Números de teléfono de 1900 usuarios de Signal expuestos por el phishing de Twilio

La aplicación de mensajería orientada a la seguridad de Signal está lidiando con un intento de phishing de un tercero que expuso una pequeña cantidad de números de teléfono de los usuarios.
Agrandar / La aplicación de mensajería orientada a la seguridad de Signal está lidiando con un intento de phishing de un tercero que expuso una pequeña cantidad de números de teléfono de los usuarios.

imágenes falsas

Un ataque de phishing exitoso en la empresa de servicios de SMS Twilio puede haber expuesto los números de teléfono de aproximadamente 1900 usuarios de la aplicación de mensajería segura Signal, pero ese es el alcance de la violación, dice Signal, y señala que no se pudo acceder a más datos de usuario.

en un Hilo de Twitter y documento de apoyoSignal afirma que un reciente ataque de phishing exitoso (y con muchos recursos) en Twilio permitió el acceso a los números de teléfono vinculados con 1900 usuarios. Eso es “un porcentaje muy pequeño del total de usuarios de Signal”, escribe Signal, y se notificará a los 1900 usuarios afectados (a través de SMS) para que vuelvan a registrar sus dispositivos. Signal, como muchas empresas de aplicaciones, utiliza Twilio para enviar códigos de verificación por SMS a los usuarios que registran su aplicación Signal.

Con acceso momentáneo a la consola de atención al cliente de Twilio, los atacantes podrían haber utilizado potencialmente los códigos de verificación enviados por Twilio para activar Signal en otro dispositivo y, por lo tanto, enviar o recibir nuevos mensajes de Signal. O un atacante podría confirmar que estos 1900 números de teléfono en realidad estaban registrados en dispositivos Signal.

No se pudo acceder a otros datos, en gran parte debido al diseño de Signal. El historial de mensajes se almacena completamente en los dispositivos de los usuarios. Las listas de contactos y bloqueos, los detalles del perfil y otros datos del usuario requieren un PIN de Signal para acceder. Y Signal está pidiendo a los usuarios que habilitar el bloqueo de registroque impide el acceso a Signal en nuevos dispositivos hasta que se ingrese correctamente el PIN del usuario.

“El tipo de ataque de telecomunicaciones sufrido por Twilio es una vulnerabilidad contra la que Signal desarrolló funciones como el bloqueo de registro y los PIN de Signal para protegerse”, se lee en el documento de soporte de Signal. La aplicación de mensajería señala que, si bien Signal no “tiene la capacidad de solucionar directamente los problemas que afectan el ecosistema de las telecomunicaciones”, trabajará con Twilio y otros proveedores “para reforzar su seguridad donde sea importante para nuestros usuarios”.

Los PIN de Signal se introdujeron en mayo de 2020, en parte para restar importancia a la dependencia de los números de teléfono como ID de usuario principal. Este último incidente puede proporcionar otro empujón para desvincular la fuerte seguridad de Signal del ecosistema de SMS, donde la suplantación de identidad económica y efectiva y los ataques a redes amplias siguen siendo muy comunes.

Leave a Reply

Your email address will not be published. Required fields are marked *