上周，不明攻擊者入侵通信服務公司Twilio的系統后，將Signal用戶作為攻擊目標。

Twilio是一家云通信公司，為其他公司提供基礎設施，Twilio公司致力于幫助開發者在其應用里融入電話、短信等功能，讓它們自動向用戶發送短信。通過入侵Twilio系統，黑客可以向受害者發送短信，并讀取他們的短信。這可能讓黑客有機會接管使用Twilio服務的任何受害者的電話號碼綁定的賬戶。

至關重要的是，Twilio為加密的消息應用Signal提供文本驗證服務。當用戶用Signal注冊他們的電話號碼時，Twilio會向他們發送一條包含驗證碼的短信，然后他們將驗證碼輸入到Signal。據使用Twilio發送帶有驗證碼的短信的Signal公司透露，它是這次攻擊的目標之一。Signal特別指出，黑客攻擊了該公司約1900名用戶。這意味著，對于這些用戶來說，黑客可能已經在他們自己的設備上注冊了他們的號碼并基本上冒充了他們，或者截獲了 Signal 用于注冊用戶的 SMS 驗證碼。

好消息是由于 Signal 的設計方式，即使黑客使用受害者的電話號碼注冊他們的帳戶，他們也無法訪問大量信息。

Signal目前對該攻擊的回復如下：

重要的是，這并沒有讓攻擊者獲得任何信息歷史記錄、個人資料或聯系人列表。消息歷史記錄只存儲在你的設備上，Signal不會保留它的副本。你的聯系人列表，個人信息，你已經屏蔽的人，以及更多只能通過你的Signal PIN恢復，而在這次事件中，Signal PIN沒有(也不能)被訪問。但是，如果攻擊者能夠重新注冊帳戶，他們就可以從該電話號碼發送和接收 Signal 消息。

換句話說，黑客可以冒充受害者，但不會有他們的聯系方式或信息。

在攻擊者可以訪問 Twilio 的客戶支持系統的窗口期間，他們可能會嘗試使用SMS驗證碼將他們訪問的電話號碼注冊到另一臺設備。則攻擊者不再擁有這種訪問權限，并且攻擊已被 Twilio 關閉。

在這1900個電話號碼中，攻擊者搜索到了三個號碼，我們收到了其中一個受害者的投訴，稱他的賬戶已被重新注冊了。

根據投訴，黑客能夠在 13 小時內接管受害者在 Signal 上的號碼。

美國東部時間8月7日(周日)凌晨2點43分，本文所講的其中一位受害者收到了一條短信:“你的信號驗證碼已被(修訂)。”當他意識到發生了什么的時候，就立即通知了兩位數字安全專家朋友，并聯系了Signal。當時還不清楚發生了什么。

那時，Twilio還沒有透露泄露的消息，Signal也沒有對受害者公開或私下說過任何事情，所以我們不知道發生了什么。受害者讓手機供應商檢查他是否換了SIM卡，但沒有任何受到攻擊的跡象。受害者還查看了其所有的重要賬戶，看看是否有任何攻擊的跡象，但是，同樣，沒有任何攻擊或闖入的跡象。如果沒有 Signal 的調查結果，我們無法真正知道發生了什么。

根據調查，受害者無法立即進入其使用Signal的設備，直到美國東部時間當天下午5:20才能重新注冊其賬戶。這意味著，在大約13個小時的時間里，黑客無法訪問受害者的聯系人或關于他的任何消息內容，但他們可以在Signal上冒充受害者，給假裝是受害者的人發消息。

一旦重新注冊了帳戶，攻擊者就無法進行任何活動了，并阻止他們使用受害者的帳戶。然后，受惠者啟用了“注冊鎖定”(Registration Lock)功能，確保不會發生類似操作。“注冊鎖定”是一項信號功能，要求用戶用“注冊鎖定”(Registration Lock)注冊一個號碼，以提供用戶的PIN碼。此外，在這個案例中，因為受害者用Signal設置了個人密碼，黑客無法訪問其聯系人。

通過剛剛那個案例，我們要提醒用戶：要打開Signal的注冊鎖定功能，它可以防止黑客在沒有你的Signal PIN碼的情況下在他們的設備上注冊你的號碼。像Twilio被黑這樣的事件也提醒我們，依賴短信進行驗證的服務很容易受到攻擊。重要的是要盡可能啟用每一個安全功能。

通過該事件，讓人覺得可怕的不僅僅是Signal的影響。任何平臺或服務都可能被操縱，將驗證證書交給攻擊者。目前，盡管各種服務在我們經過驗證后都采取了保護措施來保護我們的賬戶，但現在正是這些賬戶最容易被攻擊利用的時候。

如果你收到Signal發送的短信，其中包含這篇支持文章的鏈接，請按照以下步驟操作：

1.在你的手機上打開 Signal，如按照提示請重新注冊Signal 帳戶。

2.為了最好地保護你的帳戶，我們強烈建議在應用程序的設置中啟用注冊鎖定。創建此功能是為了保護用戶免受 Twilio 攻擊等威脅。

本文翻譯自：https://www.vice.com/en/article/qjkvxv/how-a-third-party-sms-service-was-used-to-take-over-signal-accounts如若轉載，請注明原文地址。