L’adversaire à l’origine de la récente fuite d’informations sur Twilio aurait pu accéder aux numéros de téléphone et aux codes d’enregistrement SMS de 1 900 utilisateurs de la populaire application de messagerie sécurisée Signal.
» Parmi les 1 900 numéros de téléphone, l’agresseur a explicitement recherché trois numéros, et nous avons reçu un rapport de l’un de ces 3 utilisateurs indiquant que son compte a été réenregistré », a partagé l’équipe Signal lundi.
Que s’est-il passé ?
Twilio propose des services de vérification de numéro de téléphone (par SMS) pour Signal.
Auparavant ce mois-ci, certains employés de Twilio avaient succombé à un hameçonnage par SMS ressemblant à un véritable message du service informatique de l’entreprise. L’ennemi a réussi à accéder aux informations relatives à 125 comptes de consommateurs Twilio et, apparemment, celui de Signal était l’un d’entre eux.
Cela a permis à l’adversaire de collecter soit le numéro de contact de 1 900 utilisateurs de Signal inscrits, soit le code de vérification par SMS. ils ont utilisé pour s’inscrire auprès de Signal.
« Pendant la fenêtre où un adversaire avait accès au groupe de support client de Twilio, il lui était possible d’essayer d’enregistrer le numéro de téléphone auquel il avait accédé à un autre appareil en utilisant la vérification par SMS code », a expliqué l’équipe Signal.
Comme indiqué ci-dessus, l’ennemi a réussi à réenregistrer au moins l’un des 3 numéros qu’il recherchait explicitement.
« Tous les utilisateurs peuvent se reposer assuré que l’historique de leurs messages, leurs listes de contacts, les détails de leur profil, les personnes qu’ils avaient bloquées et d’autres données personnelles restent privées et sécurisées et ne sont pas affectées », a noté l’équipe. En effet, ces informations sont stockées sur l’appareil des utilisateurs et Signal n’y a pas accès ni copie. « Et ces détails ne sont certainement pas offerts à Twilio, ou via l’accès brièvement obtenu par les agresseurs de Twilio », ont-ils ajouté.
Malheureusement, dans les cas où l’ennemi a pu réenregistrer un compte, ils pourraient usurper l’identité de l’utilisateur en envoyant et en recevant des messages Signal à partir de ce numéro de téléphone.
Signal alerte les utilisateurs potentiellement concernés de cette violation directement par SMS. La société a désenregistré Signal sur tous les appareils que ces 1 900 utilisateurs utilisent actuellement (ou sur lesquels un agresseur les a enregistrés) et demande à réenregistrer Signal avec leur numéro de téléphone sur leur appareil préféré.
Ils sont en les invitant à rendre possible le verrouillage de l’enregistrement (Paramètres du signal (profil)> Compte> Verrouillage de l’enregistrement) pour leur compte, une fonctionnalité qui permet d’éviter ce type de prise de contrôle de compte.
Les ramifications de Twilio violation
« Le type d’attaque de télécommunications subie par Twilio est une vulnérabilité que Signal a établie avec des fonctions telles que le verrouillage de l’enregistrement et les codes PIN Signal pour se protéger. Nous encourageons fortement les utilisateurs à rendre possible le verrouillage de l’enregistrement. Bien que nous ne le fassions pas n’ayant pas la capacité de résoudre directement les problèmes affectant l’environnement des télécommunications, nous travaillerons avec Twilio et éventuellement d’autres fournisseurs de services pour renforcer leur sécurité là où cela compte pour nos utilisateurs », a conclu le groupe.
Après le Twilio br chacun, l’entreprise a déclaré que d’autres entreprises étaient également ciblées.
Cloudflare a vérifié qu’ils étaient parmi eux mais, heureusement pour eux, l’agresseur a été bloqué par l’utilisation par Cloudflare des secrets de sécurité physique.
Cela promet que nous prendrons conscience des implications de la violation de Twilio pendant un certain temps encore.
5/ Leçon 2 : Les entreprises comme @twilio sont des installations Internet cruciales et discrètes.
Les SMS d’inscription et d’authentification qu’ils traitent en font une cible de grande valeur.$TWLO et. Al. doivent se protéger en conséquence.
— John Scott-Railton (@jsrailton) 15 août 2022
Toute l’actualité en temps réel, est sur L’Entrepreneur
