El popular servicio de mensajería cifrada de extremo a extremo Signal reveló el lunes que el ciberataque dirigido a Twilio a principios de este mes podría haber expuesto los números de teléfono de aproximadamente 1.900 usuarios.
La brecha se produjo el 4 de agosto y la noticia llega menos de una semana después de que Twilio revelara que actores maliciosos accedieron a los datos asociados a unas 125 cuentas de clientes a través de un ataque de phishing que engañó a los empleados de la empresa para que entregaran sus credenciales.
"En el caso de unos 1.900 usuarios, un atacante podría haber intentado volver a registrar su número en otro dispositivo o haberse enterado de que su número estaba registrado en Signal", dijo la compañía. "Todos los usuarios pueden estar seguros de que su historial de mensajes, listas de contactos, información de perfil, a quién habían bloqueado y otros datos personales siguen siendo privados, seguros y no se vieron afectados".
Signal, que utiliza Twilio para enviar códigos de verificación por SMS a los usuarios que se registran en la aplicación, dijo que está en proceso de alertar directamente a los usuarios afectados y de pedirles que vuelvan a registrar el servicio en sus dispositivos.
El desconocido actor de la amenaza habría abusado del acceso de Signal, para buscar explícitamente tres números de teléfono, seguido de un nuevo registro de una cuenta en la plataforma de mensajería utilizando uno de esos números, lo que le permitió enviar y recibir mensajes desde ese número de teléfono.
Como parte del aviso, la compañía también ha instado a los usuarios a activar el bloqueo de registro, una medida de seguridad adicional que requiere el PIN de Signal para registrar un número de teléfono en el servicio.
El proveedor de infraestructura web Cloudflare, que también fue blanco infructuoso de la sofisticada estafa de phishing, dijo que el uso de llaves de seguridad físicas entregadas a cada empleado le ayudó a impedir el ataque.
La suplantación de identidad y otros tipos de ingeniería social se basan en el factor humano como el eslabón más débil de una brecha. Pero el último incidente también sirve para poner de manifiesto que los proveedores de terceros también suponen un riesgo para las empresas.
El suceso subraya aún más los peligros de confiar en los números de teléfono como identificadores únicos, ya que la tecnología es susceptible de intercambiar las SIM, lo que permite a los malos actores llevar a cabo ataques de toma de posesión de cuentas y transacciones monetarias ilícitas.