摘要
2022 年夏天,為 Signal 提供手機號碼驗證服務的公司 Twilio 遭受網絡釣魚攻擊。為此,Signal 用戶請留意以下事項:
- 請大家放心,因為各位的訊息紀錄、聯絡人清單、個人檔案資訊、封鎖的對象和其他個資並沒有受到影響,一切資料仍維持私密狀態且安全無虞。
- 此次大約有 1,900 位使用者的帳號遭受影響,駭客可能嘗試將這些使用者的手機號碼註冊在其他裝置名下,或得知部分使用者的號碼註冊過 Signal 服務。Twilio 已隨即遏止該次攻擊活動。其實,Signal 使用者的總人數眾多,1,900 位使用者所占的比例並不大,因此大多數的使用者並未受到攻擊。
我們已直接聯絡 1,900 名受影響用戶,並請他們盡快在裝置上重新註冊 Signal。如你收到來自 Signal 的短訊,而當中包含此說明文章的連結,請按照以下步驟操作:
- 用手機開啟 Signal,若 App 要求你再次註冊 Signal 帳號,請按照指示操作。
- 如要妥善保護你的帳號,我們強烈建議你在 App 的「設定」中啟用註冊鎖;這項功能是為了保護各位免受類似 Twilio 事件的攻擊所研發。
到底發生了什麼事?
Twilio 是為 Signal 提供手機號碼驗證服務的公司。他們最近告知我們,公司受到網路釣魚攻擊。我們隨即展開調查,並釐清下列事發經過。
- 駭客透過釣魚進入了 Twilio 客服系統控制台,大約有 1,900 位使用者受到影響。駭客可能已得知當中有些使用者註冊過 Signal 帳號,而部分使用者用來註冊 Signal 的簡訊驗證碼則遭到洩漏。
- 在遭駭期間,駭客入侵了 Twilio 的客服系統,因此可能取得了使用者的手機號碼,並將獲取的簡訊驗證碼用於註冊其他裝置。現在該駭客集團已不再有系統的存取權,而 Twilio 也隨即遏止了該次攻擊。
- 在這 1,900 個手機號碼中,駭客直接搜尋了 3 個號碼,而我們也接獲其中一名使用者反映,表示自己的帳號無故重新註冊。
我們想在此強調,駭客無法取得任何簡訊紀錄、個人檔案資訊或聯絡人清單。簡訊紀錄只會儲存在你的裝置,Signal 並不會另存備份。你的聯絡人清單、個人檔案資訊、封鎖的對象等資料都只能透過你的 Signal PIN 碼取回,此次的駭客並沒有(也無法)進行存取。不過,由於駭客得以重新註冊某些帳號,因此可能有辦法使用遭駭的手機號碼來收發 Signal 簡訊。
為此,我們已採取以下行動,以保護受影響的用戶:
- 我們已為帳戶可能受影響的 1,900 名用戶目前使用的所有裝置取消註冊了 Signal (或者黑客蓄意為其註冊的裝置),並要求這些用戶在偏好的裝置上使用自己的手機號碼重新註冊 Signal。
- 我們已直接透過短訊通知 1,900 名可能受影響的用戶。
截至 8 月 15 日,我們已陸續開始通知這些用戶,並請他們用自己的手機號碼重新註冊 Signal。此程序已於 8 月 16 日完成。
Twilio 與其他業者遭受到的電信攻擊,凸顯出 Signal 研發註冊鎖和 Signal PIN 碼等功能的原意。我們強烈建議使用者啟用註冊鎖。雖然我們無法直接修復遭受波及的電信生態系統,但我們將與 Twilio 及其他供應商攜手合作,希望藉此提高使用者的帳號安全,因為這是各位最在乎的一點。
這次事件對我有影響嗎?
- 根據 Twilio 提供的資訊,可能受到影響的用戶共有 1,900 名。我們已透過短訊通知這些用戶。我們於 8 月 15 日開始通知用戶,並於 8 月 16 日完成。以下是我們傳送給有關用戶的短訊內容:「這是來自 Signal Messenger 的訊息。特此通知以協助你保障 Signal 帳戶安全。請開啟 Signal 並重新註冊。詳情:https://signal.org/smshelp。」
- 開啟 Signal 時若看到畫面顯示你的裝置已不再是註冊狀態,你可能受到此次事件的影響,但也有其他原因會導致你失去註冊狀態,例如許久未使用我們的 App。
黑客會取得我的個人資料嗎?
不會。Signal 的設計確保個人資料由用戶 (而非 Signal) 全權控制。Signal 無法存取你的訊息紀錄、聯絡人清單、個人檔案資料、封鎖對象等個人資料,而 Twilio 和短暫入侵 Twilio 系統的黑客亦絕對無法取得這些資料。然而,如果黑客能在入侵 Twilio 系統期間重新註冊帳戶,他們或可使用該手機號碼收發 Signal 訊息。
我的聊天對象會受影響嗎?
由於受影響的人數不多,此可能性並不高。然而,如你想確認自己的親友是否受影響,不妨直接詢問他們是否收到 Signal 要求他們重新註冊帳號的短訊通知,並與他們分享更多此次事件的詳情。
接下來該怎麼做?
我們鼓勵用戶為 Signal 帳戶啟用註冊鎖。額外使用 Signal PIN 碼作為註冊鎖,將為註冊過程增添多一重保障。前往 Signal 設定 (個人檔案) > 帳戶 > 註冊鎖,即可完成設定。
Signal 將採取哪些行動,防止類似事件再次發生?
我們正與 Twilio 緊密溝通,積極與他們及其他供應商合作,改善各方的安全措施。在用戶層面,我們則強烈建議啟用註冊鎖。