Dados de 1900 usuários do Signal foram expostos em hack
Signal disse que números de telefone foram coletados por hacker e houve confirmação de mau uso das informaçõesBy - Rafael Arbulu, 16 agosto 2022 às 11:46
Uma invasão executada por hacker acabou expondo os números de telefones de aproximadamente 1,9 mil usuários do Signal, o app de mensagens instantâneas que concorre com WhatsApp e Telegram. O pior: o ataque não foi nem contra o Signal, mas sim direcionado ao Twilio, que é parceiro da empresa para a verificação de identidade via SMS e número telefônico.
De acordo com as informações postadas no fórum de segurança do Signal, a invasão ocorreu na última semana, e há pelo menos uma instância dos dados coletados pelo hacker sendo usados para fazer o recadastramento de um usuário. Felizmente, o Signal não armazena listas de contatos nem tampouco históricos de mensagens – estes dois pilares ficam armazenados localmente no aparelho de seus usuários por senha específica -, então é pouco provável que informações mais sigilosas estejam em risco.
Segundo o alerta publicado:
“Para cerca de 1900 usuários, um invasor pode ter tentado recadastrar seus números para outro dispositivo ou descobriu que seus números estavam registrados como usuários do Signal. Entre os 1900 números telefônicos, o invasor explicitamente procurou por três contatos específicos, e recebemos um relato de um destes três usuários teve sua conta recadastrada.”
Apesar de não oferecer risco ao histórico de usuários, uma conta recadastrada permitiria ao hacker usar o app sob a identidade da vítima afetada, dentro de um dispositivo que ele controle – efetivamente, isso abre espaço para golpes de falsificação de identidade sejam executados, como a clonagem de contas.
Como medida de segurança, a empresa afirmou que vai descadastrar os números telefônicos potencialmente afetados que a empresa identificar como um recadastro, ressaltando que pedirá aos usuários destes números que refaçam os cadastros e reconfigurem suas práticas de proteção. Ela também recomenda o uso da função de trava de credenciamento, que justamente impede que uma conta seja recadastrada em outro aparelho sem a identificação do proprietário dela.
Apesar de posicionar com uma opção de app de mensagens mais segura que o WhatsApp ou o Telegram, diversos usuários do Signal reclamam do fato do programa exigir um número de telefone para credenciamento de novas contas – outras opções de apps do gênero, como o Wire, fazem esse cadastro apenas com um nome de usuário, efetivamente protegendo a privacidade dos usuários.
Fonte: Signal (via Techcrunch)
Comentários