Le service de messagerie cryptée de bout en bout populaire Signal a révélé lundi que la cyberattaque visant Twilio au début du mois pourrait avoir exposé les numéros de téléphone d’environ 1 900 utilisateurs.
“Pour environ 1 900 utilisateurs, un attaquant aurait pu tenter de réenregistrer leur numéro sur un autre appareil ou apprendre que leur numéro était enregistré sur Signal”, a déclaré la société. a dit. “Tous les utilisateurs peuvent être assurés que l’historique de leurs messages, leurs listes de contacts, leurs informations de profil, les personnes qu’ils ont bloquées et d’autres données personnelles restent privées et sécurisées et n’ont pas été affectées.”
Signal, qui utilise Twilio pour envoyer des codes de vérification par SMS aux utilisateurs s’inscrivant à l’application, a déclaré qu’il était en train d’alerter directement les utilisateurs concernés et de les inviter à réenregistrer le service sur leurs appareils.
Le développement intervient moins d’une semaine après que Twilio a révélé que les données associées à environ 125 comptes clients avaient été consultées par des acteurs malveillants via une attaque de phishing qui a dupé les employés de l’entreprise pour qu’ils remettent leurs informations d’identification. L’infraction s’est produite le 4 août.
Dans le cas de Signal, l’acteur inconnu de la menace aurait abusé de l’accès pour rechercher explicitement trois numéros de téléphone, puis réenregistrer un compte auprès de la plate-forme de messagerie en utilisant l’un de ces numéros, permettant ainsi à la partie d’envoyer et de recevoir messages de ce numéro de téléphone.
Dans le cadre de l’avis, la société a également exhorté les utilisateurs à activer le verrouillage de l’enregistrementune mesure de sécurité supplémentaire qui nécessite le code PIN Signal afin d’enregistrer un numéro de téléphone auprès du service.
Le fournisseur d’infrastructure Web Cloudflare, qui a également été ciblé sans succès par l’escroquerie de phishing sophistiquée, a déclaré que l’utilisation de clés de sécurité physiques délivrées à chaque employé l’avait aidé à empêcher l’attaque.
L’hameçonnage et d’autres types d’ingénierie sociale s’appuient sur le facteur humain pour être le maillon le plus faible d’une violation. Mais le dernier incident sert également à souligner que les fournisseurs tiers présentent autant de risques pour les entreprises.
Le développement souligne en outre les dangers de se fier aux numéros de téléphone comme identifiants uniques, avec la technologie sensible à l’échange de cartes SIM qui permet aux mauvais acteurs de mener des attaques de prise de contrôle de compte et des transactions d’argent illicites.