端到端加密消息应用程序开发商 Signal 刚刚披露:受上周通信巨头 Twilio 被入侵事件的影响,近 2000 名 Signal 用户的电话号码和短信验证码也遗憾被泄露。据悉,Twilio 有为 Signal 提供电话号码验证服务。Twilio 曾于 8 月 8 日表示,在对多名员工展开了网络钓鱼攻击后,黑客访问了 125 名客户的数据。 尽管 Twilio 没有公布受影响客户的确切名单,但 Signal 还是在周一主动公布了自己是其中之一,且不排除有更多大型组织受害。 Signal 在周一的一篇博客文章中披露,攻击者访问了 Twilio 的客户支持控制台。 至于受影响的大约 1900 名 Signal 用户,攻击者或试图将他们的号码重新注册到另一台设备上、或得知其号码已注册。 可知攻击者明确搜索了三个号码,且 Signal 收到了其中一位用户的报告,称其账户已被重新注册。 尽管攻击者没有更进一步地染指 Signal 并不存储的历史消息记录、或受用户个人 PIN 码保护的联系人列表与个人资料信息。 但若他们能够重新注册一个账户,便可利用该号码来收发 Signal 消息。有鉴于此,该公司正建议用户在当前使用的所有设备上取消注册。 同时用户需激活“注册锁”,该功能可防止账户在没有用户安全 PIN 码的情况下,于另一台设备上重新注册。 最后,尽管 Twilio 漏洞影响了 4000 多万 Signal 用户中的一小部分,但用户还是对这家加密消息传递服务提供商有长期的抱怨。 即使 Signal 正缓慢抛开对电话号码的依赖(比如在 2020 年推出的 Signal PIN),但以 Wire 为代表的其它端到端加密通讯 App 早已允许通过用户名进行注册。 但愿在本次 Twilio 信息泄露事件之后,Signal 能够加快其行动的脚步。
