2022/08/16

Signal alerta 1900 contas expostas pelo Twilio

Nem o Signal é invulnerável a ataques, e diz que foram expostos números de telefone e códigos SMS de 1900 utilizadores, devido a um ataque ao serviço de verificação Twilio.

O Signal é conhecido por levar a questão da segurança e privacidade a sério, utilizando encriptação total e não mantendo registos das mensagens. No entanto, e como é habitual, os atacantes procuram sempre o elo mais fraco, e neste caso o ataque foi feito via Twilio, a empresa que fornece o serviço de envio de SMS do Signal.

O atacante terá conseguido determinar os números de telefone de 1900 utilizadores, e terá focado o seu interesse em 3 números em particular, tendo tentado fazer um novo registo de um desses utilizadores num novo dispositivo. Mas uma vez que não guarda as mensagens, o atacante não teria conseguido ver qualquer informação - e o Signal já bloqueou o serviço dos utilizadores afectados, pedindo que registem os seus equipamentos novamente, e que considerem activar o "registration lock" que evita precisamente este tipo de ataque.

Talvez seja desta que o Signal abandone os SMS, que há muito que são desaconselhados para qualquer tipo de verificação de segurança, e este caso ilustra perfeitamente porquê.

1 comentário:

  1. Enquanto utilizarem o número de telefone, terão de o verificar de alguma maneira.
    O erro foi não terem feito como outras redes e utilizar um nome de utilizador interno da rede. E poderia, opcionalmente, permitir associar e-mail e/ ou telefone (ambos verificados), para facilitar encontrar outras pessoas na rede.

    ResponderEliminar

[pub]