Οι προγραμματιστές του ανοιχτού κώδικα messenger Signal αποκάλυψαν πληροφορίες σχετικά με μια στοχευμένη επίθεση που στόχευε στην απόκτηση ελέγχου στους λογαριασμούς ορισμένων χρηστών. Η επίθεση πραγματοποιήθηκε μέσω hacking της υπηρεσίας Twilio, την οποία χρησιμοποιεί η Signal για την αποστολή μηνυμάτων SMS με κωδικούς επιβεβαίωσης. Η ανάλυση των δεδομένων έδειξε ότι η παραβίαση της Twilio θα μπορούσε να έχει επηρεάσει περίπου 1900 τηλεφωνικούς αριθμούς χρηστών της Signal, για τους οποίους οι εισβολείς είχαν τη δυνατότητα να επανεγγράψουν τους αριθμούς τηλεφώνου σε άλλη συσκευή και στη συνέχεια να λάβουν ή να στείλουν μηνύματα για τον συνδεδεμένο αριθμό τηλεφώνου (δεν ήταν δυνατή η πρόσβαση στο ιστορικό προηγούμενης αλληλογραφίας, στις πληροφορίες προφίλ και στο βιβλίο διευθύνσεων, καθώς οι πληροφορίες αυτές αποθηκεύονται στη συσκευή του χρήστη και δεν μεταδίδονται στους διακομιστές της Signal).
Μεταξύ της στιγμής της παραβίασης και του αποκλεισμού του παραβιασμένου λογαριασμού υπαλλήλου από την Twilio που χρησιμοποιήθηκε στην επίθεση, οι 1900 τηλεφωνικοί αριθμοί που εν λόγω εμφάνισαν δραστηριότητα που σχετίζεται με την εγγραφή λογαριασμού ή την αποστολή κωδικών επαλήθευσης μέσω SMS. Οι εισβολείς ενδιαφέρθηκαν για τρεις συγκεκριμένους αριθμούς χρηστών Signal αφού απέκτησαν πρόσβαση στη διεπαφή υπηρεσίας Twilio και τουλάχιστον ένα από τα τηλέφωνα ήταν συνδεδεμένο με τη συσκευή των εισβολέων, σύμφωνα με καταγγελία που έλαβε ο κάτοχος του επηρεαζόμενου λογαριασμού. Η Signal έστειλε ειδοποιήσεις SMS σχετικά με το περιστατικό σε όλους τους πιθανώς επηρεαζόμενους χρήστες και διέγραψε την εγγραφή των συσκευών τους.
Η παραβίαση του Twilio πραγματοποιήθηκε χρησιμοποιώντας τεχνικές κοινωνικής μηχανικής που επέτρεψαν στους εισβολείς να παρασύρουν έναν από τους υπαλλήλους της εταιρείας σε μια σελίδα ηλεκτρονικού "ψαρέματος" (phishing) και να αποκτήσουν πρόσβαση στον λογαριασμό του στο σύστημα υποστήριξης πελατών. Συγκεκριμένα, οι εισβολείς έστειλαν μηνύματα SMS στους υπαλλήλους της Twilio προειδοποιώντας για τη λήξη του λογαριασμού ή πληροφορίες σχετικά με την αλλαγή προγράμματος, η οποία είχε έναν σύνδεσμο συνδεδεμένο με μια ψεύτικη σελίδα που είχε σχεδιαστεί ως η διεπαφή ενιαίας σύνδεσης για τις υπηρεσίες υπηρεσιών Twilio. Σύμφωνα με την Twilio, συνδεόμενοι στη διεπαφή υποστήριξης, οι εισβολείς κατάφεραν να αποκτήσουν πρόσβαση σε δεδομένα που σχετίζονται με 125 χρήστες.
Πηγή: opennet.ru
