Усі користувачі можуть бути спокійні та впевнені, що їхня історія повідомлень, списки контактів, інформація профілю, чорний список та інші особисті дані залишаються конфіденційними та захищеними, і вони не постраждали.
- Зловмисник міг причинити шкоди близько 1900 користувачам, перереєструвавши номер на інший пристрій або дізнавшись, чи був їхній номер зареєстрований у Signal. Відтоді ця атака була знешкоджена командою Twilio. 1900 користувачів — це дуже малий відсоток від загальної кількості користувачів Signal, тобто більшість не постраждали.
Ми повідомили цих 1900 користувачів про подію і попросили їх повторно зареєструватись у Signal зі свого пристрою. Якщо ви отримали повідомлення від Signal із посиланням на цю статтю, будь ласка, виконайте наступні кроки:
- Відкрийте Signal у телефоні та повторно зареєструйте свій акаунт, якщо побачите відповідну підказку від застосунку.
- Для максимального захисту ми рекомендуємо увімкнути блокування реєстрації в Налаштуваннях застосунку. Ми створили цю функцію, щоб захистити користувачів від подібних загроз, яка сталася з Twilio.
Що саме сталося?
Twilio, компанія, що надає Signal послуги з підтвердження за номером телефону, повідомила, що вона зазнала фішингової атаки. Ми провели розслідування і виявили наступні факти.
- Зловмисник отримав доступ до консолі служби підтримки за допомогою фішингу. Для близько 1900 користувачів атака мала такі наслідки: 1) потенційно були розкриті їхні номери телефону, використанні під час реєстрації в Signal, 2) або були розкриті SMS-коди перевірки, використані під час реєстрації в Signal.
- Протягом часу, поки зловмисник мав доступ до систем служби підтримки Twilio, він міг спробувати зареєструвати розкриті номери телефону на інший пристрій за допомогою SMS-коду перевірки. Зловмисник більше не має цього доступу, а Twilio зупинила атаку.
- Серед 1900 номерів телефону зловмисник явно шукав три конкретні номери. Ми отримали звіт від одного з цих номерів про повторну реєстрацію акаунту.
Важливо зазначити, що зловмисник не отримав доступу до журналу повідомлень, інформації профілю чи списку контактів. Журнал повідомлень зберігається лише на вашому пристрої і Signal не має його копії. Списки контактів, інформацію профілю, чорний список тощо можна відновити тільки за допомогою PIN-коду Signal, який не був (і не міг бути) розкритий зловмисником. Але зловмисник мав можливість повторно зареєструвати акаунт, тому він міг надсилати й отримувати повідомлення в Signal із цього номеру телефону.
Для захисту уражених користувачів ми вжили таких заходів:
- Ми скасували реєстрацію Signal для всіх потенційно уражених 1900 користувачів на всіх пристроях, які використовувалися на той момент (або на які міг зареєструватися зловмисник). Цим користувачам потрібно було повторно зареєструвати свій номер телефону в Signal на бажаному пристрої.
- Ми сповістили всіх 1900 потенційно постраждалих користувачів безпосередньо за допомогою SMS.
Станом на 15 серпня ми вже сповіщали користувачів і просили їх повторно зареєструвати свій номер телефону у Signal. До 16 серпня процес було завершено.
Тип телекомунікаційної атаки, якої зазнав Twilio, — це вразливість, для запобігання якої Signal розробив такі функції, як блокування реєстрації та PIN-коди Signal. Ми наполегливо рекомендуємо користувачам увімкнути блокування реєстрації. Хоча ми не маємо можливості безпосередньо вирішити проблеми, що впливають на телекомунікаційну екосистему, ми працюватимемо з Twilio та потенційно з іншими постачальниками, щоб посилити безпеку там, де це важливо для наших користувачів.
Чи вплинуло це на мене?
- Опираючись на інформацію, яку ми отримали від Twilio, потенційно могли постраждати 1900 користувачів. Ми сповіщали цих користувачів за допомогою SMS. Ми почали сповіщати користувачів 15 серпня і завершили сповіщення 16 серпня. У SMS-повідомленні, яке ми надіслали цим користувачам, написано: «Це повідомлення від Signal Messenger. Ми пишемо для того, щоб допомогти захистити ваш акаунт Signal. Відкрийте Signal і зареєструйтеся знову. Подробиці: https://signal.org/smshelp
- Якщо під час входу у Signal ви побачили банер із повідомленням, що ваш пристрій більше не зареєстровано, можливо, це вплинуло і на вас, але існують інші причини, чому ви більше не зареєстровані, наприклад тривалий період бездіяльності.
Чи були мої особисті дані розкриті чи зламані?
Ні. Signal спроєктований таким чином, щоб ваші дані зберігалися у вас, а не в Signal. Signal не має доступу до вашого журналу повідомлень, списку контактів, інформації профілю, переліку заблокованих користувачів та інших особистих даних. Такої інформацій також не має Twilio, і зловмисник не міг би її отримати під час цієї тимчасової атаки. Але зловмисник мав можливість повторно зареєструвати акаунт, тому він міг надсилати й отримувати повідомлення в Signal із цього номеру телефону.
Чи постраждав хтось із мого списку контактів?
З огляду на невелику кількість постраждалих, це дуже малоймовірно. Однак, якщо вам цікаво, чи постраждав хтось з ваших контактів, ви можете зв’язатися з ними і запитати, чи отримували вони SMS-повідомлення від Signal із проханням повторно зареєструвати акаунт і вказівкою на додаткову інформацію про інцидент.
Що слід робити?
Ми рекомендуємо користувачам увімкнути блокування реєстрації для свого акаунту Signal. Використання додаткового блокування реєстрації за допомогою PIN-коду Signal підсилить захист вашого акаунту. Для цього перейдіть у налаштування Signal (профіль) > Акаунт > Блокувати реєстрацію.
Що робить Signal для запобігання таких ситуацій?
Ми підтримуємо зв’язок із Twilio й активно співпрацюємо з ними та іншими постачальниками, щоб покращити їхні заходи безпеки. З боку користувачів ми рекомендуємо ввімкнути блокування реєстрації.