Mesajlaşma uygulaması Signal'de yüzlerce kullanıcı bilgisi çalındı
TEKNOLOJİ Haberleri / TechCrunch
Uçtan uca şifreli mesajlaşma uygulaması Signal, siber saldırganların geçtiğimiz hafta iletişim devi Twilio'daki ihlalin ardından bin 900 Signal kullanıcısının telefon numaralarına ve SMS doğrulama kodlarına eriştiğini açıkladı.
Signal platformuna telefon numarası doğrulama hizmetleri sağlayan Twilio, 8 Ağustos'ta bilgisayar korsanlarının birden fazla çalışana yönelik başarılı kimlik avı yaptıktan sonra 125 müşterinin verilerine eriştiğini açıkladı. Twilio müşterilerin kim olduğunu söylemezken Pazartesi günü Signal'in veri ihlali yaşayan müşteriler arasında olduğu ortaya çıktı. WhatsApp ve Telegram’ın en büyük rakiplerinden Signal, yaptığı yazılı açıklamada, hackerların Twilio'nun müşteri destek konsoluna eriştiğini ve bin 900 Signal kullanıcısının telefon numaraları ile SMS doğrulama kodlarının çalındığını duyurdu.
Mesajlaşma platformu Signal, “Saldırgan, yaklaşık bin 900 kullanıcının numaralarını başka bir cihaza yeniden kaydetmeye çalışabilir. Bin 900 telefon numarası arasında, saldırgan açıkça üç numara aradı ve bu üç kullanıcıdan birinden hesaplarının yeniden kaydedildiğine dair bir rapor aldık.” şeklinde bir açıklama yaptı.
SİGNAL'DEN KULLANICILARA UYARI
Peki, siber sonucu kullanıcı bilgilerini çalan hacker elde ettiği bilgiler ile ne yapabilir? Bu durum, saldırganın Signal'in depolamadığı mesaj geçmişine veya kullanıcının güvenlik PIN'i ile korunan kişi listelerine ve profil bilgilerine erişmesine izin vermez. Ancak bir hesap açabilir ve o numara üzerinden mesajlaşabilir.
Şirket, bin 900 kullanıcının şu anda kullandığı veya saldırgan tarafından kaydedilen tüm cihazlardaki kaydın kaldırılacağını belirtti. Ardından isterlerse kullanıcılar Signal'i kendi cihazlarında telefon numaralarıyla yeniden kaydedebilecek.
Signal, bir hesabın kullanıcının güvenlik PIN'i olmadan başka bir cihazda yeniden kaydedilmesini önleyen ‘kayıt kilidi’ özelliğini açmalarını önerdi.
Twilio veri ihlali, Signal'in 40 milyondan fazla kullanıcısının bir kısmını etkilese de kullanıcılar uzun süredir en güvenli mesajlaşma uygulamalarından biri olarak kabul edilen Signal'in hesap oluşturmak için kullanıcıların bir telefon numarası kaydetmesini gerektirdiğinden yakınıyor.
Wire gibi diğer uçtan uca şifreleme uygulamaları, kullanıcıların bir kullanıcı adıyla kaydolmasına olanak tanır. Signal, 2020'de Signal PIN'lerinin tanıtılması gibi telefon numaralarına olan bağımlılığını sona erdirmek için yavaş yavaş hareket etse de, bu olay muhtemelen daha hızlı hareket etmesine yol açacak.
'da Takip Edin!
