ביום שני,אוֹת, שנחשבת לעתים קרובות כאפליקציית העברת ההודעות המאובטחת ביותר, שיתפה כי פרצת אבטחה של ספק שירותי אימות מספר הטלפון שלההשפיע על 1,900 ממשתמשיו. עקב ההפרה, נחשפו מספרי הטלפון של משתמשים אלה.
ייתכן שהציוץ נמחק
לפי הפוסט של סיגנל המפרט את המצב, הספק, Twilio, היה ממוקד במתקפת פישינג. אצל טוויליו עצמושֶׁלְאַחַרכשהיא מסבירה את המצב, החברה אומרת שזו הייתה "מתקפה של הנדסה חברתית מתוחכמת שנועדה לגנוב אישורי עובדים". המתקפה הצליחה בהשגת אישורים מכמה מעובדיו של טוויליו. Twilio אומר כי בסביבות 125 מלקוחותיה נפגעו נתונים במהלך המתקפה. אחד מהלקוחות המושפעים הללו הוא Signal.
בצד החיובי, המוניטין של סיגנל כאפליקציית המסרים המאובטחת ביותר נותר ללא פגע הודות לכך שהשירות שלה מוצפן ב-100 אחוז מקצה לקצה. ללא גישה למכשיר הפיזי של משתמש Signal, שחקן גרוע לא יכול היה לגשת להיסטוריית ההודעות של המשתמש הזה. לכן, כל מידע רגיש ששותף בהודעות ב-Signal לא נפגע. נתוני פרופיל, רשימת אנשי קשר ונתונים אחרים גם לא נפגעו, שוב, הודות לעיצוב של Signal.
מהירות אור ניתנת לריסוק
עם זאת, Signal מזהיר שהיו בעיות שהתעוררו עבור המשתמשים שהושפעו מהפרה:
"עבור כ-1,900 משתמשים, תוקף יכול היה לנסות לרשום מחדש את המספר שלו למכשיר אחר או לגלות שהמספר שלהם רשום ב-Signal. המתקפה הזו נסגרה מאז על ידי Twilio".
לפי סיגנל, אחד מאותם 1,900 משתמשים דיווח שהחשבון שלהם נרשם מחדש במכשיר אחר ללא אישורם. כמו כן, כפי שמציינת Signal, רוב המשתמשים שלה לא הושפעו כלל מפרצת האבטחה.
העובדה שנפלה מעט מאוד מהפרת האבטחה הזו היא עדות לאבטחה של סיגנל. אבל הפרצה היא גם תזכורת לפגם הבולט של סיגנל: הדרישה שמשתמש ירשום את מספר הטלפון שלו כדי להשתמש בשירות ההודעות. סיגנל רמזה בעבר כי בקרוב היא תאפשר לאנשים להשתמש בשמות משתמש במקום במספר הטלפון שלהם, אך כרגע אין הפעלה מתוכננת של תכונה זו.
