App

Signal conferma una violazione dei dati: 1.900 numeri di telefono trafugati

Alessandro Nodari
Alessandro Nodari
Signal conferma una violazione dei dati: 1.900 numeri di telefono trafugati

Si dice spesso che un sistema è forte quanto il suo anello più debole, e questo è tanto più vero per un'app di messaggistica come Signal, che ha fatto della sicurezza e della tutela della privacy il suo cavallo di battaglia.

La popolare app, che ha sposato la filosofia open source e da qualche anno è sempre più popolare (pur con qualche timore) tra gli utenti in fuga da WhatsApp, è infatti appena stata travolta da una fuga di dati di un suo partner, Twillio, usato per la verifica degli account.

Segui SmartWorld su News

Danni limitati, ma un chiaro ammonimento

Lo scorso 8 agosto infatti Twillio, che fornisce servizi di verifica del numero di telefono a Signal, ha dichiarato che alcuni malintenzionati hanno avuto accesso ai dati di 125 clienti dopo aver effettuato con successo degli attacchi di phishing contro più dipendenti. Twilio non ha rivelato i nomi dei clienti, ma è probabile che includano grandi organizzazioni, dopo che Signal lunedì ha confermato essere una delle vittime.

Nel suo comunicato ufficiale infatti, l'app di messaggistica ha annunciato che avrebbe informato circa 1.900 utenti i cui numeri di telefono o codici di verifica SMS sono stati rubati dopo che gli aggressori hanno ottenuto l'accesso alla console di assistenza clienti di Twilio.

Sebbene questo non abbia consentito ai malintenzionati l'accesso alla cronologia dei messaggi, che Signal non memorizza, o agli elenchi di contatti e informazioni del profilo, che sono protette dal PIN di sicurezza dell'utente, Signal ha affermato che "nel caso in cui un utente malintenzionato sia in grado di ri-registrare un account, potrebbe inviare e ricevere messaggi di Signal da quel numero di telefono". E questo è quello che è appunto successo, in quanto il malintenzionato ha cercato tre numeri di telefono e in un caso è riuscito a registrarsi con l'account di un altro utente su un dispositivo. 

Signal ha subito avviato delle procedure di sicurezza, come l'annullamento della registrazione all'app su tutti i dispositivi collegati agli account interessati, il che costringerà gli utenti a registrarsi nuovamente.

Il team ha anche consigliato di abilitare un blocco della registrazione che impedisca a chiunque di registrarsi nuovamente su altri dispositivi senza fornire un codice PIN.

Ma la storia, per quanto limitata a pochi utenti, contiene un forte ammonimento. Da tempo infatti gli utenti di Signal, considerata una delle app di messaggistica più sicure, si lamentano del fatto che richieda agli utenti di registrare un numero di telefono per creare un account. Altre app di crittografia end-to-end, come Wire, consentono agli utenti di registrarsi con un nome utente. Sebbene Signal stia lentamente ponendo fine alla sua dipendenza dai numeri di telefono, come con l'introduzione dei PIN nel 2020, questo incidente probabilmente riaccenderà le voci affinché si muova più velocemente.