Twilioのフィッシング攻撃者、Signal ユーザー 1,900 人分の電話番号を取得した可能性 6
ストーリー by nagazou
フィッシング 部門より
フィッシング 部門より
headless 曰く、
先日発生したフィッシング攻撃による Twilio の情報流出で、攻撃者がメッセージングアプリ Signal のユーザーおよそ 1,900 人分の携帯電話番号や SMS 認証コードを取得した可能性があるそうだ (Signal Support の記事、 The Verge の記事、 Ars Technica の記事、 The Register の記事)。
Signal は Twilio の電話番号認証サービスを利用しており、攻撃者は Twilio がアクセスをブロックするまでの間、取得した電話番号と SMS 認証コードを用いて別のデバイスへの登録を試みた可能性がある。攻撃者は明示的に 3 ユーザーの電話番号を検索しており、そのうちの一人からアカウントの再登録が行われたとの報告を受けているとのこと。
これを受けて Signal では影響を受けた可能性のあるおよそ 1,900 人分のデバイスを登録解除し、引き続き使用するデバイスでの再登録を求めたほか、SMS での通知も行ったという。再登録の要請は 8 月 15 日に行い、16 日には完了したそうだ。メッセージ履歴や連絡先、ユーザープロファイルなどの情報は読み取られていないが、攻撃者がアカウントの再登録に成功していた場合はそのアカウントからメッセージの送受信が行われた可能性がある。
Signal では Twilio やその他のプロバイダーとセキュリティプラクティスの改善を進めているが、ユーザーが自ら防御する方法として登録ロックの使用を推奨している。
この手のものは匿名性(笑)だからなぁ (スコア:0)
匿名性ならSignalやTelegramって思われがちだけど
登録に電話番号必須な時点で根本的に匿名性はないんよね
売りはe2e暗号化で身バレ上等だが会話は秘匿必須ってことが意図的に周知されとらんのよね
まぁサーバーハックで流出にそこの脆弱さは関係ないけど
そもそも電話番号必須にしてせず捨てアドのみで可になってない時点で
漏れ得る情報を登録しているってことに留意して使わんとなぁ
# この手のもの用のインスタント電話番号も有るけどイタチゴッコだし
Re: この手のものは匿名性(笑)だからなぁ (スコア:0)
どうしてこの手のサービスが登録時に電話番号認証を求めるのか理解できないんですけど、SPAM対策として比較的手軽だからですかねぇ
Re: (スコア:0)
IDだけで使われちゃうと犯罪の温床になってイメージダウンになっちゃうからじゃないかな
Re: この手のものは匿名性(笑)だからなぁ (スコア:0)
> 匿名性ならSignalやTelegram
って,すくなくともそんなことご本人 (Signal や Telegram) は主張してないよね。
たとえば犯罪グループで使用されるって指摘もあるけど,それは匿名性ではなくて秘匿性が重視されているんじゃないかな。
Re: (スコア:0)
そう主張していなくても何となくそう思われて、かつ開発側自身が否定しないっていうのはよくあることなんよ
だから注意を促してくれたんでしょ元コメは
Re: (スコア:0)
普通犯罪目的でアカウント作るなら自分の電話で認証しないだろうけど