端到端加密消息應用程序開發商Signal剛剛披露:受上周通信巨頭Twilio被入侵事件的影響,近2000名Signal用戶的電話號碼和短信驗證碼也遺憾被泄露。據悉,Twilio有為Signal提供電話號碼驗證服務。Twilio曾於8月8日表示,在對多名員工展開網絡釣魚攻擊後,黑客訪問125名客戶的數據。
盡管 Twilio 沒有公佈受影響客戶的確切名單,但 Signal 還是在周一主動公佈自己是其中之一,且不排除有更多大型組織受害。
Signal 在周一的一篇博客文章中披露,攻擊者訪問 Twilio 的客戶支持控制臺。
至於受影響的大約 1900 名 Signal 用戶,攻擊者或試圖將他們的號碼重新註冊到另一臺設備上、或得知其號碼已註冊。
可知攻擊者明確搜索三個號碼,且 Signal 收到其中一位用戶的報告,稱其賬戶已被重新註冊。
盡管攻擊者沒有更進一步地染指 Signal 並不存儲的歷史消息記錄、或受用戶個人 PIN 碼保護的聯系人列表與個人資料信息。
但若他們能夠重新註冊一個賬戶,便可利用該號碼來收發 Signal 消息。有鑒於此,該公司正建議用戶在當前使用的所有設備上取消註冊。
同時用戶需激活“註冊鎖”,該功能可防止賬戶在沒有用戶安全 PIN 碼的情況下,於另一臺設備上重新註冊。
最後,盡管 Twilio 漏洞影響 4000 多萬 Signal 用戶中的一小部分,但用戶還是對這傢加密消息傳遞服務提供商有長期的抱怨。
即使 Signal 正緩慢拋開對電話號碼的依賴(比如在 2020 年推出的 Signal PIN),但以 Wire 為代表的其它端到端加密通訊 App 早已允許通過用戶名進行註冊。
但願在本次 Twilio 信息泄露事件之後,Signal 能夠加快其行動的腳步。