A Twilio, empresa de comunicações, sofreu um ataque de phishing que levou a um comprometimento de privacidade do Signal para quase 2 mil usuários. Entre os dados vazados estava, números de telefone com códigos de verificação por SMS que permitiriam a um invasor registrar contas em um novo dispositivo.
A Twilio e o comprometimento de dados do Signal
Twilio fornece uma gama de serviços para desenvolvedores de aplicativos, incluindo o fornecimento de funcionalidade de voz e SMS. No caso do Signal, o aplicativo de mensagens seguras usou o Twilio para verificar os números de telefone de novos usuários.
Twilio revelou na semana passada que foi vítima de um ataque de phishing, permitindo que um invasor acessasse contas de clientes.
Em 4 de agosto de 2022, a Twilio tomou conhecimento do acesso não autorizado a informações relacionadas a um número limitado de contas de clientes da Twilio por meio de um sofisticado ataque de engenharia social projetado para roubar credenciais de funcionários. Esse ataque amplo contra nossa base de funcionários conseguiu enganar alguns funcionários para que fornecessem suas credenciais. Os invasores usaram as credenciais roubadas para obter acesso a alguns de nossos sistemas internos, onde puderam acessar determinados dados de clientes. Continuamos a notificar e estamos trabalhando diretamente com os clientes que foram afetados por este incidente. Ainda estamos no início de nossa investigação, que está em andamento.
Foi uma falha de segurança embaraçosa, uma vez que o phishing parecia ser nada mais do que uma mensagem de texto extremamente simples, alegando que os funcionários da Twilio precisavam alterar sua senha.
Impacto na privacidade do Signal
O uso do Twilio pela Signal para verificação de número de telefone significou que alguns números de telefone de usuários foram expostos. Em alguns casos, o invasor tentou registrar novamente seu número de telefone em outro dispositivo.
A empresa divulgou isso em uma postagem no blog e disse que estava entrando em contato com os usuários afetados. Como o invasor também pode acessar códigos SMS 2FA para esses números de telefone, isso daria a ele a capacidade de registrar a conta em um novo dispositivo. Não está claro se isso realmente aconteceu.
A empresa teve o cuidado de enfatizar que nenhuma mensagem ou outro dado pessoal foi exposto. “Todos os usuários podem ter certeza de que seu histórico de mensagens, listas de contatos, informações de perfil, quem eles bloquearam e outros dados pessoais permanecem privados e seguros e não foram afetados”.
No caso improvável de sua conta do Signal ser afetada, a empresa enviará uma mensagem de texto até o final de hoje, solicitando que você se registre novamente. Isso deve ser feito no aplicativo Signal; é claro que você nunca deve clicar em nenhum link em uma mensagem de texto inesperada, uma lição que parece que alguns funcionários da Twilio precisam aprender.