網路服務和應用往往由不同供應商組成,因此系統安全牽一髮動全身,有時不是自己系統被入侵,而是上游遭攻擊。最近大型雲端通訊平台 Twilio 被駭,連帶客戶 Signal 也受影響。
雲端通訊平台供應商 Twilio 早前遭釣魚攻擊,駭客利用假訊息誘使 Twilio 員工「更改內部系統密碼」,成功取得客戶支援系統的登入憑證,竊取客戶資料。受影響最嚴重的就是即時訊息平台 Signal,遭不當存取的是登入 Signal 的 SMS 驗證碼,約 1,900 名 Signal 用戶驗證碼被竊,攻擊者可登入用戶帳號。
Signal 回應,攻擊者嘗試用這方式登入 3 個帳戶,帳戶之一成功登入。為了防止影響擴大,停止受影響 1,900 個帳戶,要求重新註冊避免落入又被竊。Signal 也鼓勵用戶啟用 Signal PIN,就算突破 SMS 驗證,也仍然需要輸入 PIN 密碼才能登入。
We have identified and are contacting the 1,900 potentially affected users. We are prompting them to re-register their Signal numbers and encouraging them to enable registration lock. We are also working with Twilio to ensure they upgrade their security practices. 3/
— Signal (@signalapp) August 15, 2022
(本文由 Unwire Pro 授權轉載;首圖來源:Signal)
科技新報粉絲團
加入好友
訂閱免費電子報
