Signal: användartelefonnummer i naturen (och det är inte appens fel)

Den krypterade meddelandetjänsten Signal meddelade i veckan att den indirekt var offer för en nätfiskeattack som avslöjade knappt 2 000 av dess användare.

Signal kan vara en av de säkraste snabbmeddelandetjänsterna på marknaden, men den är inte immun mot en attack från en av dess samarbetspartners. Detta är vad som hände för några dagar sedan med en nätfiskeattack som riktade sig till Twilio, dess leverantör av verifieringstjänster.

Signal attackerade indirekt

Officiell den 8 augusti av Twilio, en specialist på tvåfaktorsidentifiering, avslöjade denna attack telefonnumren till nästan 1 900 Signalanvändare, registrerade på ett enda äventyrat Signal-konto. I det här fallet skulle angriparen ha lyckats komma åt Twilio kundsupportkonsol genom ett enkelt nätfiske.

Som specifierat Neowin, visade leverantörens undersökning att av dessa 1 900 exponerade nummer sökte angriparen uttryckligen efter tre av dem. Användaren bakom ett av dessa tre nummer hade ändå redan anmält händelsen till Signal, lyder det.

Omkring 1 900 användare berörs

Vi får i alla fall veta att Twilio har gjort vad som är nödvändigt för att sätta stopp för attacken, medan Signal för sin del har börjat varna innehavarna av de 1 900 konton som potentiellt drabbats. Tjänsten har också dragit sig tillbaka från de berörda enheterna för att begränsa riskerna.

Riskerna är relativt begränsade. Angriparen hade faktiskt inte tillgång till meddelandehistoriken, understryker Neowin, inte heller till användarnas profilinformation eller kontaktlistor. All denna data lagras lokalt på användarens enhet utan att några kopior lagras på Signals servrar.

Källa: Neowin