На початку цього місяця хакери порушили безпеку Twilio – шлюзу, що допомагає веб-платформам спілкуватися за допомогою SMS чи голосу. Сьогодні зашифрований месенджер Signal попередив 1900 користувачів про те, що їхні облікові записи потенційно можуть бути доступні для тих, хто зламав Twilio. За словами компанії, зловмисники шукали три конкретні номери протягом того часу, коли вони мали доступ.
Наразі Signal повідомляє, що від одного з цих трьох користувачів стало відомо про використання зловмисниками доступу до Twilio для реєстрації нового пристрою за номером, що надало їм доступ до читання та надсилання повідомлень від імені цього облікового запису.
Message history, profile info, contact lists, & other data were NOT & could not be accessed. The information attackers accessed could allow them to attempt to register a Signal user’s phone number on a new device if that user had not enabled registration lock. 2/
— Signal (@signalapp) August 15, 2022
Відповідно до повідомлення Signal, історії, списки контактів, інформація профілю та інші особисті дані користувачів залишалися у безпеці. Однак, якщо обліковий запис не використовує авторизацію за допомогою пін-коду, зловмисники можуть спробувати отримати контроль над ним.
Signal відправляє потенційно вразливим обліковим записам повідомлення з посиланням на свою сторінку підтримки та скасовує реєстрацію всіх пристроїв, підключених до цих облікових записів – процес буде завершено до завтрашнього дня.
Проблема зламу мостів між різними платформами є актуальною й для світу криптовалют.
Джерело: The Verge