Неделю назад мы писали про утечку данных в компании Twilio, которая владеет сервисом аутентификации Authy. Сейчас стали известны новые подробности инцидента.
В результате утечки раскрыты телефонные номера 1900 пользователей
Популярный сервис защищенного обмена сообщениями Signal Private Messenger использует в качестве логина номер телефона пользователя, что вызывает неоднозначную реакцию пользователей. Классическая система с именем пользователя и паролем кажется более безопасной, поскольку ваш номер телефона не раскрывается другим пользователям. Но сейчас не об этом.
Поскольку в Signal вход происходит по номеру телефона, то для получения кодов используется протокол SMS, а для предоставления кодов используются серверы Twilio. Двухфакторная аутентификация через SMS уже давно подвергается критике со стороны экспертов по безопасности. Это не самый безопасный вариант, ведь любой, кто имеет доступ к вашему телефону (и SIM-карте с зарегистрированным номером), может обойти этот уровень безопасности. Существуют и дополнительные риски, поскольку SMS-сообщения не зашифрованы (обычный текст), и код подтверждения может быть перехвачен вредоносными программами или злоумышленниками.
Использование локального приложения для двухфакторной аутентификации, такого как Authy от Twilio выглядит более удобным и безопасным вариантом, даже несмотря на утечку. Все дело в том, что токены аутентификации перед загрузкой в облако подвергаются сквозному шифрованию.
По данным Signal, в результате фишинговой атаки на Twilio были раскрыты телефонные номера около 1900 пользователей мессенджера. Компания говорит, что это очень низкий процент от общего числа пользователей. Signal отмечает, что утечка не раскрыла личные данные пользователей, такие как история сообщений, списки контактов, информация профиля, заблокированные пользователи и т. д. Так какой ущерб нанесен пользователям?
Хакеры могли получить доступ к SMS-коду подтверждения, который использовался для регистрации учетных записей Signal. Злоумышленники могли попытаться перерегистрировать номер пользователя на другом устройстве или обнаружить, что номер привязан к учетной записи Signal. Twilio работал с сотовыми операторами, чтобы отключить эти векторы атак. Хотя угроза устранена, существует вероятность того, что раскрытые номера могли использоваться в злонамеренных целях до решения проблемы.
Signal сообщает, что злоумышленник искал три номера, и один из этих пользователей сообщил, что его учетная запись была перерегистрирована кем-то другим. Вот почему компания обращается к другим пострадавшим пользователям, чтобы предложить им перерегистрировать Signal на своих устройствах.
Twilio подтвердила, что данные примерно 125 клиентов были доступны злоумышленникам в течение ограниченного времени, и что компания предупредила их об этом. Twilio заявляет, что нет никаких доказательств того, что злоумышленники получили доступ к паролям клиентов, токенам аутентификации или ключам API.
Signal призывает пользователей включать блокировку регистрации в своих учетных записях Signal для защиты своих аккаунтов. Вы можете сделать это в меню Signal Настройки > Учетная запись > Блокировка регистрации. Это добавит дополнительный уровень безопасности — приложение попросит вас ввести PIN-код Signal, чтобы снова зарегистрировать учетную запись.
Угрозы безопасности
• Основные киберугрозы 2024 года в России: утечки данных, вымогатели и фишинг
• Обнаружен скрытый руткит Pumakit для Linux. Он может использоваться в таргетированных атаках
• Уязвимость OpenWrt Sysupgrade позволяет распространять вредоносные образы прошивки. Обновите свои устройства
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО