16 августа Signal рассказал об утечке кодов подтверждения и номеров 1900 пользователей. Фишинговой атаке подверглась компания Twilio, которая предоставляет мессенджеру услуги по проверке телефонных номеров. Signal уверяет, что история сообщений, списки контактов и другие личные данные пользователей остались конфиденциальными и не были затронуты. Мы поговорили с экс-техдиректором «Медузы» и Bookmate Саматом Галимовым о том, остался ли мессенджер безопасным после утечки.
Ваш пароль устарел
4 августа компания Twilio узнала о несанкционированном доступе к учетным записям нескольких сотрудников. Точное количество учеток, подвергшихся фишинговой атаке, — неизвестно.
В то же время сервис раскрыл подробности взлома. Бывшие и нынешние сотрудники компании получили сообщения якобы от IT-отдела, в которых было предупреждение об истечении срока действия паролей. Им предлагали перейти по поддельной ссылке, в URL которой использовались слова Twilio, Okta и SSO, и обновить пароль. По данным компании, письма отправлялись пользователями американских операторов связи, у злоумышленников также был доступ к именам сотрудников, которые они смогли сопоставить с номерами их телефонов.
Пример фишингового письма, пришедшего сотрудникам Twilio
«В результате этой широкомасштабной атаки удалось обмануть некоторых сотрудников и заставить их предоставить свои учетные данные.
Затем злоумышленники использовали украденные учетки для получения доступа к некоторым из наших внутренних систем, где они смогли получить доступ к определенным данным клиентов», — сказано в отчете компании.
Twilio не сообщает, данные каких именно клиентов оказались в руках хакеров. Известно только, что их всего 125. Всех владельцев затронутых аккаунтов уведомили об инциденте.
Пострадавший Signal
Одним из клиентов Twilio, пострадавшим в результате хакерской атаки, оказался Signal.
«Примерно у 1900 пользователей злоумышленник мог попытаться перерегистрировать их номер на другое устройство или узнать, что их номер зарегистрирован в Signal. Мы уведомляем этих 1900 пользователей напрямую», — заявили в мессенджере.
Signal предлагает пострадавшим пользователям перерегистрировать свою учетную запись и включить блокировку регистрации для «учетки». Компания уверяет, что все клиенты могут быть уверены, что «их история сообщений, списки контактов, информация о профиле, кого они заблокировали, и другие личные данные остаются конфиденциальными и безопасными». По данным мессенджера, хакеры среди 1900 телефонных номеров искали три определенных номера. Владелец одного из них уже уведомил, что перерегистрировал свой аккаунт.
«Signal — один из самых защищенных мессенджеров в мире и всё, что смогли сделать атакующие — это перерегистрировать номер телефона в Signal на себя, то есть теоретически они могли написать кому-то от имени жертвы или получить сообщение на имя жертвы, но все собеседники при этом были явно уведомлены о том, что произошла перерегистрация номера», — объясняет экс-техдиректор Медузы и Букмейта Самат Галимов.
Он отмечает, что Signal «в отличие от других мессенджеров не хранит переписку на своих серверах — она есть только на телефонах и компьютерах получателей. По его словам, »в момент пересылки сообщений они шифруются так, что прочитать их может только получатель, но не сервер”. Даже если у пользователя были синхронизированы несколько устройств с аккаунтами в мессенджере, хакеры не получили бы доступ к истории переписки.
«Для синхронизации Signal нужно прямо иметь физическое устройство, сосканировать с него QR код — этого всего у взломщиков конечно нет», — рассказывает Галимов.
Эксперт считает, что возможная уязвимость Signal связана с тем, что аккаунты в приложении привязаны к номерам телефонов. По его мнению, «гораздо безопаснее было бы ввести никнеймы как телеграме или твиттере и сделать номера телефонов необязательными». В то же время на вопрос о том, какие еще мессенджеры он мог бы посоветовать, Галимов отвечает только одно — Signal.
В своем посте в фейсбуке эксперт пишет, что чисто теоретически для усиления защиты приложения также можно было бы использовать федеративные протоколы. В таком случае появилась бы возможность вносить изменения в Signal независимо от его руководителей. Но этот метод тоже не идеален.
«На практике федеративные протоколы — это гораздо сложнее технически и организационно. Очень похоже на эффективность военных диктатур в сравнении с демократиями и проблемы у федеративных протоколов те же самые, что у демократий — сложно принять решения, сложно всем договориться. Гораздо проще менять систему, когда есть Дуров или кто-то другой, принимающий единоличные решения, как именно нам переписываться. Есть всего несколько хороших примеров — например, электронная почта и sms. Именно из-за федеративности SMS и почта мало развивались последние 40 лет, но остаются самыми надежными способами связи», — заявил Галимов.
Делайте «Новую» вместе с нами!
В России введена военная цензура. Независимая журналистика под запретом. В этих условиях делать расследования из России и о России становится не просто сложнее, но и опаснее. Но мы продолжаем работу, потому что знаем, что наши читатели остаются свободными людьми. «Новая газета. Европа» отчитывается только перед вами и зависит только от вас. Помогите нам оставаться антидотом от диктатуры — поддержите нас деньгами.
*К сожалению, сейчас мы не можем принимать пожертвования с российских карт. Если вы хотите поддержать независимую журналистику и у вас только российская банковская карта, оформите пожертвование нашим коллегам из «Новой Газеты» в Москве
Нажимая кнопку «Поддержать», вы соглашаетесь с правилами обработки персональных данных.
Если вы захотите отписаться от регулярного пожертвования, напишите нам на почту: [email protected]
