Platformlar arası merkezi şifreli bir anlık mesajlaşma hizmeti olan Signal, Cloud Communication Company Twilio’daki bir veri ihlalinin yaklaşık 1.900 Signal kullanıcısının telefon numarasını ifşa ettiğini beyan ediyor.
Twilio, Signal için telefon numarası doğrulama hizmetleri sağlıyor ve özellikle 4 Ağustos’tainci, saldırganların ağını hacklediğini açıkladı.
“Tüm kullanıcılar, mesaj geçmişlerinin, kişi listelerinin, profil bilgilerinin, engelledikleri kişilerin ve diğer kişisel bilgilerinin gizli ve güvende kaldığından ve etkilenmediğinden emin olabilir”, Signal
Twilio’nun Hack’i
Signal tarafından yayınlanan son danışma belgesine göre, bir saldırgan kimlik avı yoluyla Twilio’nun müşteri destek konsoluna erişim elde etti. Yaklaşık 1.900 kullanıcının telefon numarasının bir Signal hesabına kayıtlı olduğu ortaya çıktı ve Signal’e kaydolmak için kullanılan SMS doğrulama kodu da ortaya çıktı.
Signal, saldırganların yalnızca SMS doğrulama kodunu kullanarak başka bir cihaza eriştikleri telefon numaralarını kaydetmeye çalıştıklarını söylüyor. Saldırganın artık bu erişimi yok ve Twilio saldırıyı durdurdu.
“Önemli olan bu, saldırganın herhangi bir mesaj geçmişine, profil bilgisine veya kişi listesine erişmesine izin vermedi”, Signal.
Signal, saldırının, Signal’in kayıt kilidi ve korunmak için Signal PIN’leri gibi özellikler geliştirdiği güvenlik açığından kaynaklandığını belirtiyor.
Şirket, kullanıcıları Signal hesapları için kayıt kilidini etkinleştirmeye teşvik ediyor. Bunu yapmak için Sinyal Ayarları (profil) > Hesap > Kayıt Kilidi’ne gidin.
Sinyal PIN’i, telefon numarasına dayalı olmayan tanımlayıcılar gibi özellikleri desteklemek için kullanılan bir koddur. PIN’inizi kullanarak, cihazınızı kaybederseniz veya değiştirirseniz profilinizi, ayarlarınızı, kişilerinizi ve engellediğiniz kişileri kurtarabilirsiniz.
“Signal’in mesaj geçmişinize, kişi listenize, engellediğiniz profil bilgilerinize ve diğer kişisel verilerinize erişimi yoktur. Ve bu bilgi kesinlikle Twilio’ya veya Twilio’nun saldırganları tarafından geçici olarak elde edilen erişime açık değildir”, Signal
Etkilenen Kullanıcıları Bilgilendirme
Şirket, 16 Ağustos’tan itibaren, etkilenen tüm kullanıcıları saldırı hakkında SMS yoluyla tamamen bilgilendirecek ve hesaplarını nasıl koruyacaklarını onlara bildirecek.
Şirket SMS mesajını gönderir: “Bu, Signal Messenger’dan. Signal hesabınızı koruyabilmeniz için size ulaşıyoruz. Signal’i açın ve tekrar kaydolun. Daha fazla bilgi: https://signal.org/smshelp“
Signal, “Signal’i açtığınızda cihazınızın artık kayıtlı olmadığını belirten bir pankart gördüyseniz, etkilenmiş olabilirsiniz” diyor. Bu nedenle, profilin, ayarların, kişilerin ve engellenen kullanıcıların kurtarılmasına izin veren kayıt kilidi seçeneğini açmanız önerilir.
Sponsorlu: Uzak Çalışanların Yükselişi: Ağınızın Güvenliğini Sağlamak İçin Bir Kontrol Listesi – Ücretsiz Teknik Dokümanı İndirin