1900 utilizadores do Signal afetados com ataque da Twilio
Recentemente a plataforma da Twilio foi alvo de um ataque, o qual afetou alguns sistemas internos da empresa. O atacante terá conseguido usar dados roubados de um funcionário para ter acesso a sistemas internos da entidade, juntamente com algumas informações de clientes da mesma.
Na altura do ataque, a empresa tinha confirmado que cerca de 125 clientes podem ter sido afetados pelo ataque, com algumas informações pessoais acedidas – onde se inclui números de telefone e outros dados pessoais, mas não tokens de acesso. No entanto, a empresa não clarificou quais os clientes afetados, o que pode incluir grandes nomes com bastantes mais clientes por detrás.
Agora sabe-se que um desses clientes pode ser a Signal, a aplicação reconhecida pelo seu serviço de mensagens encriptadas ponta a ponta. De acordo com a entidade, cerca de 1900 utilizadores podem ter sido afetados pelo ataque da Twilio, com os números de telefone ou validação SMS afetados, e com os códigos de autenticação potencialmente comprometidos durante o período em que os atacantes estiveram nos sistemas da entidade Twilio.
Os atacantes podem ter usado os números de telefone e o acesso para os códigos de autenticação como forma de registar o mesmo noutros dispositivos. De acordo com a Signal, acredita-se que dos 1900 utilizadores potencialmente afetados, pelo menos três números de telefone foram ativamente pesquisados pelos atacantes, e um deles terá mesmo sido registado noutro dispositivo.
Apesar de este acesso não fornecer o acesso às mensagens ou contactos, uma vez que estes ficam armazenados no dispositivo, a Signal alerta para o facto que este registo do número de telefone noutro dispositivo pode permitir aos atacantes enviar mensagens como sendo do número desse utilizador.
Para os utilizadores afetados, a Signal afirma que vai desligar todos os logins feitos sobre a plataforma, forçando os utilizadores a realizarem novamente o login nas suas contas e nos dispositivos corretos, como medida de prevenção.
Este problema levantou também novamente críticas ao Signal, que apesar de ser considerada uma das plataformas mais seguras para o envio de mensagens encriptadas, ao mesmo tempo é também alvo de críticas por apenas permitir que os utilizadores se registem usando números de telefone – e não algo mais simples, como um nome de utilizador.