Signaal: kwetsbaarheid onthult telefoonnummers van 1900 gebruikers

Telefoonnummers en sms-codes van 1900 Signaalgebruikers in het wild, dit komt door een gebrek aan haar partner Twilio. Een herinnering dat geen enkel systeem, zelfs niet zo veilig als Signal, fraudebestendig is.

Signal is misschien wel de veiligste instant messaging-service. Dit maakt het echter niet immuun voor hacking. Het bedrijf bevestigde dat de telefoonnummers en sms-codes van ongeveer 1.900 gebruikers openbaar waren gemaakt door een inbreuk op de beveiliging van zijn verificatiepartner Twilio. Zoals TechCrunch opmerkte, zou de aanvaller deze informatie kunnen gebruiken om namens deze gebruikers te authenticeren of om hun nummers op andere apparaten op te slaan.

Telefoonnummers en sms-codes van 1900 Signal-gebruikers in het wild

De gegevens zijn al misbruikt. De auteurs van deze aanval vroegen dus om drie telefoonnummers en registreerden een specifiek gebruikersaccount opnieuw. Signal slaat geen chatgeschiedenis of online contacten op, dus deze inbreuk op de beveiliging had geen andere gevoelige gegevens mogen blootleggen.

Signal heeft in ieder geval stappen ondernomen om eventuele verliezen te beperken. Zo heeft het platform de app verwijderd van alle gekoppelde apparaten van de getroffen accounts, waardoor gebruikers gedwongen werden zich opnieuw te registreren. Het team raadt ook aan om de registratievergrendeling te activeren, waardoor u zich niet opnieuw kunt registreren op een ander apparaat zonder een pincode op te geven.

Dit komt door het ontbreken van zijn partner Twilio.

Twilio identificeerde de fout op 8 augustus. Criminelen, van wie de identiteit nog niet is vastgesteld, gebruikten phishing om registratiegegevens en toegang tot de accounts van 125 klanten te verkrijgen. Hoewel het nog niet duidelijk is om welke andere klanten het gaat, biedt Twilio zijn diensten aan een aantal grote bedrijven en organisaties aan.

Een herinnering dat geen enkel systeem, zelfs niet zo veilig als Signal, fraudebestendig is.

De aanval zet Signal sowieso onder druk. Dit zou een trigger kunnen zijn voor het platform, zoals anderen al hebben gedaan, om zich te ontdoen van een telefoonnummer dat kwetsbaar zou kunnen zijn voor sim-spoofing en andere aanvallen. Het herinnert er ook aan dat systemen, zelfs zeer veilige systemen, hun potentiële partners als zwakke schakel hebben. Een fout bij een derde partij is soms gevaarlijker dan een directe aanval.