Signal: mensageiro privado sofre ataque hacker

Signal se anuncia como um mensageiro privativo e seguro (Jaap Arriens/NurPhoto via Getty Images)
Signal se anuncia como um mensageiro privativo e seguro (Jaap Arriens/NurPhoto via Getty Images)
  • Problema teria sido causada por uma vulnerabilidade no sistema maior de telecomunicações mundial;

  • Signal afirmou que histórico de mensagens e lista de contatos não foram acessados pelos hackers;

  • Falha se deu na Twilio, empresa que faz a checagem de números de telefone para o Signal.

O Signal, aplicativo de troca de mensagens conhecido pelo seu foco na privacidade, foi atingido por um ataque hacker que vazou o número de telefone de seus usuários.

Cerca de 1.900 contas foram comprometidas, com números de telefone e códigos de SMS expostos. Isto quer dizer, segundo especialistas, que os cibercriminosos podem registrar essas contas em um novo dispositivo. O ataque é particularmente mais danoso à imagem do Signal, que se destina a ser um aplicativo de mensagens criptografadas privadas, e é altamente recomendado por especialistas de segurança.

O ataque não foi realizado diretamente no Signal, mas sim na Twilio, uma empresa separada que fornece serviços para desenvolvedores. O Signal usa seus serviços para verificar os números de telefone dos usuários quando eles se inscrevem.

Na semana passada, o Twilio anunciou que havia sido hackeado, com invasores violando seus sistemas internos e acessando dados de clientes. O Signal era um desses clientes e, portanto, seus usuários foram pegos no ataque.

De acordo com o Signal, o acesso dos invasores já foi revogado, e o hack já foi encerrado pelo Twilio. Todos os usuários afetados serão notificados pelas empresas. Aqueles que podem ter sido apanhados no ataque receberão mensagens de texto dizendo-lhes para registrar sua conta novamente, e suas contas serão canceladas em qualquer dispositivo que estejam usando.

A empresa afirmou também que o hack não teve acesso ao histórico de mensagens, informações de perfil ou lista de contatos. Segundo a empresa, o histórico de mensagens é armazenado em dispositivos específicos, de modo que mesmo se uma conta for registrada novamente, ele permanecerá seguro. Um invasor, no entanto, poderia enviar e receber novas mensagens do número de contatos.

Por fim, o Signal aconselhou aos usuários a ativarem o recurso de "bloqueio de registro", que pode ser encontrado nas configurações. Essa ferramenta se destina a proteger exatamente contra esse tipo de ataques, mas deve ser ativada manualmente.

O problema, segundo a empresa, é resultado de vulnerabilidade no sistema de telecomunicações, usado para enviar mensagens de texto e chamadas telefônicas, que ainda é usado para verificar números de telefone no Signal.

“Embora não tenhamos a capacidade de corrigir diretamente os problemas que afetam o ecossistema de telecomunicações, trabalharemos com a Twilio e potencialmente outros provedores para reforçar sua segurança onde for importante para nossos usuários”, afirmou em um anúncio.