Unos 1.900 usuarios de Signal se han visto afectados por la brecha de datos que han sufrido a través de un ataque de phishing que ha registrado el proveedor de servicios de comunicación Twilio. Así lo ha confirmado la app de mensajería que se convirtió en una alternativa a WhatsApp tras la noticia de que cambiaban la política de datos de sus usuarios.
Twilio es una empresa que presta a Signal los servicios de verificación de números de teléfono y notificó a la app de que había sufrido un ataque de phishing. Tras la investigación realizada por Signal, se pudo saber que el ataque provocó el acceso a la consola de atención al cliente de Twilio, afectando a unos 1.900 usuarios, cuyos números de teléfono fueron vistos como registrados en una cuenta de Signal.
Durante este ataque, es probable que los atacantes intentaran registrar los números de teléfono a los que accedieron en otro dispositivo, utilizando el código de verificación de SMS.
Signal ha confirmado que esta brecha de seguridad ha sido solucionada y que el atacante ya no tiene acceso a esta información.
Del mismo modo, la compañía ha explicado que el historial de mensajes se almacena en el dispositivo del usuario y que Signal no guarda una copia del mismo, por lo que esta información no se ha visto comprometida. Asimismo, ha prometido que las listas de contactos, información de perfil, a quién ha bloqueado el usuario y otra información sólo se puede recuperar con el PIN de Signal al que no se accedió durante este ataque.
Signal ha informado que para los usuarios afectados se cancelará el registro de Signal en todos los dispositivos que el usuario está utilizando actualmente, pidiéndoles que se vuelvan a registrar en Signal con su número de teléfono en su dispositivo preferido.
La compañía está informando a los afectados a través de un SMS y les recomienda habilitar el bloqueo de registro, que agrega una capa de verificación adicional al proceso de registro y que se puede realizar a través de Configuración de Signal (perfil), haciendo clic en Cuenta y luego seleccionando Bloqueo de Registro.