Questo articolo è stato pubblicato da questo sito
I numeri di telefono di 1.900 utenti di Signal, un’app di messaggistica istantanea nota per la sue solide caratteristiche di privacy e sicurezza, sono stati esposti a seguito di un attacco di phishing a un’altra applicazione. Il 4 agosto la piattaforma cloud Twilio, che offre servizi di autenticazione e verifica di numeri di telefono, è stata violata. I cybercriminali hanno avuto accesso ai dati di centoventicinque clienti del servizio, tra cui Signal, inviando dei link malevoli ai dipendenti di Twilio via sms.
Twitter content
This content can also be viewed on the site it originates from.
I cybercriminali hanno ottenuto i numeri di telefono e i codici di verifica inviati via sms di 1.900 utenti di Signal. Anche se si tratta di una piccolissima percentuale del totale, l’attacco è stato definito “organizzato, sofisticato e metodico”.
Signal assicura che i messaggi, le liste di contatti e altre informazioni personali sono al sicuro. La cronologia dei messaggi è custodita solo sui dispositivi personali, senza che vi siano copie sui server aziendali. Altre informazioni, come la lista dei contatti, sono accessibili solo inserendo un pin. Gli attaccanti potrebbero però provare a registrare i numeri di telefono su altri dispositivi, utilizzando i codici di registrazione. L’attacco è stato bloccato da Twilio, ma è comunque consigliabile prendere ulteriori misure precauzionali.
Signal sta contattando le 1.900 vittime dell’attacco, consigliando di registrare nuovamente l’account sui propri dispositivi. Incoraggia inoltre a utilizzare la funzione “Registration lock”, che obbliga chiunque voglia registrare il numero su un altro dispositivo a inserire un pin (che non è conservato dalla compagnia e non può essere recuperato se dimenticato). La funzionalità, spiega Signal, esiste proprio per proteggere contro questo tipo di attacchi.
Sembra che i cybercriminali abbiano cercato esplicitamente tre numeri di telefono dopo aver avuto accesso al database dei clienti. Al momento, conclude Signal nel suo comunicato ufficiale, gli esperti sono al lavoro per migliorare le pratiche di sicurezza per evitare che si ripetano episodi di questo tipo in futuro.
