Dịch vụ nhắn tin mã hóa end-to-end nổi tiếng Signal hôm thứ Hai đã tiết lộ cuộc tấn công mạng nhằm vào Twilio vào đầu tháng này có thể đã làm lộ số điện thoại của khoảng 1.900 người dùng.
“Đối với khoảng 1.900 người dùng, kẻ tấn công có thể đã cố gắng đăng ký lại số của họ vào một thiết bị khác hoặc biết rằng số của họ đã được đăng ký với Signal”, công ty cho biết. “Tất cả người dùng có thể yên tâm rằng lịch sử tin nhắn, danh sách liên hệ, thông tin hồ sơ của họ, những người họ đã chặn và dữ liệu cá nhân khác vẫn riêng tư và an toàn và không bị ảnh hưởng.”
Signal, công ty sử dụng Twilio để gửi mã xác minh SMS cho người dùng đăng ký với ứng dụng, cho biết họ đang trong quá trình cảnh báo trực tiếp những người dùng bị ảnh hưởng và nhắc họ đăng ký lại dịch vụ trên thiết bị của mình.
Sự phát triển diễn ra chưa đầy một tuần sau khi Twilio tiết lộ rằng dữ liệu liên quan đến khoảng 125 tài khoản khách hàng đã bị các kẻ xấu truy cập thông qua một cuộc tấn công lừa đảo nhằm lừa nhân viên của công ty giao thông tin đăng nhập của họ. Vụ vi phạm xảy ra vào ngày 4 tháng 8.
Trong trường hợp của Signal, tác nhân đe dọa không xác định được cho là đã lạm dụng quyền truy cập để tìm kiếm rõ ràng ba số điện thoại, sau đó đăng ký lại tài khoản với nền tảng nhắn tin bằng cách sử dụng một trong những số đó, do đó cho phép bên gửi và nhận tin nhắn từ số điện thoại đó.
Như một phần của lời khuyên, công ty cũng đã khuyến khích người dùng bật khóa đăng ký, một biện pháp bảo mật bổ sung yêu cầu mã PIN Tín hiệu để đăng ký số điện thoại với dịch vụ.
Nhà cung cấp cơ sở hạ tầng web cloudflare, cũng bị nhắm mục tiêu không thành công bởi thủ đoạn lừa đảo tinh vi, cho biết việc sử dụng các khóa bảo mật vật lý được cấp cho mọi nhân viên đã giúp ngăn chặn cuộc tấn công.
Lừa đảo và các loại kỹ thuật xã hội khác dựa vào yếu tố con người là mắt xích yếu nhất trong một vụ vi phạm. Nhưng sự cố mới nhất cũng làm nổi bật rằng các nhà cung cấp bên thứ ba gây ra nhiều rủi ro cho các công ty.
Sự phát triển này càng nhấn mạnh sự nguy hiểm của việc dựa vào số điện thoại làm mã định danh duy nhất, điều mà công nghệ dễ bị tráo đổi SIM cho phép những kẻ xấu thực hiện các cuộc tấn công chiếm đoạt tài khoản và giao dịch tiền bất hợp pháp.
.
