Akun sekitar 1.900 pengguna messenger Signal bisa menjadi target upaya peniruan identitas. Ketika penyedia layanan Twilio, yang digunakan Signal untuk memverifikasi nomor telepon, dibobol dan mungkin dicuri data minggu lalu, penjahat dunia maya memperoleh akses ke informasi terkait.
Akibat dari pencurian Twilio
Signal menjelaskan bahwa penyerang memperoleh akses ke sistem dukungan pelanggan Twilio dan dapat melihat nomor telepon sekitar 1.900 pengguna Signal. Dari sana, informasi dapat diambil bahwa nomor-nomor ini digunakan untuk mendaftarkan akun Signal dan kode verifikasi SMS terkait.
Selain itu, selama penyusup memiliki akses ke sistem Twilio, mereka dapat mendaftarkan ulang nomor telepon di perangkat lain menggunakan nomor verifikasi SMS. Para penyerang secara eksplisit mencari tiga nomor tertentu di antara 1.900 nomor telepon. Signal menerima pesan dari salah satu pengguna yang terpengaruh bahwa akun mereka telah didaftarkan ulang.
Namun, ini tidak memungkinkan penyerang mengakses riwayat pesan, informasi profil, atau daftar kontak. Ini hanya pada perangkat yang digunakan atau memerlukan sinyal PIN untuk memulihkan. Namun, mereka bisa saja mengirim dan menerima pesan Signal menggunakan akun pengguna yang diretas.
Pengguna mungkin terpengaruh jika mereka menerima pesan saat membuka Signal bahwa perangkat mereka telah dibatalkan pendaftarannya. Namun, itu juga dapat memiliki penyebab lain, seperti tidak digunakan dalam waktu lama.
Sinyal memiliki kunci pendaftaran dalam pengaturan di bawah “Akun”. Setelah aktivasi, sinyal PIN diperlukan untuk pendaftaran.
(Gambar: Tangkapan Layar)
Perlindungan terhadap serangan
Signal telah membatalkan pendaftaran perangkat yang saat ini digunakan untuk semua dari sekitar 1.900 akun dan meminta pendaftaran ulang. Selain itu, semua orang yang terlibat akan menerima pesan SMS tentang insiden tersebut. Tindakan itu harus selesai pada hari Selasa minggu ini. Di Sinyal juga merujuknya di penasihat keamananbahwa kunci catatan dan PIN pelaporan melindungi dari serangan semacam itu.
Kunci perekaman dapat ditemukan di bawah “Akun” di pengaturan sinyal. Jika fitur ini diaktifkan, pengguna harus memasukkan PIN Sinyal saat (-)mendaftar ulang nomor telepon.
Setelah aktivasi, pengguna diberitahu bahwa akun akan diblokir selama satu minggu jika mereka kehilangan PIN pada saat (re-)registrasi.
(Gambar: Tangkapan Layar)
Jika pengguna gagal memasukkan PIN yang valid saat mendaftar ulang, Signal akan mengunci akun selama tujuh hari. Catatan saat mengaktifkan fungsi memperingatkan hal ini.
Pengguna WhatsApp juga dapat mengaktifkan perlindungan serupa. Di bawah “Pengaturan” – “Akun” Anda akan menemukan fungsi “Verifikasi Dua Langkah”. Ini memaksa pengguna untuk meminta PIN enam digit yang dipilih sendiri saat mendaftarkan nomor telepon lagi. Namun, jika PIN hilang, dapat dipulihkan dengan memberikan alamat email. Tanpa fungsi pencadangan ini, pengguna harus menunggu dengan blok satu minggu hingga kemungkinan penyetelan ulang kode PIN jika terjadi kehilangan.
(dmk)
“Pencinta kopi. Kutu buku alkohol yang ramah hipster. Pecandu media sosial yang setia. Ahli bir. Perintis zombie seumur hidup.”
