אפליקציית השיחות סיגנל (Signal) מתיימרת להיות המאובטחת ביותר מסוגה. יוצר האפליקציה מוקסי מרלינספייק אף תקף לפני כחצי שנה את טלגרם (Telegram) בטענה שהיא אינה מאובטחת מספיק. אך טלגרם נשענת על ספקי משנה, וזו נקודת תורפה שהתממשה בימים האחרונים.
טוויליו (Twilio), חברה המספקת לסיגנל את שירות אימות מספרי הטלפון באמצעות מסרונים ספגה מתקפת דיוג באמצעותיה הגיעו התוקפים למערכת ניהול הלקוחות של החברה, ודרכה השיגו מספרי טלפון פרטיים של 1,900 משתמשים בסיגנל.
באמצעות אותם מספרי טלפון, יכלו התוקפים להשתלט על החשבונות של המשתמשים ולרשום אותם מחדש במכשיר אחר, וכך לכתוב ולקבל הודעות בשמם. נראה שבפועל עשו זאת התוקפים לשלושה משתמשים, אם כי לא ברור האם אלו שלושה מספרי טלפון שאותם חיפשו באופן מכוון, או חשבונות שנבחרו באופן אקראי מתוך הרשימה.
לאחר שהפריצה דווחה לסיגנל – לא ברור בדיוק כמה זמן לאחר שהתרחשה בפועל – כל אותם 1,900 חשבונות נחסמו ובעליהם התבקשו להירשם מחדש לאפליקציה. סיגנל החלה לפנות באופן אישי לכל אחד מאותם משתמשים כדי לספק הדרכה. יתר המשתמשים באפליקציה לא הושפעו מהפריצה כלל, ואינם נדרשים לכל פעולה מיוחדת.
יש לציין כי מאחר וסיגנל אינה מאחסנת מבחינתה אף פרט מזהה על המשתמשים, את היסטוריית השיחות או אנשי הקשר שלהם, הרי שהתוקפים לא הצליחו להשיג דבר מלבד כאמור רשימה של מספרי טלפון. זהו הבדל ברור לעומת אפליקציות השומרות את היסטוריית השיחות המלאה, ופריצה לחשבון שם עשויה לחשוף פרטים אישיים רבים.
בכל מקרה, סיגנל ממליצה לכל המשתמשים להפעיל דרך תפריט ההגדרות את תכונת ‘נעילת החשבון’ המציעה אבטחה נוספת שיכולה למנוע הישנות של גניבת פרטים בדרך, גם אם התוקפים יצליחו בדרך כלשהי להשיג את מספר הטלפונים של המשתמשים.
בפסקה הראשונה כתוב “אך טלגרם נשענת על ספקי משנה”. יכול להיות שהכוונה כאן היא לסיגנל?