De ontwikkelaars van de open-source messenger Signal hebben informatie vrijgegeven over een gerichte aanval om controle te krijgen over de accounts van bepaalde gebruikers. De aanval werd uitgevoerd door de dienst Twilio te hacken, die door Signal wordt gebruikt om sms-berichten met bevestigingscodes te versturen. Uit gegevensanalyse is gebleken dat de Twilio-hack mogelijk ongeveer 1900 telefoonnummers van Signal-gebruikers heeft getroffen. De aanvallers konden de telefoonnummers opnieuw registreren op een ander apparaat en vervolgens berichten ontvangen of versturen voor het gekoppelde telefoonnummer (toegang tot de chatgeschiedenis, profielinformatie en het adresboek was niet mogelijk, omdat deze informatie op het apparaat van de gebruiker is opgeslagen en niet naar de Signal-servers wordt verzonden).
Tussen het moment van de inbreuk en het moment dat Twilio het gecompromitteerde medewerkersaccount blokkeerde dat bij de aanval werd gebruikt, werd op de 1900 telefoonnummers activiteit waargenomen met betrekking tot accountregistratie of het versturen van verificatiecodes via sms. Nadat ze toegang hadden gekregen tot de service-interface van Twilio, waren de aanvallers geïnteresseerd in drie specifieke nummers van Signal-gebruikers. Bovendien was minstens één van de telefoons gekoppeld aan het apparaat van de aanvallers, zo blijkt uit een klacht van de eigenaar van het getroffen account. Signal stuurde sms-meldingen over het incident naar alle gebruikers die mogelijk door de aanval waren getroffen en de registratie van hun apparaten werd ongedaan gemaakt.
De Twilio-hack werd uitgevoerd met behulp van social engineering-technieken. Daarmee konden de aanvallers een medewerker van het bedrijf naar een phishingpagina lokken en toegang krijgen tot zijn account in het klantenservicesysteem. De aanvallers stuurden specifiek sms-berichten naar Twilio-werknemers om hen te waarschuwen voor het verlopen van accounts of wijzigingen in de planning. Hierbij was een link bijgevoegd naar een neppagina die eruitzag als een single sign-on interface voor Twilio-serviceproviders. Volgens Twilio konden de aanvallers toegang krijgen tot de gegevens van 125 gebruikers door verbinding te maken met de ondersteuningsinterface.
Bron: opennet.ru
