端到端加密消息应用程序 Signal 表示,攻击者访问了近 2,000 名用户的电话号码和 SMS 验证码,这是上周通信巨头 Twilio 入侵的一部分。
为 Signal 提供电话号码验证服务的 Twilio 在 8 月 8 日表示,恶意行为者在成功对多名员工进行网络钓鱼后访问了 125 名客户的数据。 Twilio 没有透露客户是谁,但在 Signal 周一证实它是其中一名受害者后,他们可能包括大型组织。
Signal 在周一的一篇博客文章中表示,当攻击者访问 Twilio 的客户支持控制台时,它将通知大约 1,900 名电话号码或短信验证码被盗的用户。
“对于大约 1,900 名用户,攻击者可能试图将他们的号码重新注册到另一台设备上,或者得知他们的号码已注册到 Signal,”这家消息传递巨头说。 “在 1,900 个电话号码中,攻击者明确搜索了三个号码,我们收到了这三个用户之一的报告,称他们的帐户已重新注册。”
虽然这并没有让攻击者访问 Signal 不存储的消息历史记录,或者受用户安全 PIN 保护的联系人列表和个人资料信息,但 Signal 说,“如果攻击者能够重新 -注册一个帐户,他们就可以从该电话号码发送和接收 Signal 消息。”
对于受影响的人,该公司表示将在用户当前使用的所有设备上取消注册 Signal,或者攻击者将其注册到的所有设备上,并将要求用户在首选设备上使用他们的电话号码重新注册 Signal。 Signal 还建议用户打开注册锁定功能,该功能可防止帐户在没有用户安全 PIN 的情况下在另一台设备上重新注册。
尽管 Twilio 漏洞影响了 Signal 4000 多万用户中的一小部分,但用户长期以来一直抱怨 Signal——被认为是最安全的消息应用程序之一——如何要求用户注册电话号码来创建帐户。其他端到端加密应用程序,例如Wire ,允许用户使用用户名进行注册。虽然 Signal 已经慢慢结束对电话号码的依赖,例如在 2020 年推出 Signal PIN,但这一事件可能会再次引发人们要求它加快行动的呼声。
原文: https://techcrunch.com/2022/08/15/signal-phone-number-exposed-twilio/