Quell’attacco di phishing che ha perforato anche la fortezza inespugnabile di Signal

L’attacco non è avvenuto in maniera diretta, anzi, ha sfruttato il servizio attraverso cui Signal – nota app di messaggistica istantanea che ha fatto della sicurezza delle conversazioni il suo tratto caratteristico – invia codici di verifica per i nuovi iscritti ai suoi servizi. In particolare, si parla di un data breach Signal che ha riguardato 1900 utenti, un «numero molto limitato rispetto agli utenti totali», ricorda l’app di messaggistica istantanea, che comunque ha messo in evidenza – in una rara circostanza – una vulnerabilità significativa del servizio.

LEGGI ANCHE > Elon Musk e i DM su Twitter come i messaggi su Signal

Data breach Signal: cosa è successo e perché l’attacco di phishing ha colpito l’app sicura

Quando gli utenti si iscrivono a Signal, solitamente, ricevono degli sms con dei codici di verifica per poter completare il percorso di sottoscrizione. Questi messaggi vengono inviati da una società terza, di cui Signal si serve: si tratta di Twilio, che ha come core business proprio quello di gestire l’invio di grandi quantitativi di sms. È stato proprio Twilio il tallone d’Achille della filiera: un attacco di phishing ha preso di mira una serie importanti di dati in possesso di quest’azienda. E nell’attacco di phishing ci sono finiti anche i famosi 1900 utenti di Signal. Che, adesso, sono stati identificati e ai quali arriveranno delle indicazioni su come tutelare i propri account.

Signal, in una comunicazione molto trasparente su Twitter, ha spiegato quali potrebbero essere gli effetti di questo data breach e quali sono state le vulnerabilità riscontrate: «La cronologia dei messaggi (degli utenti che sono stati oggetto del furto di dati, ndr), le informazioni sul profilo, gli elenchi di contatti e altri dati NON erano e non saranno accessibili. Le informazioni a cui accedono gli aggressori potrebbero consentire loro di tentare di registrare il numero di telefono di un utente di Signal su un nuovo dispositivo, nel caso in cui quell’utente non avesse abilitato il blocco della registrazione». In effetti, questo è stato possibile dal modo in cui Signal è stata costruita. Nessuno, nonostante fosse in possesso del numero di telefono, potrà accedere alla cronologia delle chat o all’elenco dei contatti perché la prima è archiviata interamente sui dispositivi degli utenti. Per accedere agli elenchi di contatti, ai dettagli del profilo e ad altri dati utente si richiede, invece, un PIN appositamente inviato da Signal. Un metodo blindato che, però, è stato perforato da questa vulnerabilità di Twilio.

Ora, l’obiettivo di Signal è che questi 1900 utenti identificati possano registrare nuovamente il loro account, in modo tale da superare il data breach, e possano abilitare il blocco della registrazione per evitare che qualcun altro possa effettivamente utilizzare il loro numero di telefono su un nuovo dispositivo. Nel frattempo, l’azienda ha garantito che, nei prossimi giorni, lavorerà con tutti i suoi partner (pur non avendo responsabilità dirette su questo) per migliorare le condizioni di sicurezza dei vari servizi non erogati direttamente da Signal.