Хакеры поймали Signal

Ваш пароль устарел

4 августа компания Twilio узнала о несанкционированном доступе к учетным записям нескольких сотрудников. Точное количество учеток, подвергшихся фишинговой атаке, — неизвестно.

В то же время сервис раскрыл подробности взлома. Бывшие и нынешние сотрудники компании получили сообщения якобы от IT-отдела, в которых было предупреждение об истечении срока действия паролей. Им предлагали перейти по поддельной ссылке, в URL которой использовались слова Twilio, Okta и SSO, и обновить пароль. По данным компании, письма отправлялись пользователями американских операторов связи, у злоумышленников также был доступ к именам сотрудников, которые они смогли сопоставить с номерами их телефонов.

Затем злоумышленники использовали украденные учетки для получения доступа к некоторым из наших внутренних систем, где они смогли получить доступ к определенным данным клиентов», — сказано в отчете компании.

Twilio не сообщает, данные каких именно клиентов оказались в руках хакеров. Известно только, что их всего 125. Всех владельцев затронутых аккаунтов уведомили об инциденте.

Пострадавший Signal

Одним из клиентов Twilio, пострадавшим в результате хакерской атаки, оказался Signal.

«Примерно у 1900 пользователей злоумышленник мог попытаться перерегистрировать их номер на другое устройство или узнать, что их номер зарегистрирован в Signal. Мы уведомляем этих 1900 пользователей напрямую», — заявили в мессенджере.

Signal предлагает пострадавшим пользователям перерегистрировать свою учетную запись и включить блокировку регистрации для «учетки». Компания уверяет, что все клиенты могут быть уверены, что «их история сообщений, списки контактов, информация о профиле, кого они заблокировали, и другие личные данные остаются конфиденциальными и безопасными». По данным мессенджера, хакеры среди 1900 телефонных номеров искали три определенных номера. Владелец одного из них уже уведомил, что перерегистрировал свой аккаунт.

«Signal — один из самых защищенных мессенджеров в мире и всё, что смогли сделать атакующие — это перерегистрировать номер телефона в Signal на себя, то есть теоретически они могли написать кому-то от имени жертвы или получить сообщение на имя жертвы, но все собеседники при этом были явно уведомлены о том, что произошла перерегистрация номера», — объясняет экс-техдиректор Медузы и Букмейта Самат Галимов.

Он отмечает, что Signal «в отличие от других мессенджеров не хранит переписку на своих серверах — она есть только на телефонах и компьютерах получателей. По его словам, »в момент пересылки сообщений они шифруются так, что прочитать их может только получатель, но не сервер”. Даже если у пользователя были синхронизированы несколько устройств с аккаунтами в мессенджере, хакеры не получили бы доступ к истории переписки.

Эксперт считает, что возможная уязвимость Signal связана с тем, что аккаунты в приложении привязаны к номерам телефонов. По его мнению, «гораздо безопаснее было бы ввести никнеймы как телеграме или твиттере и сделать номера телефонов необязательными». В то же время на вопрос о том, какие еще мессенджеры он мог бы посоветовать, Галимов отвечает только одно — Signal.

В своем посте в фейсбуке эксперт пишет, что чисто теоретически для усиления защиты приложения также можно было бы использовать федеративные протоколы. В таком случае появилась бы возможность вносить изменения в Signal независимо от его руководителей. Но этот метод тоже не идеален.

«На практике федеративные протоколы — это гораздо сложнее технически и организационно. Очень похоже на эффективность военных диктатур в сравнении с демократиями и проблемы у федеративных протоколов те же самые, что у демократий — сложно принять решения, сложно всем договориться. Гораздо проще менять систему, когда есть Дуров или кто-то другой, принимающий единоличные решения, как именно нам переписываться. Есть всего несколько хороших примеров — например, электронная почта и sms. Именно из-за федеративности SMS и почта мало развивались последние 40 лет, но остаются самыми надежными способами связи», — заявил Галимов.