Фишинговая атака на коммуникационного гиганта Twilio привела к компрометации конфиденциальности Signal примерно для 1900 пользователей. Были раскрыты их телефонные номера, а также SMS-коды подтверждения, которые позволили злоумышленнику зарегистрировать учетные записи на новом устройстве…
Фон
Twilio предоставляет ряд услуг разработчикам приложений, в том числе предоставление функций голосовой связи и SMS. В случае с Signal приложение для безопасного обмена сообщениями использовало Twilio для проверки телефонных номеров новых пользователей.
На прошлой неделе Twilio сообщила, что стала жертвой фишинговой атаки, которая позволила злоумышленнику получить доступ к учетным записям клиентов.
4 августа 2022 года Twilio стало известно о несанкционированном доступе к информации, относящейся к ограниченному количеству учетных записей клиентов Twilio, посредством изощренной атаки социальной инженерии, предназначенной для кражи учетных данных сотрудников. Эта широкомасштабная атака на нашу базу сотрудников позволила некоторым сотрудникам предоставить свои учетные данные. Затем злоумышленники использовали украденные учетные данные, чтобы получить доступ к некоторым из наших внутренних систем, где они смогли получить доступ к определенным данным клиентов. Мы продолжаем уведомлять и работаем напрямую с клиентами, пострадавшими от этого инцидента. Мы все еще находимся на ранней стадии нашего расследования, которое продолжается.
Это был досадный сбой системы безопасности, учитывая, что фишинг представлял собой не что иное, как крайне бесхитростное текстовое сообщение, в котором утверждалось, что сотрудникам Twilio необходимо сменить пароль.
Уведомление! Срок действия входа в
истек. Коснитесь twilio-sso.com, чтобы обновить пароль!
Влияние на конфиденциальность Signal
Использование Signal Twilio для проверки номера телефона означало, что некоторые телефонные номера пользователей были раскрыты. В некоторых случаях злоумышленник пытался перерегистрировать свой номер телефона на другое устройство.
Компания сообщила об этом в своем блоге и сообщила, что связывается с пострадавшими пользователями.
Приблизительно для 1900 пользователей злоумышленник мог попытаться перерегистрировать свой номер на другом устройстве или узнать, что их номер был зарегистрирован в Signal. С тех пор эта атака была остановлена Twilio. 1900 пользователей — это очень небольшой процент от общего числа пользователей Signal, а это означает, что большинство из них не пострадали.
Мы уведомляем этих 1900 пользователей напрямую и предлагаем им повторно зарегистрировать Signal на своих устройствах.
Поскольку злоумышленник также может получить доступ к SMS-кодам 2FA для этих телефонных номеров, это даст ему возможность зарегистрировать учетную запись на новом устройстве. Неясно, произошло ли это на самом деле.
Злоумышленник получил доступ к консоли поддержки клиентов Twilio с помощью фишинга. Приблизительно для 1900 пользователей либо 1) их номера телефонов были потенциально раскрыты как зарегистрированные в учетной записи Signal, либо 2) был раскрыт код подтверждения SMS, используемый для регистрации в Signal.
В течение окна, когда злоумышленник имел доступ к системам поддержки клиентов Twilio, он мог попытаться зарегистрировать телефонные номера, к которым они обращались, на другом устройстве, используя код подтверждения SMS. У злоумышленника больше нет этого доступа, и Twilio остановил атаку.
Компания постаралась подчеркнуть, что никакие сообщения или другие личные данные не были раскрыты.
Все пользователи могут быть уверены, что их история сообщений, списки контактов, информация о профиле, кого они заблокировали, и другие личные данные остаются конфиденциальными и безопасными и не были затронуты.
В том маловероятном случае, если ваша учетная запись Signal была затронута, компания отправит вам текстовое сообщение не позднее конца сегодняшнего дня с просьбой перерегистрироваться. Это нужно сделать в приложении Signal; вы, конечно, никогда не должны нажимать на какую-либо ссылку в неожиданном текстовом сообщении, урок, который, похоже, необходимо усвоить некоторым сотрудникам Twilio.
Также на прошлой неделе Twitter наконец подтвердил, что данные учетной записи были раскрыты злоумышленником, воспользовавшимся уязвимостью, обнаруженной еще в январе.
Фото: Адем А.Ю./Unsplash
![«Это способ… найти друзей», — гласит умная реклама нового iPhone 15. [Video]](https://applepro.news/wp-content/uploads/2024/05/1714781228_eto-sposob…-najti-druzej-—-glasit-umnaya-reklama-novogo-iphone-100x100.jpg)
