端到端加密消息應用程序開發商 Signal 剛剛披露:受上周通信巨頭 Twilio 被入侵事件的影響,近 2000 名 Signal 用戶的電話號碼和短信驗證碼也遺憾被泄露。據悉,Twilio 有為 Signal 提供電話號碼驗證服務。Twilio 曾於 8 月 8 日表示,在對多名員工展開了網絡釣魚攻擊后,黑客訪問了 125 名客戶的數據。
儘管 Twilio 沒有公布受影響客戶的確切名單,但 Signal 還是在周一主動公布了自己是其中之一,且不排除有更多大型組織受害。
Signal 在周一的一篇博客文章中披露,攻擊者訪問了 Twilio 的客戶支持控制台。
至於受影響的大約 1900 名 Signal 用戶,攻擊者或試圖將他們的號碼重新註冊到另一台設備上、或得知其號碼已註冊。
可知攻擊者明確搜索了三個號碼,且 Signal 收到了其中一位用戶的報告,稱其賬戶已被重新註冊。
儘管攻擊者沒有更進一步地染指 Signal 並不存儲的歷史消息記錄、或受用戶個人 PIN 碼保護的聯繫人列表與個人資料信息。
但若他們能夠重新註冊一個賬戶,便可利用該號碼來收發 Signal 消息。有鑒於此,該公司正建議用戶在當前使用的所有設備上取消註冊。
同時用戶需激活“註冊鎖”,該功能可防止賬戶在沒有用戶安全 PIN 碼的情況下,於另一台設備上重新註冊。
最後,儘管 Twilio 漏洞影響了 4000 多萬 Signal 用戶中的一小部分,但用戶還是對這家加密消息傳遞服務提供商有長期的抱怨。
即使 Signal 正緩慢拋開對電話號碼的依賴(比如在 2020 年推出的 Signal PIN),但以 Wire 為代表的其它端到端加密通訊 App 早已允許通過用戶名進行註冊。
但願在本次 Twilio 信息泄露事件之後,Signal 能夠加快其行動的腳步。