Die Ende-zu-Ende-verschlüsselte Messaging-App Signal sagt, dass Angreifer im Rahmen der Sicherheitslücke beim Kommunikationsgiganten Twilio letzte Woche auf die Telefonnummern und SMS-Bestätigungscodes von fast 2.000 Benutzern zugegriffen haben.
Twilio, das Signal Verifizierungsdienste für Telefonnummern anbietet, sagte am 8. August, dass böswillige Akteure auf die Daten von 125 Kunden zugegriffen hätten, nachdem sie mehrere Mitarbeiter erfolgreich durch Phishing angegriffen hatten. Twilio sagte nicht, wer die Kunden waren, aber es werden wahrscheinlich große Organisationen sein, nachdem Signal am Montag bestätigt hatte, dass es eines dieser Opfer war.
Signal sagte in a Blogbeitrag Montag dass es etwa 1.900 Benutzer benachrichtigen würde, deren Telefonnummern oder SMS-Bestätigungscodes gestohlen wurden, als Angreifer Zugriff auf die Kundensupport-Konsole von Twilio erhielten.
„Bei etwa 1.900 Benutzern hätte ein Angreifer versuchen können, ihre Nummer auf einem anderen Gerät neu zu registrieren, oder erfahren können, dass ihre Nummer bei Signal registriert wurde“, sagte der Messaging-Gigant. „Unter den 1.900 Telefonnummern hat der Angreifer explizit nach drei Nummern gesucht, und wir haben von einem dieser drei Benutzer eine Meldung erhalten, dass sein Konto neu registriert wurde.“
Während dies dem Angreifer keinen Zugriff auf den Nachrichtenverlauf gab, den Signal nicht speichert, oder auf Kontaktlisten und Profilinformationen, die durch die Sicherheits-PIN des Benutzers geschützt sind, sagte Signal: „Für den Fall, dass ein Angreifer erneut ein Konto registrieren, können sie Signalnachrichten von dieser Telefonnummer senden und empfangen.“
Für die Betroffenen sagt das Unternehmen, dass es Signal auf allen Geräten abmelden wird, die der Benutzer derzeit verwendet – oder auf denen ein Angreifer sie registriert hat – und von den Benutzern verlangt, Signal mit ihrer Telefonnummer auf ihrem bevorzugten Gerät erneut zu registrieren. Signal rät Benutzern außerdem, die Registrierungssperre einzuschalten, eine Funktion, die verhindert, dass ein Konto auf einem anderen Gerät ohne die Sicherheits-PIN des Benutzers erneut registriert wird.
Obwohl die Twilio-Verletzung einen Bruchteil der über 40 Millionen Benutzer von Signal betrifft, beklagen Benutzer seit langem, dass Signal – das als eine der sichersten Messaging-Apps gilt – von Benutzern verlangt, eine Telefonnummer zu registrieren, um ein Konto zu erstellen. Andere End-to-End-Verschlüsselungs-Apps wie Wire ermöglichen es Benutzern, sich mit einem Benutzernamen anzumelden. Während Signal langsam dazu übergegangen ist, seine Abhängigkeit von Telefonnummern zu beenden, beispielsweise mit der Einführung von Signal-PINs im Jahr 2020, wird dieser Vorfall wahrscheinlich erneut Forderungen nach einer schnelleren Bewegung entfachen.