以安全和私隱聞名的端對端加密通訊軟件 Signal 昨日表示,受到日前大型雲通訊平台 Twilio 遭受釣魚攻擊影響,他們有約 1,900 位用戶受影響,用來進行註冊的 SMS 驗證碼被盜去,並有人利用這認證碼去重新註冊,有機會竊取到用戶的通訊內容。
Twilio 是在 8 月 7 日宣布有員工遭受複雜的社會工程攻擊,登入系統的憑證被盜去,令客戶的資料被洩。攻擊者假扮 IT 部門人員發出釣魚 SMS ,訛稱員工的帳戶密碼過期,並提供一條看似是 Twilio 域名的釣魚網站連結引誘員工去更改密碼,從而取得員工的登入客戶支援系統憑證,竊取客戶資料。
據報因為這次攻擊, Signal 有約 1,900 名用戶手機號碼已綁定到一個 Signal 帳戶的訊息,或者用來註冊 Signal 的 SMS 驗證碼被盜去,可以利用這驗證碼在其他手機上重新註冊 Signal ,從而截取用戶今後的訊息。
Signal 聲明指 1,900 個受影響電話號碼中,攻擊者曾利用 3 個號碼來嘗試重新註冊,並有一個號碼成功重新註冊。不過事件揭發後, Signal 已經將受影響的 1,900 個帳戶的註冊解除,並在 15 日(美國時間)透過 SMS 通知他們再次註冊。如果用戶在美國時間 16 日仍未收到 SMS 通知,就代表未受這次事件影響。
Signal 強調由於用戶的通訊紀錄不是儲存在雲端而是在用戶手機,而通訊錄和個人資料就以保安 PIN 碼來加密,所以沒有落入攻擊者手上。
開啟註冊鎖定免帳戶被盜
Signal 呼籲用戶開啟註冊鎖定功能,這令到在新手機上重新註冊時需要輸入 Signal PIN 碼,惡意分子即使取得 SMS 驗證碼也必須要有 Signal PIN 碼才能在其他手機上重新註冊。