Alrededor de 1900 cuentas de Signal Messenger fueron comprometidas en el hackeo de Twilio
Casi 1900 cuentas de Signal Messenger fueron comprometidas en el hackeo de Twilio
Twilio sufre un hackeo después de que sus empleados fueron víctimas de un ataque de phishing por SMS
Signal, el popular servicio de mensajería encriptada de extremo a extremo, reveló el lunes que el ataque cibernético dirigido a Twilio a inicios del mes pudo haber expuesto los números de teléfono de aproximadamente 1900 usuarios.
«Para unos 1900 usuarios, un atacante podría haber intentado volver a registrar su número en otro dispositivo o haberse enterado de que su número estaba registrado en Signal. Todos los usuarios pueden estar seguros de que su historial de mensajes, lista de contactos, información de perfil, a quién bloquearon y otros datos personales permanecen privados y seguros y no se vieron afectados», dijo la compañía.
Signal, que utiliza Twilio para enviar códigos de verificación por SMS a los usuarios que se registran en la aplicación, dijo que está en proceso de alertar directamente a los usuarios afectados y pedirles que vuelvan a registrar el servicio en sus dispositivos.
El desarrollo se produce menos de una semana después de que Twilio revelara que atacantes accedieron a los datos asociados con aproximadamente 125 cuentas de clientes por medio de un ataque de phishing que engañó a los empleados de la compañía para que entregaran sus credenciales. El incumplimiento se produjo el 4 de agosto.
En el caso de Signal, se cree que el actor de amenazas desconocido abusó del acceso para buscar explícitamente tres números de teléfono, seguido de volver a registrar una cuenta en la plataforma de mensajería usando uno de esos números, lo que permitió a la parte enviar y recibir mensajes de ese número de teléfono.
Como parte del aviso, la compañía también instó a los usuarios a habilitar el bloqueo de registro, una medida de seguridad adicional que requiere el PIN de Signal para registrar un número de teléfono con el servicio.
El proveedor de infraestructura web Cloudflare, que también fue afectado sin éxito por la sofisticada estafa de phishing, dijo que el uso de claves de seguridad físicas emitidas a cada empleado ayudó a impedir el ataque.
El phishing y otros tipos de ingeniería social se basan en el factor humano como el eslabón más débil en una brecha. Pero el último incidente también sirve para resaltar que los proveedores externos representan un riesgo similar para las empresas.
