加密通訊軟體Signal的加密通訊技術不代表它能完全避免黑客入侵。Signal證實,它其中一個驗證合作公司Twilio發生資料外洩事件,導致約1,900名用戶的電話號碼和SMS代碼遭外洩。根據科技新聞網站TechCrunch觀察,黑客可能利用那些資料辨別Signal用戶或利用受害用戶的電話號碼在其他裝置重新註冊。
遭竊資料已被濫用。報道指,涉事者搜索三個電話號碼,並重新註冊其中一名用戶。Signal沒有儲存對話紀錄或聯絡人,故今次洩漏應該沒有外洩其他敏感資料。
Signal正採取步驟控制傷害程度。它將所有與受影響帳號作連結的裝置上的應用程式解除註冊,強迫用戶重新註冊。該公司又建議用戶啟動註冊鎖,以禁止任何人未有提供一個PIN碼下在其他裝置上重新註冊。
Twilio本月8日公佈外洩事件,幕後元兇迄今未被確定。報道指,黑客利用網絡釣魚方式取得登入資料,並存取125名用戶的帳號。雖然不清楚還有哪些用戶受影響,但從Twilio一般服務大型公司和組織的情況來看,恐有其他大公司受波及。
今次入侵事件增加對Signal跟隨其他加密通訊程式棄用電話號碼做法的壓力,因為電話號碼易受SIM卡交換攻擊(SIM swap)和其他網絡詐騙攻擊。今次事件亦再次提醒大家,那些系統只與其他技術合作夥伴同樣安全,第三方一次失誤的危險程度恐與直接攻擊看齊。本報訊
