云计算通信平台Twilio在8月7日坦承遭到黑客入侵,黑客通过网络钓鱼短信取得了Twilio员工的登录凭证,并窃取了客户资料,而采用Twilio服务进行电话号码认证的Signal则表示,约有1,900名用户受到Twilio黑客事件的波及。
Signal说明,黑客取得了进入Twilio客户支持控制台的凭证,访问了1,900名Signal用户的资讯,也许是用来注册Signal账号的电话号码,或者是用来注册Signal账号的短信认证码;黑客可能会企图利用所取得的电话号码注册另一设备,而且至少有3个电话号码遭到实际的攻击,这些用户发现他们的账号被重新注册。
由于Signal为一端对端加密程序,且系统并不访问用户的往来资料,因此,就算用户的电话号码遭到滥用,其通信历史记录、个人文件或通讯录也都仅存放在设备端,而不会被访问。
只是,倘若黑客成功以受害者的电话号码重新注册了账号,就能以该电话号码发送及接收Signal消息。
Signal已经撤销这1,900名用户于所有设备上的Signal账号,并要求他们重新以自己的电话号码及设备注册,也强烈建议用户激活“注册锁”(Registration Lock)功能,它会在用户再度尝试以同一号码注册Signal时要求输入PIN码,得以对抗这类的安全问题。Signal表示,因为该平台无法直接修补电信生态体系的问题,只能借由安全设置来保障用户安全。