Signal: Sårbarhet avslöjar telefonnummer till 1900 användare

Telefonnummer och SMS-koder till 1900 Signalanvändare i det vilda, detta beror på en brist hos sin partner Twilio. En påminnelse om att inget system, inte ens ett så säkert som Signal, är manipuleringssäkert.

Signal är utan tvekan den säkraste snabbmeddelandetjänsten. Detta gör den dock inte immun mot hacking. Företaget bekräftade att telefonnumren och SMS-koderna för cirka 1 900 användare exponerades på grund av ett brott i säkerheten hos dess verifieringspartner Twilio. Som TechCrunch noterade kunde angriparen använda denna information för att autentisera på uppdrag av dessa användare eller för att lagra deras nummer på andra enheter.

Telefonnummer och SMS-koder till 1900 Signalanvändare i det vilda

Uppgifterna har redan missbrukats. Därför begärde författarna till denna attack tre telefonnummer och registrerade om en specifik användares konto. Signal lagrar inte chatthistorik eller onlinekontakter, så detta säkerhetsbrott borde inte ha avslöjat någon annan känslig data.

Signal har i alla fall vidtagit åtgärder för att begränsa eventuella förluster. Således tog plattformen bort appen från alla associerade enheter på de berörda kontona, vilket tvingade användare att registrera sig om. Teamet rekommenderar också att du aktiverar registreringslåset, som hindrar dig från att registrera dig på en annan enhet utan att ange en PIN-kod.

Detta beror på bristen på hans partner Twilio.

Twilio identifierade felet den 8 augusti. Brottslingar, vars identitet ännu inte har identifierats, använde nätfiske för att få registreringsinformation och tillgång till 125 kunders konton. Även om det ännu inte är klart vilka andra kunder som kan ha drabbats, erbjuder Twilio sina tjänster till ett antal stora företag och organisationer.

En påminnelse om att inget system, inte ens ett så säkert som Signal, är manipuleringssäkert.

Attacken sätter press på Signal ändå. Detta kan vara en utlösande faktor för plattformen, som andra redan har gjort, att bli av med ett telefonnummer som kan vara sårbart för SIM-spoofing och andra attacker. Det är också en påminnelse om att system, även mycket säkra sådana, har sina potentiella partners som en svag länk. Ett misstag hos en tredje part är ibland farligare än en direkt attack.