Apesar de todos os utilizadores associarem a Signal a uma aplicação com um alto nível de segurança e privacidade, não impediu que cerca de 1900 utilizadores tenham sido expostos após um ataque à Twilio, a empresa que fornece um serviço de verificação de SMS à empresa.
O ataque foi direcionado à consola de apoio ao cliente da Twilio e acabou por garantir aos atacantes o acesso à informação de cerca de 1900 utilizadores da aplicação Signal.
Signal confirmou ataque a um pequeno número de utilizadores
A Signal sempre foi vista como uma aplicação de mensagem segura e privada tendo em conta a encriptação utilizada, semelhante à de outros serviços de mensagens como o WhatsApp, mas também porque desde o início que este foi o foco da empresa ao desenvolver o serviço.
Um ataque de phishing foi o método utilizado para conseguir o acesso á base de dados de apoio ao cliente da Twilio, empresa que trabalha com a Signal para enviar o código de verificação no ato do registo na app. Desta forma os atacantes conseguiram aceder, segundo a empresa, aos dados de 1900 utilizadores, uma fração pequena quando comparado aos mais de 40 milhões que utilizadores ativos diariamente.
Os atacantes não tiveram acesso a muita informação pessoal, tendo em conta que, por norma, o histórico de mensagens, informação de contacto, lista de contactos e outras informações pessoais são armazenadas no equipamento e não nos servidores da empresa que fornece o serviço de mensagens (dependendo sempre da configuração feita pelo utilizador).
No entanto, os números de telemóvel dos 1900 utilizadores foram expostos devido ao ataque, deixando a confirmação aos atacantes que aquelas pessoas estão registadas na Signal ou mesmo tendo a possibilidade de utilizar o número para tentar associar o mesmo a outro equipamento.
Desses 1900 utilizadores expostos, a Signal indica que os atacantes procuravam três números específicos na base de dados, sendo que um destes foi registado num outro equipamento.
O problema já se encontra resolvido na Twilio garantindo assim, novamente, a segurança dos utilizadores que estão registados ou se queiram registar na aplicação de mensagens.
Os utilizadores afetados pelo ataque devem ser contactados pela própria empresa via SMS e, caso seja solicitado fazer novamente o registo deverá proceder ao mesmo, pois a Signal terá removido o registo de algumas contas como medida de prevenção ao ataque realizado.
Participe no passatempo:
