El popular servicio de mensajería cifrada de extremo a extremo Signal reveló el lunes que el ataque cibernético dirigido a Twilio a principios de este mes puede haber expuesto los números de teléfono de aproximadamente 1900 usuarios.
“Para unos 1.900 usuarios, un atacante podría haber intentado volver a registrar su número en otro dispositivo o haberse enterado de que su número estaba registrado en Signal”, dijo la empresa. dijo. “Todos los usuarios pueden estar seguros de que su historial de mensajes, listas de contactos, información de perfil, a quién bloquearon y otros datos personales permanecen privados y seguros y no se vieron afectados”.
Signal, que utiliza Twilio para enviar códigos de verificación por SMS a los usuarios que se registran en la aplicación, dijo que está en proceso de alertar directamente a los usuarios afectados y pedirles que vuelvan a registrar el servicio en sus dispositivos.
El desarrollo se produce menos de una semana después de que Twilio revelara que actores maliciosos accedieron a los datos asociados con aproximadamente 125 cuentas de clientes a través de un ataque de phishing que engañó a los empleados de la compañía para que entregaran sus credenciales. El incumplimiento se produjo el 4 de agosto.
En el caso de Signal, se dice que el actor de amenazas desconocido abusó del acceso para buscar explícitamente tres números de teléfono, y luego volvió a registrar una cuenta en la plataforma de mensajería usando uno de esos números, lo que permitió a la parte enviar y recibir mensajes de ese número de teléfono.
Como parte del aviso, la compañía también ha instado a los usuarios a habilitar el bloqueo de registrouna medida de seguridad adicional que requiere el PIN de Signal para registrar un número de teléfono en el servicio.
El proveedor de infraestructura web Cloudflare, que también fue atacado sin éxito por la sofisticada estafa de phishing, dijo que el uso de claves de seguridad físicas emitidas a cada empleado ayudó a impedir el ataque.
El phishing y otros tipos de ingeniería social se basan en el factor humano como el eslabón más débil en una brecha. Pero el último incidente también sirve para resaltar que los proveedores externos representan un riesgo para las empresas.
El desarrollo subraya aún más los peligros de confiar en los números de teléfono como identificadores únicos, con la tecnología susceptible al intercambio de SIM que permite a los malos actores llevar a cabo ataques de apropiación de cuentas y transacciones ilícitas de dinero.