Неделю назад мы писали про утечку данных в компании Twilio, которая владеет сервисом аутентификации Authy. Сейчас стали известны новые подробности инцидента.
В результате утечки раскрыты телефонные номера 1900 пользователей
Популярный сервис защищенного обмена сообщениями Signal Private Messenger использует в качестве логина номер телефона пользователя, что вызывает неоднозначную реакцию пользователей. Классическая система с именем пользователя и паролем кажется более безопасной, поскольку ваш номер телефона не раскрывается другим пользователям. Но сейчас не об этом.
Поскольку в Signal вход происходит по номеру телефона, то для получения кодов используется протокол SMS, а для предоставления кодов используются серверы Twilio. Двухфакторная аутентификация через SMS уже давно подвергается критике со стороны экспертов по безопасности. Это не самый безопасный вариант, ведь любой, кто имеет доступ к вашему телефону (и SIM-карте с зарегистрированным номером), может обойти этот уровень безопасности. Существуют и дополнительные риски, поскольку SMS-сообщения не зашифрованы (обычный текст), и код подтверждения может быть перехвачен вредоносными программами или злоумышленниками.
Использование локального приложения для двухфакторной аутентификации, такого как Authy от Twilio выглядит более удобным и безопасным вариантом, даже несмотря на утечку. Все дело в том, что токены аутентификации перед загрузкой в облако подвергаются сквозному шифрованию.
По данным Signal, в результате фишинговой атаки на Twilio были раскрыты телефонные номера около 1900 пользователей мессенджера. Компания говорит, что это очень низкий процент от общего числа пользователей. Signal отмечает, что утечка не раскрыла личные данные пользователей, такие как история сообщений, списки контактов, информация профиля, заблокированные пользователи и т. д. Так какой ущерб нанесен пользователям?
Хакеры могли получить доступ к SMS-коду подтверждения, который использовался для регистрации учетных записей Signal. Злоумышленники могли попытаться перерегистрировать номер пользователя на другом устройстве или обнаружить, что номер привязан к учетной записи Signal. Twilio работал с сотовыми операторами, чтобы отключить эти векторы атак. Хотя угроза устранена, существует вероятность того, что раскрытые номера могли использоваться в злонамеренных целях до решения проблемы.
Signal сообщает, что злоумышленник искал три номера, и один из этих пользователей сообщил, что его учетная запись была перерегистрирована кем-то другим. Вот почему компания обращается к другим пострадавшим пользователям, чтобы предложить им перерегистрировать Signal на своих устройствах.
Twilio подтвердила, что данные примерно 125 клиентов были доступны злоумышленникам в течение ограниченного времени, и что компания предупредила их об этом. Twilio заявляет, что нет никаких доказательств того, что злоумышленники получили доступ к паролям клиентов, токенам аутентификации или ключам API.
Signal призывает пользователей включать блокировку регистрации в своих учетных записях Signal для защиты своих аккаунтов. Вы можете сделать это в меню Signal Настройки > Учетная запись > Блокировка регистрации. Это добавит дополнительный уровень безопасности — приложение попросит вас ввести PIN-код Signal, чтобы снова зарегистрировать учетную запись.
Угрозы безопасности
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России