Signal: golpe em sistema de verificação por SMS expõe telefones de usuários

Agentes mal-intencionados conseguiram acesso a sistema de suporte da Twilio, e telefones de 1.900 usuários do Signal foram revelados

Por Giovanni Santa Rosa

há 1 ano e 8 meses

Nem mesmo os apps mais seguros estão a salvo de ataques. Números de telefone de cerca de 1.900 usuários do aplicativo de mensagens Signal podem ter sido expostos. O ataque foi feito à Twilio, responsável pelo serviço de autenticação de dois fatores por SMS. A empresa diz que apenas os números ficaram descobertos — mensagens e outros dados pessoais continuam protegidos.

O ataque à Twilio foi descrito como organizado, sofisticado e metódico pela empresa. Os agentes tinham controle de números de telefone de funcionários da empresa e de seus familiares.

Com isso, eles enviaram mensagens falsas, dizendo, por exemplo, que um compromisso foi remarcado ou que uma senha usada na conta de trabalho foi alterada.

Não se sabe como os agentes conseguiram acesso aos telefones das vítimas e de seus parentes. As páginas falsas usavam domínios criados havia menos de uma hora, o suficiente para driblar mecanismos de proteção.

Um dos funcionários da Twilio caiu nesse golpe e digitou seus dados pessoais em um site fake. Com isso, os atacantes puderam instalar um software de acesso remoto e conseguiram entrar nos sistemas da empresa.

Dados pessoais não foram expostos, garante Signal

Segundo a Twilio, dados de 125 de seus clientes foram expostos, mas os atacantes não conseguiram obter acesso a informações de autenticação.

No caso do Signal, os números de telefone de cerca de 1.900 usuários foram revelados. A empresa responsável pelo app diz que essa foi a única informação que ficou vulnerável.

“Todos os usuários podem ficar tranquilos com a garantia de que seu histórico de mensagens, lista de contatos, informações de perfil, contatos bloqueados e outros dados pessoais continuam privados e seguros e não foram afetados”, diz o Signal.

A própria arquitetura do aplicativo protege estes dados. O histórico de mensagens fica armazenado apenas no dispositivo, enquanto listas de contatos e informações de perfil só podem ser acessadas usando uma senha.

Isso não quer dizer, porém, que as contas estão totalmente protegidas. O acesso ao console de suporte da Twilio permitiria aos atacantes acessar códigos de verificação e ativar o Signal em outros dispositivos. Com isso, os agentes mal-intencionados poderiam enviar e receber novas mensagens, mas sem acesso ao histórico.

“O tipo de ataque de telecomunicações sofrido pela Twilio é uma vulnerabilidade contra a qual o Signal desenvolveu recursos, como os Signal PINs e a trava de registro”, diz a empresa, que ainda ressalta que não pode consertar diretamente falhas que afetam o ecossistema de telefonia.

Para proteger os usuários que tiveram seus telefones expostos, o Signal desativou as sessões ativas, forçando a fazer o login novamente. A empresa também está enviando SMS com instruções sobre como proceder.

Com informações: Ars Technica, Bleeping Computer.