Twilio zajmuje się komunikacją w chmurze i udostępnia innym firmom infrastrukturę do automatyzacji wysyłania wiadomości tekstowych do ich użytkowników. Gdy użytkownik zarejestruje swój numer telefonu w Signal, Twilio wysyła mu SMS-a z kodem weryfikacyjnym, który następnie wprowadza do Signal.

Jak wskazuje Vice w poniedziałek Signal, który wykorzystuje Twilio do dostarczania wiadomości tekstowych z kodami weryfikacyjnymi, ujawnił, że był jednym z celów tego ataku. W szczególności Signal powiedział, że hakerzy zaatakowali około 1900 użytkowników. Oznacza to, że w przypadku tych użytkowników hakerzy mogli zarejestrować swoje numery na własnym urządzeniu i zasadniczo podszywać się pod nich lub przechwycić kod weryfikacyjny SMS, którego używa Signal do rejestracji użytkowników.

Dobra wiadomość: ze względu na sposób, w jaki zaprojektowany jest Signal, nawet jeśli haker zarejestruje swoje konto z numerem telefonu ofiary, nie uzyska dostępu do wielu informacji.

Więcej informacji na ten temat https://www.vice.com/en/article/qjkvxv/how-a-third-party-sms-service-was-used-to-take-over-signal-accounts