エンドツーエンドの暗号化メッセージング アプリ Signal によると、攻撃者は先週の通信大手 Twilio での侵害の一環として、約 2,000 人のユーザーの電話番号と SMS 検証コードにアクセスしたという。
Signal に電話番号検証サービスを提供する Twilio は 8 月 8 日、悪意のあるアクターが複数の従業員に対するフィッシングに成功した後、125 人の顧客のデータにアクセスしたと発表しました。 Twilio は顧客が誰であるかを明らかにしていませんが、月曜日に Signal が被害者の 1 つであることを確認した後、大規模な組織が含まれている可能性があります。
シグナルは 月曜日のブログ投稿 攻撃者が Twilio のカスタマー サポート コンソールにアクセスしたときに、電話番号または SMS 確認コードが盗まれた約 1,900 人のユーザーに通知する予定です。
「約 1,900 人のユーザーについて、攻撃者は自分の番号を別のデバイスに再登録しようとしたか、自分の番号が Signal に登録されていることを知った可能性があります」とメッセージングの巨人は述べています。 「1,900 の電話番号のうち、攻撃者は明示的に 3 つの番号を検索し、その 3 人のユーザーの 1 人から、アカウントが再登録されたという報告を受けました。」
これにより攻撃者は、Signal が保存していないメッセージ履歴、またはユーザーのセキュリティ PIN によって保護されている連絡先リストとプロファイル情報にアクセスできませんでしたが、Signal は次のように述べています。アカウントを登録すると、その電話番号から Signal メッセージを送受信できます。」
影響を受けるユーザーに対して、同社は、ユーザーが現在使用している、または攻撃者が登録したすべてのデバイスで Signal の登録を解除し、ユーザーが好みのデバイスで電話番号を使用して Signal を再登録することを要求すると述べています。 Signal はまた、ユーザーのセキュリティ PIN なしで別のデバイスにアカウントが再登録されるのを防ぐ機能である登録ロックをオンにするようにユーザーにアドバイスします。
Twilio の侵害は、Signal の 4,000 万人以上のユーザーの一部に影響を与えていますが、ユーザーは、最も安全なメッセージング アプリの 1 つと考えられている Signal がアカウントを作成するために電話番号を登録する必要があることを長い間嘆いてきました。 Wire などの他のエンドツーエンド暗号化では、ユーザーはユーザー名でサインアップできます。 Signal は、2020 年の Signal PIN の導入など、電話番号への依存を終わらせるためにゆっくりと動きましたが、この事件は、より迅速な動きを求める声を再燃させる可能性があります。