Casi 2.000 usuarios de Signal afectados por el ataque de phishing de Twilio
Nuevos hallazgos tras el ataque de phishing de Twilio revelaron que Signal, uno de sus clientes de alto valor y una popular plataforma de mensajería cifrada, se vio particularmente afectada. 1.900 de sus usuarios tenían sus números de teléfono y códigos de registro de SMS expuestos. Sin embargo, Signal aseguró a los usuarios que el atacante no podía obtener acceso al "historial de mensajes, listas de contactos, información de perfil, a quién habían bloqueado y otros datos personales" asociados con la cuenta.
Signal también afirma que 1.900 comprende un pequeño porcentaje de su base de usuarios, por lo que la mayoría de sus usuarios no se vieron afectados. Sin embargo, notificaron a los usuarios afectados esta semana a través de SMS y les pidieron que volvieran a registrar Signal en sus dispositivos.
La compañía reveló en un aviso de seguridad que el atacante buscó explícitamente tres números entre los 1.900 usuarios afectados. Un usuario de los tres números ya informó que su cuenta se volvió a registrar. Esto significa que el atacante ahora puede enviar y recibir mensajes desde ese número de teléfono.
Cuando The Register le preguntó a Signal por qué un atacante apuntaría específicamente a estos tres números, sugiriendo que tal vez sean personas notables, la compañía respondió: "Para respetar la privacidad de esas personas específicas, no estamos compartiendo ningún detalle sobre ellos".
Signal destaca la importancia de habilitar las características de seguridad de su aplicación para defenderse de los efectos secundarios de los ataques que pueden afectar a los proveedores externos que utiliza. Debido a lo que le sucedió a Twilio, la compañía está presionando a más de sus usuarios para que aprovechen el bloqueo de registro y los PIN de señal, que solo se pueden activar manualmente.
El bloqueo de registro impide que alguien registre el número de teléfono de un usuario de Signal en otro dispositivo a menos que conozca el PIN asociado con la cuenta. Para habilitar el bloqueo de registro, los usuarios de Signal deben ir a Configuración de señal (perfil) > Cuenta > Bloqueo de registro.
"Si bien no tenemos la capacidad de solucionar directamente los problemas que afectan al ecosistema de telecomunicaciones, trabajaremos con Twilio y potencialmente con otros proveedores para reforzar su seguridad donde sea importante para nuestros usuarios", dijo Signal.
La semana pasada, Cloudflare reveló que una táctica de phishing similar que hizo que Twilio fuera violado también se dirigió a sus empleados el mes pasado. La campaña no funcionó porque los empleados de Cloudflare debían usar claves de seguridad físicas para acceder a todas las aplicaciones que usan internamente.