Konten von rund 1900 Nutzern des Messengers Signal könnten Ziel etwa von versuchtem Identitätsdiebstahl geworden sein.
Während des Zeitraums, in dem die Einbrecher Zugang zu Twilios Systemen hatten, war es ihnen zudem möglich, eine Re-Registrierung der Telefonnummer auf ein anderes Gerät mittels der SMS-Verifikationsnummer vorzunehmen. Unter den 1900 Telefonnummern hätten die Angreifer explizit nach drei bestimmten gesucht. Von einem der betroffenen Nutzer hat Signal eine Meldung erhalten, dass dessen Konto re-registriert wurde.
Die Angreifer haben dadurch jedoch keinen Zugriff auf den Nachrichtenverlauf, Profilinformationen oder Kontaktlisten erhalten. Diese lägen ausschließlich auf den genutzten Geräten beziehungsweise benötigten die Signal-PIN zur Wiederherstellung. Sie hätten jedoch Signal-Nachrichten mit dem gekaperten Nutzerkonto senden und empfangen können.
Nutzer könnten betroffen sein, wenn sie eine Nachricht beim Öffnen von Signal erhalten haben, dass ihr Gerät deregistriert wurde. Dies kann jedoch auch andere Ursache wie eine längere nicht-Nutzung haben.
Signal hat in den Einstellungen unter "Konto" eine Registrierungssperre. Nach Aktivierung ist die Signal-PIN zur Registrierung nötig.
(Bild: Screenshot)
In den Signal-Einstellungen findet sich die Registrierungssperre unter "Konto". Bei aktivierter Funktion müssen Nutzer bei der (Re-)Registrierung einer Telefonnummer die Signal-PIN eingeben.
Bei der Aktivierung erhalten Nutzer den Hinweis, dass bei der (Re-)Registrierung bei Verlust der PIN das Konto eine Woche gesperrt wird.
(Bild: Screenshot)
Sollte ein Nutzer bei einer erneuten Registrierung keine gültige PIN eingeben können, sperrt Signal das Konto für sieben Tage. Ein Hinweis bei der Aktivierung der Funktion warnt davor.
Auch WhatsApp-Nutzer können einen ähnlichen Schutz aktivieren. Dort gibt es unter "Einstellungen" - "Account" die Funktion "Verifizierung in zwei Schritten". Damit erzwingen Nutzer die Abfrage einer selbst gewählten, sechsstelligen PIN bei einer erneuten Registrierung einer Telefonnummer. Durch die Angabe einer E-Mail-Adresse kann jedoch bei Verlust der PIN eine Wiederherstellung darüber erfolgen. Ohne diese Backup-Funktion müssen Nutzer bei Verlust mit einer einwöchigen Sperre bis zum möglichen PIN-Reset warten.
Quelle: heise
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, den Signal für die Verifizierung von Telefonnummern einsetzt, hatten die Cyberkriminellen Zugriff auf zugehörige Informationen.Folgen des Twilio-Einbruchs
Signal erläutert, dass Angreifer Zugriff auf Twilios Kundensupport-Systeme erhalten hatten und dabei von etwa 1900 Signal-Nutzern die Telefonnummern einsehen konnten. Daraus ließ sich die Information extrahieren, dass diese Nummern zur Registrierung eines Signal-Kontos genutzt wurden sowie der dazugehörige SMS-Verifikationscode.Während des Zeitraums, in dem die Einbrecher Zugang zu Twilios Systemen hatten, war es ihnen zudem möglich, eine Re-Registrierung der Telefonnummer auf ein anderes Gerät mittels der SMS-Verifikationsnummer vorzunehmen. Unter den 1900 Telefonnummern hätten die Angreifer explizit nach drei bestimmten gesucht. Von einem der betroffenen Nutzer hat Signal eine Meldung erhalten, dass dessen Konto re-registriert wurde.
Die Angreifer haben dadurch jedoch keinen Zugriff auf den Nachrichtenverlauf, Profilinformationen oder Kontaktlisten erhalten. Diese lägen ausschließlich auf den genutzten Geräten beziehungsweise benötigten die Signal-PIN zur Wiederherstellung. Sie hätten jedoch Signal-Nachrichten mit dem gekaperten Nutzerkonto senden und empfangen können.
Nutzer könnten betroffen sein, wenn sie eine Nachricht beim Öffnen von Signal erhalten haben, dass ihr Gerät deregistriert wurde. Dies kann jedoch auch andere Ursache wie eine längere nicht-Nutzung haben.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Signal hat in den Einstellungen unter "Konto" eine Registrierungssperre. Nach Aktivierung ist die Signal-PIN zur Registrierung nötig.
(Bild: Screenshot)
Schutzmaßnahmen vor Angriffen
Signal hat die aktuell genutzten Geräte zu allen rund 1900 Konten deregistriert und eine erneute Registrierung angefordert. Zudem erhalten alle Betroffenen eine SMS-Nachricht zu dem Vorfall. Die Aktion soll am Dienstag dieser Woche abgeschlossen sein. InDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, dass die Registrierungssperre und Signal-PIN vor solchen Angriffen schützen.In den Signal-Einstellungen findet sich die Registrierungssperre unter "Konto". Bei aktivierter Funktion müssen Nutzer bei der (Re-)Registrierung einer Telefonnummer die Signal-PIN eingeben.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Bei der Aktivierung erhalten Nutzer den Hinweis, dass bei der (Re-)Registrierung bei Verlust der PIN das Konto eine Woche gesperrt wird.
(Bild: Screenshot)
Sollte ein Nutzer bei einer erneuten Registrierung keine gültige PIN eingeben können, sperrt Signal das Konto für sieben Tage. Ein Hinweis bei der Aktivierung der Funktion warnt davor.
Auch WhatsApp-Nutzer können einen ähnlichen Schutz aktivieren. Dort gibt es unter "Einstellungen" - "Account" die Funktion "Verifizierung in zwei Schritten". Damit erzwingen Nutzer die Abfrage einer selbst gewählten, sechsstelligen PIN bei einer erneuten Registrierung einer Telefonnummer. Durch die Angabe einer E-Mail-Adresse kann jedoch bei Verlust der PIN eine Wiederherstellung darüber erfolgen. Ohne diese Backup-Funktion müssen Nutzer bei Verlust mit einer einwöchigen Sperre bis zum möglichen PIN-Reset warten.
Quelle: heise
