İletişim şirketi Twilio, Signal'e telefon numarası doğrulama hizmetleri sağlıyor ve yaşadığı son güvenlik ihlali, popüler anlık mesajlaşma uygulamasının bazı kullanıcılarını da etkiledi.
Twilio bilgisayar korsanları, Signal kullanıcılarının sayısını başka bir cihaza yeniden kaydetmeyi deneyebilir veya numaralarının Signal'e kayıtlı olduğunu öğrenebilirdi.
“Yaklaşık 1.900 kullanıcı için bir saldırgan, numaralarını başka bir cihaza yeniden kaydetmeye çalışabilir veya numaralarının Signal'e kayıtlı olduğunu öğrenebilirdi. Bu saldırı o zamandan beri Twilio tarafından kapatıldı. 1.900 kullanıcı, Signal'in toplam kullanıcılarının çok küçük bir yüzdesi, yani çoğu etkilenmedi." Signal tarafından yayınlanan danışma belgesini okur.
Şirket, tüm kullanıcıların mesaj geçmişlerinin, kişi listelerinin, profil bilgilerinin, engelledikleri kişilerin ve diğer kişisel bilgilerinin gizli ve güvenli kaldığından ve etkilenmediğinden emin olabileceğini söyledi.
Signal PIN'i, bu güvenlik ihlalinin bir parçası olarak açığa çıkmadı.
Şirket, etkilenen 1.900 kullanıcıyı bilgilendiriyor ve onlardan Signal'i cihazlarına yeniden kaydetmelerini istiyor. Signal'den bir destek makalesine bağlantı içeren bir SMS mesajı alan kullanıcılar şu adımları izlemelidir:
- Telefonunuzda Signal'i açın ve uygulama sizden isterse Signal hesabınızı yeniden kaydedin.
- Hesabınızı en iyi şekilde korumak için, uygulamanın Ayarlar bölümünde kayıt kilidini etkinleştirmenizi önemle tavsiye ederiz. Bu özelliği, kullanıcıları Twilio saldırısı gibi tehditlere karşı korumak için oluşturduk.
Saldırganlar, kimlik avı yoluyla Twilio'nun müşteri destek konsoluna erişim elde etti. Yaklaşık 1.900 kullanıcı için, ya 1) telefon numaralarının bir Signal hesabına kayıtlı olduğu ortaya çıktı ya da 2) Signal'e kaydolmak için kullanılan SMS doğrulama kodu açıklandı.
Uzmanlar, saldırganın açıkça üç numara aradığını ve Signal'in bu üç kullanıcıdan birinden hesaplarının yeniden kaydedildiğine dair bir rapor aldığını ekledi.
“Kullanıcıları Signal hesapları için kayıt kilidini etkinleştirmeye teşvik ediyoruz. Signal PIN'inizle isteğe bağlı bir kayıt kilidi kullanmak, kayıt işlemine ek bir doğrulama katmanı ekler. Bunu yapmak için Sinyal Ayarları (profil) > Hesap > Kayıt Kilidi'ne gidin." güvenlik tavsiyesini tamamlar.