Мессенджер Signal сообщил об утечке почти 2 тысяч номеров своих пользователей

Мессенджер Signal, который считается одним из наиболее защищенных благодаря сквозному шифрованию данных, сообщил, что злоумышленники получили доступ к телефонным номерам и SMS-кодам подтверждения почти 2 тысяч пользователей. Подробности инцидента приводятся в официальном блоге Signal.

Сообщается, что произошедшее — результат взлома коммуникационной компании Twilio, которая предоставляет Signal услуги по проверке телефонных номеров. В первых числах августа в Twilio признались, что злоумышленники после успешного фишинга нескольких сотрудников получили доступ к данным 125 клиентов, среди которых оказался Signal. В Signal пообещали уведомить о сложившейся ситуации около 1900 пользователей, чьи номера телефонов или коды проверки SMS могли быть украдены.

Администраторы мессенджера отметили, что злоумышленники могли перерегистрировать номер на другое устройство или узнать, что номер зарегистрирован в Signal. Среди 1900 заявленных номеров уже есть сообщения от пользователей, что их аккаунты были перерегистрированы. Если злоумышленник сможет перерегистрировать номер на другое устройство, он сможет отправлять и получать сообщения Signal с этого номера телефона, предупреждают в Signal. В то же время, это не даст злоумышленнику доступа к истории сообщений, которую Signal не хранит, или к спискам контактов и информации профиля, которая защищена PIN-кодом пользователя.

Для пострадавших пользователей компания отменит регистрацию на всех устройствах, и потребует от клиентов повторно зарегистрировать Signal со своим номером телефона на предпочитаемом устройстве. Signal также советует включить блокировку функции, которая предотвращает повторную регистрацию учетной записи на другом устройстве без PIN-кода безопасности пользователя.