Приватный мессенджер Signal сообщил об утечке мобильных номеров и кодов подтверждения 1900 пользователей в результате фишинг-атаки на Twilio, компанию, предоставляющая Signal услуги проверки телефонных номеров. Об этом говорится в блоге сервиса. Отмечается, что утечка дала злоумышленникам теоретическую возможность перерегистрировать учётные записи на свои устройства и вести переписку от имени пользователей. Впрочем, в Signal считают, что киберпреступники искали три конкретных номера.
Представители компании также полагают, что 1900 — это «очень небольшой процент от общего числа пользователей Signal» (всего у мессенджера, по данным TechCrunch, около 40 млн пользователей). Сообщается, что для всех 1900 затронутых людей отменена регистрация Signal на используемых ими в данный момент устройствах — они должны перерегистрироваться. Об этом разосланы SMS-уведомления. Кроме того,
«Если при открытии Signal вы увидели баннер, сообщающий, что ваше устройство больше не зарегистрировано, возможно, это утечка зацепила вас, хотя для деактивации могут быть и другие причины, например, длительный период, когда вы не заходили в мессенджер», — следует из блога.
Отдельно компания отмечает, что утечка не дала злоумышленникам доступа к истории сообщений, информации профиля или спискам контактов:
«История сообщений хранится только на вашем устройстве, и Signal не сохраняет её копию. Ваши списки контактов, информация профиля и многое другое могут быть восстановлены только с помощью вашего сигнального PIN-кода, который не был (и не мог быть) доступен в рамках этого инцидента. Однако в случае, если злоумышленникам удалось перерегистрировать учётную запись, они могли отправлять и получать сообщения с этого скомпроментированного номера телефона».
Теперь Signal рекомендует пользователям включить блокировку регистрации для своей учётной записи. Это добавит дополнительный уровень проверки в процесс регистрации. Для этого надо перейти в Настройки (профиль)> Учётная запись> Блокировка регистрации (Signal Settings (profile) > Account > Registration Lock).
«Сейчас все пишут, мол, «случилась утечка у приватного, сверхзащищённого мессенджера». Но на самом деле настоящей приватности Signal никогда и не предлагал. Только «маркетинговую». Реальной приватности у централизованного сервиса, особенно с идентификацией по номеру телефона, быть не может принципиально. Слова «централизация» и «приватность» в одном предложении — это оксюморон», — прокомментировал инцидент технический специалист «Роскомсвободы» Вадим Мисбах-Соловьёв.
Читайте о том, как защищать свою приватность, на сайте нашего проекта Safe и тренируйте навыки — с персональным ассистентом «Секьюрно».
Главное за неделю в области права.
23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.