Versuch der Kontoübernahme bei Signal durch Kompromittierung des SMS-Dienstes Twilio

Die Entwickler des Open-Source-Messengers Signal haben Informationen über einen zielgerichteten Angriff gemäß dem Erhalt der Kontrolle über die Konten einiger Benutzer veröffentlicht. Der Angriff erfolgte durch den Hack des Twilio-Dienstes, der in Signal für den Versand von SMS-Nachrichten mit Bestätigungscodes verwendet wird. Die Analyse der Daten hat ergeben, dass der Hack von Twilio etwa 1900 Telefonnummern von Signal-Nutzern betroffen haben könnte. Die Angreifer konnten die Telefonnummern auf ein anderes Gerät ummelden und dadurch Nachrichten für die verknüpfte Telefonnummer empfangen oder senden (Zugriff auf den Verlauf vergangener Konversationen, Profilinformationen und Adressbuch war nicht möglich, da solche Informationen auf dem Gerät des Benutzers gespeichert werden und nicht auf die Server von Signal übertragen werden).

Im Zeitraum zwischen dem Zeitpunkt des Hacks und der Sperrung des kompromittierten Benutzerkontos eines Mitarbeiters durch den Service Twilio wurde bei den markierten 1900 Telefonnummern eine Aktivität beobachtet, die mit der Registrierung eines Kontos oder dem Versenden eines Bestätigungscodes per SMS in Zusammenhang steht. Dabei zeigten die Angreifer Interesse an drei spezifischen Signal-Nutzern, nachdem sie Zugang zur Twilio-Schnittstelle erhalten hatten. Mindestens eines der Telefone konnte mit dem Gerät der Angreifer verknüpft werden, wie aus einer Beschwerde des Kontoinhabers hervorgeht. Signal hat SMS-Benachrichtigungen über den Vorfall an alle Benutzer gesendet, die möglicherweise von dem Angriff betroffen sein könnten, und die Registrierung ihrer Geräte rückgängig gemacht.

Der Twilio-Hack wurde durch Social-Engineering-Methoden durchgeführt, die es den Angreifern ermöglichten, einen der Mitarbeiter des Unternehmens auf eine Phishing-Seite zu locken und Zugang zu seinem Konto im Kundenservice-System zu erhalten. Insbesondere versendeten die Angreifer SMS-Nachrichten an die Mitarbeiter von Twilio mit Warnungen über das bevorstehende Ablaufen des Kontos oder Informationen über Änderungen im Zeitplan, denen ein Link zu einer gefälschten Seite beigefügt war, die im Stil der Benutzeroberfläche des Single Sign-On für die Dienste von Twilio gestaltet war. Laut Twilio gelang es den Angreifern, über die Benutzeroberfläche des Kundensupports auf Daten von 125 Nutzern zuzugreifen.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster