Utvecklarna av open messenger Signal har avslöjat information om en riktad attack som syftar till att få kontroll över vissa användares konton. Attacken utfördes genom hackningen av tjänsten Twilio som användes av Signal för att organisera sändningen av SMS-meddelanden med verifieringskoder. Dataanalys visade att Twilio-hacket kunde ha påverkat cirka 1900 XNUMX telefonnummer till Signal-användare, för vilka angriparna kunde registrera om telefonnumren på en annan enhet och sedan ta emot eller skicka meddelanden för det associerade telefonnumret (tillgång till historia av tidigare korrespondens, profilinformation och adressbok kunde inte tas emot, eftersom sådan information lagras på användarens enhet och inte överförs till signalservrar).
Under perioden från hackningsögonblicket till blockeringen av det komprometterade medarbetarkontot som användes för attacken av Twilio-tjänsten, observerades aktivitet relaterade till registrering av ett konto eller skicka en verifieringskod via SMS på de markerade 1900-telefonnumren. Samtidigt, efter att ha fått tillgång till Twilio-tjänstens gränssnitt, var angriparna intresserade av specifika tre signalanvändarnummer, och åtminstone en av telefonerna kunde kopplas till angriparnas enhet, att döma av klagomålet från ägare till det berörda kontot. Signal skickade SMS-meddelanden om incidenten till alla användare som potentiellt påverkades av attacken och avregistrerade sina enheter.
Twilio-hacket utfördes med hjälp av social ingenjörsteknik, vilket gjorde att angriparna kunde locka en av företagets anställda till en nätfiskesida och få tillgång till hans kundsupportkonto. I synnerhet skickade angriparna Twilio-anställda SMS-meddelanden som varnade dem om kontots utgång eller schemaändringar, till vilka bifogades en länk till en falsk sida utformad som ett gränssnitt för enkel inloggning för Twilio backend-tjänster. Enligt Twilio, genom att ansluta till supportgränssnittet, lyckades angriparna få tillgång till data kopplade till 125 användare.
Källa: opennet.ru
