Une attaque de phishing contre le géant des communications Twilio a conduit à une compromission de la confidentialité de Signal pour environ 1 900 utilisateurs. Leurs numéros de téléphone ont été exposés, ainsi que des codes de vérification par SMs qui permettraient à un attaquant d’enregistrer des comptes sur un nouvel appareil…
Arrière plan
Twilio fournit une gamme de services aux développeurs d’applications, y compris la fourniture de fonctionnalités vocales et SMs. Dans le cas de Signal, l’application de messagerie sécurisée a utilisé Twilio pour vérifier les numéros de téléphone des nouveaux utilisateurs.
Twilio a révélé la semaine dernière avoir été victime d’une attaque de phishing, permettant à un attaquant d’accéder aux comptes clients.
Le 4 août 2022, Twilio a pris connaissance d’un accès non autorisé à des informations liées à un nombre limité de comptes clients Twilio grâce à une attaque d’ingénierie sociale sophistiquée conçue pour voler les informations d’identification des employés. Cette attaque à grande échelle contre notre base d’employés a réussi à tromper certains employés pour qu’ils fournissent leurs informations d’identification. Les attaquants ont ensuite utilisé les informations d’identification volées pour accéder à certains de nos systèmes internes, où ils ont pu accéder à certaines données client. Nous continuons à informer et travaillons directement avec les clients qui ont été touchés par cet incident. Nous sommes encore au début de notre enquête, qui est en cours.
C’était une défaillance de sécurité embarrassante étant donné que le phishing semblait n’être rien de plus qu’un message texte extrêmement simple affirmant que les employés de Twilio devaient changer leur mot de passe.
Remarquer! La connexion
a expiré. Veuillez appuyer sur twilio-sso.com pour mettre à jour votre mot de passe !
Impact sur la confidentialité de Signal
L’utilisation de Twilio par Signal pour la vérification des numéros de téléphone signifiait que certains numéros de téléphone d’utilisateurs étaient exposés. Dans certains cas, l’attaquant a tenté de réenregistrer son numéro de téléphone sur un autre appareil.
La société l’a divulgué dans un article de blog et a déclaré qu’elle contactait les utilisateurs concernés.
Pour environ 1 900 utilisateurs, un attaquant aurait pu tenter de réenregistrer leur numéro sur un autre appareil ou apprendre que leur numéro était enregistré sur Signal. Cette attaque a depuis été stoppée par Twilio. 1 900 utilisateurs représentent un très petit pourcentage du nombre total d’utilisateurs de Signal, ce qui indique que la plupart n’ont pas été affectés.
Nous informons directement ces 1 900 utilisateurs et les invitons à réenregistrer Signal sur leurs appareils.
Étant donné que l’attaquant pourrait également accéder aux codes SMs 2FA pour ces numéros de téléphone, cela lui donnerait la possibilité d’enregistrer le compte sur un nouvel appareil. Il n’est pas clair si cela s’est réellement produit.
Un attaquant a eu accès à la console d’assistance client de Twilio par hameçonnage. Pour environ 1 900 utilisateurs, soit 1) leurs numéros de téléphone ont été potentiellement révélés comme étant enregistrés sur un compte Signal, soit 2) le code de vérification SMs utilisé pour s’inscrire auprès de Signal a été révélé.
Pendant la fenêtre où un attaquant avait accès aux systèmes d’assistance client de Twilio, il lui était possible d’essayer d’enregistrer les numéros de téléphone auxquels il avait accédé sur un autre appareil à l’aide du code de vérification SMs. L’attaquant n’a plus cet accès et l’attaque a été stoppée par Twilio.
L’entreprise a pris soin de souligner qu’aucun message ou autre donnée personnelle n’a été exposé.
Tous les utilisateurs peuvent être assurés que l’historique de leurs messages, leurs listes de contacts, leurs informations de profil, les personnes qu’ils ont bloquées et d’autres données personnelles restent privées et sécurisées et n’ont pas été affectées.
Dans le cas peu probable où votre compte Signal serait affecté, la société vous enverra un SMs au plus tard à la fin de la journée, vous demandant de vous réinscrire. Cela devrait être fait dans l’application Signal ; vous ne devez bien sûr jamais cliquer sur un lien dans un message texte inattendu, une leçon que certains employés de Twilio devraient apprendre.
La semaine dernière également, Twitter a finalement confirmé que les détails du compte avaient été exposés par un attaquant profitant d’une vulnérabilité découverte en janvier.
Photo : Adem AY/Unsplash
Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :
