月曜日に、信号は、最も安全なメッセージング アプリと見なされていることが多いですが、電話番号認証サービス プロバイダーのセキュリティ侵害があったことを共有しました。1,900 人のユーザーに影響。この侵害により、これらのユーザーの電話番号が流出しました。
ツイートは削除された可能性があります
状況を詳しく説明した Signal の投稿によると、プロバイダーである Twilio がフィッシング攻撃の標的となった。 Twilio 独自の役職同社は状況を説明し、これは「従業員の資格情報を盗むことを目的とした高度なソーシャルエンジニアリング攻撃」だったと述べた。この攻撃は Twilio の従業員の一部から資格情報を取得することに成功しました。 Twilio によれば、顧客のうち約 125 社が攻撃中にデータが侵害されたという。これらの影響を受ける顧客の 1 つが Signal です。
明るい面としては、サービスが 100% エンドツーエンドで暗号化されているため、最も安全なメッセージング アプリとしての Signal の評判は損なわれていません。 Signal ユーザーの物理デバイスにアクセスできなければ、悪意のある攻撃者はそのユーザーのメッセージング履歴にアクセスできません。そのため、Signal 上のメッセージ内で共有された機密情報は侵害されていません。 Signal の設計のおかげで、プロフィール データ、連絡先リスト、その他のデータも侵害されませんでした。
マッシュ可能な光の速度
ただし、Signal は、侵害の影響を受けるユーザーに問題が発生したと警告しています。
「約 1,900 人のユーザーについて、攻撃者は自分の番号を別のデバイスに再登録しようとしたり、自分の番号が Signal に登録されていることを知ることができた可能性があります。その後、この攻撃は Twilio によって阻止されました。」
Signal によると、その 1,900 人のユーザーのうちの 1 人が、自分のアカウントが許可なく別のデバイスに再登録されたと報告しました。また、Signal が指摘しているように、ユーザーのほとんどはセキュリティ侵害の影響をまったく受けていませんでした。
このセキュリティ侵害による影響がほとんどないことは、Signal のセキュリティの証拠です。しかし、この侵害は、Signal の 1 つの明らかな欠陥を思い出させるものでもあります。それは、メッセージング サービスを使用するためにユーザーが自分の電話番号を登録する必要があるということです。 Signal は以前、電話番号の代わりにユーザー名を使用できるようになる予定であることを示唆していましたが、現時点ではその機能の展開予定はありません。