Signal: Sårbarhed afslører telefonnumre på 1900 brugere

Telefonnumre og SMS-koder på 1900 Signalbrugere i naturen, dette skyldes en mangel hos sin partner Twilio. En påmindelse om, at intet system, selv et så sikkert som Signal, er manipulationssikkert.

Signal er uden tvivl den mest sikre onlinemeddelelsestjeneste. Dette gør den dog ikke immun over for hacking. Virksomheden bekræftede, at telefonnumrene og SMS-koderne på omkring 1.900 brugere blev afsløret på grund af et brud på sikkerheden hos dets verifikationspartner Twilio. Som TechCrunch bemærkede, kunne angriberen bruge disse oplysninger til at autentificere på vegne af disse brugere eller til at gemme deres numre på andre enheder.

Telefonnumre og SMS-koder til 1900 Signalbrugere i naturen

Dataene er allerede blevet misbrugt. Forfatterne til dette angreb anmodede således om tre telefonnumre og omregistrerede en specifik brugers konto. Signal gemmer ikke chathistorik eller online kontakter, så dette sikkerhedsbrud burde ikke have afsløret andre følsomme data.

Under alle omstændigheder har Signal taget skridt til at begrænse eventuelle tab. Således fjernede platformen appen fra alle tilknyttede enheder på de berørte konti, hvilket tvang brugerne til at omregistrere sig. Teamet anbefaler også at aktivere registreringslåsen, som forhindrer dig i at omregistrere dig på en anden enhed uden at angive en pinkode.

Dette skyldes manglen på hans partner Twilio.

Twilio identificerede fejlen den 8. august. Kriminelle, hvis identitet endnu ikke er blevet identificeret, brugte phishing til at få registreringsoplysninger og adgang til 125 kunders konti. Selvom det endnu ikke er klart, hvilke andre kunder der kan være blevet berørt, tilbyder Twilio sine tjenester til en række store virksomheder og organisationer.

En påmindelse om, at intet system, selv et så sikkert som Signal, er manipulationssikkert.

Angrebet lægger alligevel pres på Signal. Dette kan være en trigger for platformen, som andre allerede har gjort, for at slippe af med et telefonnummer, der kan være sårbart over for SIM-spoofing og andre angreb. Det er også en påmindelse om, at systemer, selv meget sikre, har deres potentielle partnere som et svagt led. En fejl i en tredjepart er nogle gange farligere end et direkte angreb.