Попытка захвата учётных записей Signal через компрометацию SMS-сервиса Twilio

Разработчики открытого мессенджера Signal раскрыли сведения о целевой атаке, направленной на получение контроля над учётными записями некоторых пользователей. Атака проведена через взлом сервиса Twilio, используемого в Signal для организации отправки SMS-сообщений с кодами подтверждения. Анализ данных показал, что взлом Twilio мог затронуть около 1900 номеров телефонов пользователей Signal, для которых атакующие имели возможность перерегистировать номера телефонов на другое устройство, после чего получать или отправлять сообщения для привязанного номера телефона (доступ к истории прошлой переписки, информации из профиля и адресной книге не мог быть получен, так как подобная информация хранится на устройстве пользователя и не передаётся на серверы Signal).

В промежуток времени с момента взлома до блокировки сервисом Twilio скомпрометированной учётной записи сотрудника, использованной для атаки, по отмеченным 1900 номерам телефонов наблюдалась активность, связанная с регистрацией учётной записи или отправкой проверочного кода через SMS. При этом получив доступ к служебному интерфейсу Twilio атакующие интересовались конкретными тремя номерами пользователей Signal, и как минимум один из телефонов удалось привязать к устройству злоумышленников, судя по жалобе, полученной от владельца пострадавшей учётной записи. Signal отправил SMS-уведомления об инциденте всем пользователям, которых потенциально могла коснуться атака, и отменил регистрацию их устройств.

Взлом Twilio был совершён с использованием методов социальной инженерии, позволившим атакующим заманить одного из сотрудников компании на фишинговую страницу и получить доступ к его учётной записи в системе поддержки клиентов. В частности, атакующие разослали сотрудникам Twilio SMS-сообщения с предупреждением об истечении времени действия учётной записи или информацией об изменении расписания, к которым была прикреплена ссылка на поддельную страницу, стилизованную под интерфейс единого входа в служебные сервисы Twilio. По данным Twilio, подключившись к интерфейсу службы поддержки, атакующие успели получить доступ к данным, связанным со 125 пользователями.

Источник: opennet.ru