Signal: 脆弱性により 1900 人のユーザーの電話番号が明らかになる

1900 人の Signal ユーザーの電話番号と SMS コードが公開されていますが、これはパートナーである Twilio が不足しているためです。Signal ほど安全なシステムであっても、改ざんを防止できるシステムはないということを思い出させてください。

Signal はおそらく最も安全なインスタント メッセージング サービスです。ただし、これでハッキングの影響を受けなくなるわけではありません。同社は、検証パートナーである Twilio のセキュリティ侵害により、約 1,900 人のユーザーの電話番号と SMS コードが流出したことを確認しました。TechCrunch が指摘したように、攻撃者はこの情報を使用して、これらのユーザーに代わって認証したり、その番号を他のデバイスに保存したりする可能性があります。

実際の 1900 人の Signal ユーザーの電話番号と SMS コード

データはすでに悪用されています。したがって、この攻撃の作成者は 3 つの電話番号を要求し、特定のユーザーのアカウントを再登録しました。Signal はチャット履歴やオンライン連絡先を保存しないため、このセキュリティ侵害によって他の機密データが漏洩することはありませんでした。

いずれにせよ、Signal は損失を制限するための措置を講じています。したがって、プラットフォームは影響を受けたアカウントに関連付けられているすべてのデバイスからアプリを削除し、ユーザーは再登録する必要がありました。またチームは、PIN を入力せずに別のデバイスに再登録できないようにする登録ロックを有効にすることも推奨しています。

これは彼のパートナーである Twilio がいないためです。

Twilio は 8 月 8 日にこの欠陥を特定しました。犯罪者らはまだ身元が特定されていないが、フィッシングを利用して登録情報を入手し、125 人の顧客のアカウントにアクセスした。他のどの顧客が影響を受けたかはまだ明らかではありませんが、Twilio は多数の大企業や組織にサービスを提供しています。

Signal ほど安全なシステムであっても、改ざんを防止できるシステムはないということを思い出させてください。

とにかく攻撃はシグナルにプレッシャーを与える。これは、他のプラットフォームがすでに行っているように、プラットフォームが SIM スプーフィングやその他の攻撃に対して脆弱な可能性のある電話番号を削除するきっかけとなる可能性があります。これは、たとえ非常に安全なシステムであっても、潜在的なパートナーが弱点であることを思い出させるものでもあります。第三者のミスは、場合によっては直接攻撃よりも危険です。