Tóm lược
Vào mùa hè năm 2022, công ty cung cấp dịch vụ xác minh số điện thoại cho Signal là Twilio, đã hứng chịu một cuộc tấn công giả mạo. Dưới đây là những điều người dùng nên biết:
- Tất cả người dùng có thể yên tâm rằng lịch sử tin nhắn, danh sách liên hệ, thông tin hồ sơ, những người họ đã chặn, và những thông tin cá nhân khác vẫn được duy trì bảo mật và riêng tư không bị ảnh hưởng.
- Đối với khoảng 1900 người dùng, một kẻ tấn công có thể đã cố gắng thực hiện đăng ký lại số điện thoại của họ trên một thiết bị khác hoặc biết rằng số điện thoại của họ được đăng ký trên Signal. Cuộc tấn công này đã được Twilio ngăn chặn. 1900 người dùng là một tỷ lệ rất nhỏ so với tổng số người dùng Signal, điều này đồng nghĩa với việc hầu hết mọi thứ không bị ảnh hưởng.
Chúng tôi đã trực tiếp thông báo cho 1900 người dùng này, và chỉ dẫn họ đăng ký lại Signal trên thiết bị của họ. Nếu bạn nhận được một tin nhắn SMS từ Signal với một đường dẫn tới bài viết hỗ trợ này, vui lòng hãy làm theo các bước sau đây:
- Mở Signal trên điện thoại của bạn và đăng ký lại tài khoản Signal nếu như ứng dụng yêu cầu bạn làm như vậy.
- Để tối ưu việc bảo vệ tài khoản của bạn, chúng tôi thực sự khuyến khích bạn bật khóa đăng ký trong phần Cài đặt của ứng dụng. Chúng tôi tạo ra tính năng này để bảo vệ người dùng khỏi những mối đe dọa như cuộc tấn công Twilio.
Điều gì chính xác đã xảy ra?
Vào mùa hè năm 2022, công ty cung cấp dịch vụ xác minh số điện thoại cho Signal là Twilio, đã hứng chịu một cuộc tấn công giả mạo. Chúng tôi đã thực hiện một cuộc điều tra vụ việc này và kết luận như sau.
- Một kẻ tấn công đã có quyền truy cập vào bảng điều khiển hỗ trợ khách hàng của Twilio bằng việc giả mạo. Đối với khoảng 1900 người dùng, 1) số điện thoại của họ có khả năng bị lộ khi được dùng để đăng ký tài khoản Signal, 2) mã xác minh SMS được sử dụng để đăng ký Signal bị lộ.
- Trong khoảng thời gian kẻ tấn công có quyền truy cập vào hệ thống hỗ trợ khách hàng của Twilio, có khả năng kẻ tấn công đã cố gắng thực hiện đăng ký các số điện thoại mà chúng đã tiếp cận vào một thiết bị khác bằng mã xác minh SMS. Kẻ tấn công hiện không còn quyền truy cập này, và cuộc tấn công đã được ngăn chặn bởi Twilio.
- Trong 1900 số điện thoại, kẻ tấn công đã tìm kiếm cụ thể ba số điện thoại, và chúng tôi đã nhận được một báo cáo từ một trong ba người dùng trên về việc tài khoản của họ được đăng ký lại.
Điều quan trọng là dù sao kẻ tấn công đã không thể truy cập vào lịch sử tin nhắn, thông tin hồ sơ, hay danh sách liên hệ. Lịch sử tin nhắn chỉ được lưu trữ trên thiết bị của bạn và Signal không giữ bản sao. Danh sách liên hệ của bạn, thông tin hồ sơ, những người bạn đã chặn, và nhiều hơn thế nữa chỉ có thể được khôi phục với mã Pin của Signal, một yếu tố đã không (và không thể) được tiếp cận trong sự cố này. Tuy nhiên trong trường hợp kẻ tấn công có thể đăng ký lại tài khoản, chúng có thể gửi và nhận tin nhắn Signal từ số điện thoại đó.
Chúng tôi đã thực hiện các bước sau để bảo về những người dùng liên quan:
- Đối với 1900 người dùng có khả năng bị ảnh hưởng, chúng tôi đã hủy đăng ký Signal trên tất cả các thiết bị mà những người dùng này đang sử dụng (hoặc kẻ tấn công sử dụng để đăng ký) và yêu cầu họ đăng ký lại Signal với số điện thoại trên thiết bị chính của họ.
- Chúng tôi đã thông báo qua SMS tới 1900 người dùng có khả năng bị ảnh hưởng.
Kể từ ngày 15 tháng 8, chúng tôi đã thông báo tới người dùng và yêu cầu họ đăng ký lại Signal với số điện thoại của họ. Chúng tôi hoàn thành việc này trước ngày 16 tháng 8.
Nhằm đối phó với loại tấn công viễn thông mà Twilio phải hứng chịu Signal đã phát triển các tính năng như khóa đăng ký và mã PIN Signal. Chúng tôi thực sự khuyến khích người dùng bật khóa đăng ký. Mặc dù chúng tôi không có khả năng khắc phục trực tiếp các sự cố ảnh hưởng đến hệ sinh thái viễn thông, nhưng chúng tôi sẽ hợp tác với Twilio và các nhà cung cấp tiềm năng khác để tăng cường bảo mật trên những khía cạnh trọng yếu với người dùng của chúng tôi.
Điều này có ảnh hưởng đến tôi không?
- Dựa trên thông tin chúng tôi nhận được từ Twilio, 1900 người dùng có thể đã bị ảnh hưởng. Chúng tôi đang thông báo cho những người dùng này qua SMS. Chúng tôi đã bắt đầu thông báo cho những người dùng vào ngày 15 tháng 8 và hoàn tất việc thông báo trước ngày 16 tháng 8. Tin nhắn SMS mà chúng tôi gửi cho những người dùng này có nội dung: “Tin nhắn này là từ Signal Messenger. Chúng tôi đang liên hệ để bạn có thể bảo vệ tài khoản Signal của mình. Hãy mở Signal và đăng ký lại. Thông tin thêm: https://signal.org/smshelp"
- Nếu bạn thấy một dòng chữ khi mở Signal cho biết rằng thiết bị của bạn không còn được đăng ký, có thể bạn đã bị ảnh hưởng, nhưng cũng có thể là do bạn không hoạt động trong một khoảng thời gian dài.
Dữ liệu cá nhân của tôi có bị truy cập hoặc tấn công không?
Không. Signal được thiết kế để chính bạn nắm giữ dữ liệu chứ không phải chúng tôi. Signal không có quyền truy cập vào lịch sử tin nhắn, danh sách liên hệ, thông tin hồ sơ, những người bạn đã chặn và dữ liệu cá nhân khác. Và thông tin này chắc chắn không khả dụng đối với Twilio hoặc những kẻ tấn công Twilio thông qua quyền truy cập tạm thời mà họ có được. Tuy nhiên, trong trường hợp kẻ tấn công có thể đăng ký lại tài khoản trong thời gian cuộc tấn công Twilio diễn ra, chúng có thể gửi và nhận tin nhắn từ số điện thoại đó trên Signal.
Người mà tôi trò chuyện cùng có bị ảnh hưởng không?
Điều đó rất ít khả năng, với số lượng người dùng bị ảnh hưởng là rất nhỏ. Tuy nhiên, nếu bạn muốn biết liệu bạn bè của bạn có bị ảnh hưởng hay không, bạn có thể liên hệ với họ và hỏi xem họ có nhận được thông báo SMS từ Signal yêu cầu họ đăng ký lại tài khoản, và cho họ biết thêm thông tin về vụ việc.
Tôi nên làm gì?
Chúng tôi khuyến khích người dùng kích hoạt khóa đăng ký cho tài khoản Signal của họ. Sử dụng khoá đăng ký không bắt buộc bằng mã PIN Signal của bạn sẽ thêm một lớp xác minh vào quá trình đăng ký. Vào Cài đặt Signal (hồ sơ) > Tài khoản > Khóa đăng ký để thực hiện thao tác.
Signal đang làm gì để ngăn điều này xảy ra lần nữa?
Chúng tôi đang liên hệ với Twilio và đang tích cực làm việc với họ cũng như các nhà cung cấp khác để cải thiện các biện pháp bảo mật. Về phía người dùng, chúng tôi khuyến khích người dùng kích hoạt khóa đăng ký.