Pazartesi günü, popüler uçtan uca şifreli mesajlaşma hizmeti Signal, bu ayın başlarında Twilio’ya yönelik siber saldırının yaklaşık 1900 kullanıcının telefon numaralarını açığa çıkarmış olabileceğini açıkladı.
Signal, “Yaklaşık 1.900 kullanıcı için bir saldırgan, numaralarını başka bir cihaza yeniden kaydetmeye çalışabilir veya numaralarının Signal’e kayıtlı olduğunu öğrenebilirdi. Tüm kullanıcılar, mesaj geçmişlerinin, kişi listelerinin, profil bilgilerinin, engelledikleri kişilerin ve diğer kişisel bilgilerinin gizli ve güvende kaldığından ve etkilenmediğinden emin olabilir.”
Twilio kullanıcılarının uygulamaya kaydolan kullanıcılara SMS doğrulama kodları göndermesi için şirket, etkilenen müşterileri doğrudan uyarma sürecinde olduğunu söyledi.
Twilio geçen hafta, yaklaşık 125 müşteri hesabıyla ilişkili verilere, şirket çalışanlarını hedef alan bir kimlik avı saldırısı yoluyla kötü niyetli kişiler tarafından erişildiğini açıkladı.
Signal söz konusu olduğunda, kimliği belirsiz tehdit aktörünün, üç telefon numarasını açıkça aramak için erişimi kötüye kullandığı ve ardından bu numaralardan birini kullanarak mesajlaşma platformunda bir hesap yeniden kaydettirdiği ve böylece tarafın gönderme ve alma yapmasına olanak sağladığı söyleniyor. o telefon numarasından gelen mesajlar
Signal ayrıca müşterileri, hizmete bir telefon numarası kaydetmek için Signal PIN’i gerektiren ek bir güvenlik önlemi olan kayıt kilidini etkinleştirmeye çağırdı.
Kimlik avı gibi sosyal mühendislik saldırıları, bir ihlaldeki en zayıf halka olmak için insan faktörüne dayanır. Ancak son olay, üçüncü taraf satıcıların da şirketler için bir risk oluşturduğunu gösteriyor.
Comforte AG’de Siber Güvenlik Uzmanı Erfan Shadabi, sıfır güven çerçevesinin bu tür saldırıları azaltmanın anahtarı olabileceğini öne sürüyor:
“Bu tür saldırıları azaltmak için en iyi yaklaşımlardan biri Sıfır Güven çerçevesini benimsemektir. Sıfır Güven, zaten ihlal edildiğinizi varsaydığınız, zımni bir güven sağlamadığınız, tekrar tekrar doğrulama yaptığınız ve başarılı kimlik doğrulamanın ardından yalnızca minimum ayrıcalıklar sağladığınız anlamına gelir. Tokenleştirme gibi koruma yöntemleri bu çerçeveyi tamamlayabilir, çünkü hassas verileri kurumsal veri ekosistemine girer girmez token haline getirerek ve ardından korumasını kaldırmayarak insanlar görevleri yerine getirirken gerçekten hassas bilgilere çok az veya hiç erişime sahip olmayabilir ( veri analitiği gibi). Daha veri merkezli koruma yöntemleriyle (çevresindeki sınırlar yerine verinin kendisini koruma) desteklenen Sıfır Güven mimarileri gibi olumlu eğilimler, uzun vadede gerçekten yardımcı olabilir.”