A violação de segurança no Twilio no início deste mês afetou pelo menos um cliente de alto valor, Signal, e levou à exposição do número de telefone e códigos de registro de SMS para 1.900 usuários do serviço de mensagens criptografadas, confirmou.
No entanto, o Signal – considerado um dos mais seguros de todos os aplicativos de mensagens criptografadas – afirma que o invasor não poderia acessar o histórico de mensagens, listas de contatos, informações de perfil ou outros dados pessoais associados a essas contas de usuário. A organização sem fins lucrativos disse em uma nota de segurança em seu site que identificou e está notificando os 1.900 usuários diretamente e solicitando que eles registrem novamente o Signal em seus dispositivos.
A empresa já havia foi criticado por sua prática de verificação por SMS no passado, algo que se recuperou após a divulgação.
De acordo com a Signal, a Twilio fornece serviços de verificação por SMS para sua plataforma. Twilio fornece serviços de mensagens, call center e autenticação de dois fatores, entre outros, para cerca de 256.000 clientes no total – embora tenha dito em um relatório de incidente anterior sobre a violação que apenas 125 de seus clientes tiveram dados “acessados por agentes mal-intencionados por um período limitado de tempo.”
A notícia de que o Signal era um dos 125 levantou questões sobre a identidade de outros clientes Twilio, especialmente porque a plataforma de comunicação criptografada é conhecida por sua transparência. Outros podem ser menos próximos.
De acordo com a nota de segurança do Signal, quando o Twilio foi atingido por um ataque de phishing no início deste mês, isso pode ter levado ao número de telefone de 1.900 usuários do Signal sendo revelado como registrado para uma conta específica do Signal. A plataforma do aplicativo de criptografia acrescentou que os códigos de verificação de SMS dos usuários também foram expostos.
Parece que durante a janela de tempo em que o invasor teve acesso aos sistemas de suporte ao cliente da Twilio, teria sido possível que tentem registrar novamente os números de telefone que acessaram, transferindo a conta para outro dispositivo sob seu próprio controle, usando o código de verificação por SMS. Ele também enfatiza que o invasor não tem mais esse acesso e que o ataque foi encerrado pelo Twilio.
Curiosamente, o Signal afirma que o invasor procurou explicitamente três números de telefone entre os 1.900 acessados, e a organização recebeu um relatório de um desses três usuários informando que sua conta foi realmente registrada novamente.
Neste caso, quando um invasor conseguiu registrar novamente uma conta, ele poderá enviar e receber mensagens do Signal desse número de telefone, Signal confirmou.
Perguntamos ao Signal se havia alguma explicação sobre o motivo pelo qual o invasor deveria visar esses três usuários específicos e atualizaremos a história se obtivermos uma resposta.
O Signal se esforçou para apontar que o histórico de mensagens é armazenado apenas no dispositivo do usuário, de modo que o Signal não tem cópias dessas que podem ser acessadas. Listas de contatos, informações de perfil e outros dados privados só podem ser recuperados com o PIN Signal do usuário, que a organização não pode acessar.
Além disso, Signal disse que sua vulnerabilidade aos invasores Twilio era uma que ele tem já procurou resolver por meio de recursos como bloqueio de registro e PIN de sinal.
O bloqueio de registro impede que qualquer pessoa registre o número de telefone de um usuário em um novo telefone, a menos que tenha o PIN associado a essa conta. Esse recurso deve ser ativado pelo usuário, e o Signal agora está incentivando fortemente os usuários a ativá-lo.
O Signal afirma que se os usuários virem um banner dizendo que seu dispositivo não está mais registrado ao abrir o Signal, isso pode indicar que sua conta foi registrada novamente, mas adverte que os usuários podem não estar mais registrados por outros motivos, como como se eles não estivessem ativos no serviço por um longo período de tempo.
A violação do Twilio no início deste mês foi um ataque de phishing sofisticado, pelo qual os funcionários receberam mensagens de texto alegando ser do departamento de TI do Twilio solicitando que eles façam login e alterem sua senha, vinculando a uma página da Web falsa projetada para se parecer com a página de login real do Twilio. Se alguém caísse na armadilha, o invasor usaria suas credenciais para acessar os sistemas internos do Twilio.
Na semana passada, a rede de entrega de conteúdo Cloudflare revelou que havia sido alvo de uma tentativa de violação muito semelhante, mas que o ataque falhou porque os funcionários são obrigados a usar chaves de segurança de hardware como parte de seu processo de login.
