Cuma, Haziran 21, 2024
Ana SayfaTeknoloji Haberleri1.900 Signal kullanıcılarının telefon numaraları Twilio kimlik avı tarafından ifşa edildi

1.900 Signal kullanıcılarının telefon numaraları Twilio kimlik avı tarafından ifşa edildi

Signal'in güvenlik odaklı mesajlaşma uygulaması, az sayıda kullanıcının telefon numarasını ifşa eden bir üçüncü taraf kimlik avı girişimiyle uğraşıyor.
büyüt / Signal’in güvenlik odaklı mesajlaşma uygulaması, az sayıda kullanıcının telefon numarasını ifşa eden bir üçüncü taraf kimlik avı girişimiyle uğraşıyor.

Getty Resimleri

SMS hizmetleri şirketi Twilio’ya yapılan başarılı bir kimlik avı saldırısı, güvenli mesajlaşma uygulaması Signal’in yaklaşık 1.900 kullanıcısının telefon numaralarını açığa çıkarmış olabilir – ancak bu, ihlalin boyutuyla ilgili, diyor Signal ve daha fazla kullanıcı verisine erişilemeyeceğine dikkat çekiyor.

İçinde Twitter dizisi ve destek belgesi, Signal, Twilio’ya yakın zamanda gerçekleştirilen başarılı (ve derin kaynaklara sahip) bir kimlik avı saldırısının, 1.900 kullanıcıyla bağlantılı telefon numaralarına erişime izin verdiğini belirtiyor. Bu, “Signal’in toplam kullanıcılarının çok küçük bir yüzdesi” diye yazıyor Signal ve etkilenen tüm 1.900 kullanıcı, cihazlarını yeniden kaydettirmeleri için (SMS yoluyla) bilgilendirilecek. Signal, birçok uygulama şirketi gibi, Signal uygulamasını kaydeden kullanıcılara SMS doğrulama kodları göndermek için Twilio’yu kullanıyor.

Saldırganlar, Twilio’nun müşteri destek konsoluna anlık erişimle, Twilio tarafından gönderilen doğrulama kodlarını başka bir cihazda Signal’i etkinleştirmek ve böylece yeni Signal mesajları göndermek veya almak için potansiyel olarak kullanabilirdi. Veya bir saldırgan, bu 1.900 telefon numarasının gerçekten Signal cihazlarına kaydedildiğini doğrulayabilir.

Büyük ölçüde Signal’in tasarımı nedeniyle başka hiçbir veriye erişilemedi. Mesaj geçmişi tamamen kullanıcı cihazlarında saklanır. Kişi ve engelleme listeleri, profil ayrıntıları ve diğer kullanıcı verilerine erişmek için bir Signal PIN’i gerekir. Ve Signal, kullanıcılardan, kullanıcının PIN’i doğru bir şekilde girilene kadar yeni cihazlarda Signal erişimini engelleyen kayıt kilidini etkinleştirmelerini istiyor.

Signal’in destek belgesinde, “Twilio’nun maruz kaldığı türde bir telekom saldırısı, Signal’in kayıt kilidi ve korunmak için Signal PIN’leri gibi özellikler geliştirdiği bir güvenlik açığıdır.” Mesajlaşma uygulaması, Signal’in “telekom ekosistemini etkileyen sorunları doğrudan düzeltme yeteneğine” sahip olmamasına rağmen, Twilio ve diğer sağlayıcılarla birlikte “kullanıcılarımız için önemli olan yerlerde güvenliklerini sıkılaştırmak” için çalışacağını belirtiyor.

Sinyal PIN’leri, kısmen birincil kullanıcı kimliği olarak telefon numaralarına olan güveni azaltmak için Mayıs 2020’de tanıtıldı. Bu son olay, Signal’in güçlü güvenliğini ucuz, etkili sahtekarlık ve geniş ağ hack’lerinin çok yaygın olduğu SMS ekosisteminden ayırmak için başka bir dürtü sağlayabilir.

RELATED ARTICLES

Popüler Konular