Bu ayın başlarında Twilio’daki güvenlik ihlali, en az bir yüksek değerli müşteri olan Signal’i etkiledi ve şifreli mesajlaşma hizmetinin 1.900 kullanıcısı için telefon numarasının ve SMS kayıt kodlarının açığa çıkmasına neden oldu.
Ancak, tüm şifreli mesajlaşma uygulamalarının en güvenlilerinden biri olarak kabul edilen Signal, saldırganın bu kullanıcı hesaplarıyla ilişkili mesaj geçmişine, kişi listelerine, profil bilgilerine veya diğer kişisel verilere erişemeyeceğini iddia ediyor. Kar amacı gütmeyen kuruluş, sitesindeki bir güvenlik notunda, 1.900 kullanıcıyı belirlediğini ve doğrudan bilgilendirdiğini ve onlardan Signal’i cihazlarına yeniden kaydetmelerini istediğini söyledi.
Signal’e göre Twilio, platformu için SMS doğrulama hizmetleri sağlıyor. Twilio, diğerlerinin yanı sıra toplamda 256.000 müşteriye mesajlaşma, çağrı merkezi ve iki faktörlü kimlik doğrulama hizmetleri sağlıyor – daha önceki bir olay raporunda ihlalle ilgili olarak müşterilerinin yalnızca 125’inin “sınırlı bir süre için kötü niyetli aktörler tarafından erişilen verilere” sahip olduğunu söyledi. zamanın.”
Signal’in 125 kişiden biri olduğu haberi, özellikle şifreli iletişim platformunun şeffaflığıyla bilinmesi nedeniyle, diğer Twilio müşterilerinin kimliğiyle ilgili soruları gündeme getirdi. Diğerleri daha az yakın olabilir.
Signal’in güvenlik notuna göre, Twilio bu ayın başlarında bir kimlik avı saldırısına uğradığında, bu potansiyel olarak 1.900 Signal kullanıcısının telefon numarasının belirli bir Signal hesabına kayıtlı olarak ortaya çıkmasına neden olmuş olabilir. Şifreleme uygulaması platformu, kullanıcıların SMS doğrulama kodlarının da açığa çıktığını ekledi.
Saldırganın Twilio’nun müşteri destek sistemlerine erişimi olduğu zaman aralığında, eriştikleri telefon numaralarını yeniden kaydetmeyi denemeleri ve hesabı kendi kontrolleri altındaki başka bir cihaza aktarmaları mümkün olacaktı. SMS doğrulama kodunu kullanarak. Ayrıca saldırganın artık bu erişime sahip olmadığını ve saldırının Twilio tarafından kapatıldığını vurguluyor.
Şaşırtıcı bir şekilde, Signal, saldırganın erişilen 1.900 telefon arasında açıkça üç telefon numarasını aradığını ve kuruluşun o zamandan beri bu üç kullanıcıdan birinden hesaplarının gerçekten yeniden kaydedildiğine dair bir rapor aldığını belirtiyor.
Signal, bu durumda, bir saldırganın bir hesabı yeniden kaydettirebildiği durumlarda, bu telefon numarasından Signal mesajları gönderip alabileceklerini doğruladı.
Saldırganın neden bu üç belirli kullanıcıyı hedef alması gerektiğine dair herhangi bir açıklama olup olmadığını Signal’e sorduk ve bir yanıt alırsak hikayeyi güncelleyeceğiz.
Signal, mesaj geçmişinin yalnızca kullanıcının cihazında saklandığını ve bu nedenle Signal’in erişilebilecek kopyalarına sahip olmadığını belirtmek için çaba sarf etti. Kişi listeleri, profil bilgileri ve diğer özel veriler yalnızca kullanıcının, kuruluşun erişemediği Signal PIN’i ile kurtarılabilir.
Ayrıca Signal, Twilio saldırganlarına karşı güvenlik açığının, kayıt kilidi ve Signal PIN’i gibi özellikler aracılığıyla zaten ele almaya çalıştığı bir güvenlik açığı olduğunu söyledi.
Kayıt kilidi, bu hesapla ilişkili PIN’e sahip olmadıkça, herhangi birinin bir kullanıcının telefon numarasını yeni bir telefona kaydetmesini engeller. Bu özellik kullanıcı tarafından etkinleştirilmelidir ve Signal artık kullanıcıları bunu etkinleştirmeye şiddetle teşvik etmektedir.
Signal, kullanıcıların Signal’i açarken cihazlarının artık kayıtlı olmadığını belirten bir banner görmelerinin, hesaplarının yeniden kaydedildiğini gösterebileceğini belirtir, ancak kullanıcıların başka nedenlerle, örneğin, uzun süredir hizmette aktif.
Bu ayın başlarındaki Twilio ihlali, çalışanların Twilio’nun BT departmanından giriş yapmalarını ve parolalarını değiştirmelerini isteyen ve Twilio’nun gerçek oturum açma sayfası gibi görünecek şekilde tasarlanmış sahte bir web sayfasına bağlantı veren metin mesajları aldığı karmaşık bir kimlik avı saldırısıydı. Birisi oyuna kanarsa, saldırgan Twilio’nun dahili sistemlerine erişmek için kimlik bilgilerini kullandı.
Geçen hafta, içerik dağıtım ağı Cloudflare, çok benzer bir ihlal girişiminin hedefi olduğunu ortaya çıkardı, ancak bu saldırı, çalışanların oturum açma işlemlerinin bir parçası olarak donanım güvenlik anahtarlarını kullanmaları gerektiği için başarısız oldu. ®