Telefoonnummers van 1900 Signal-gebruikers gestolen bij hack op partnerbedrijf

Criminelen hadden toegang tot de telefoonnummers van 1900 Signal-gebruikers. Van een deel van deze gebruikers is ook de sms-verificatiecode ingezien. Bij zeker één gebruiker is het account daardoor overgenomen.

Aanvallers kregen op 4 augustus toegang tot Twilio's klantenserviceconsole nadat ze Twilio-werknemers phishten. Twilio verzorgt telefoonnummerverificatiediensten aan Signal, waardoor de aanvallers ook toegang hadden tot Signal-gegevens. De criminelen konden de gegevens van ongeveer 1900 gebruikers inzien. Daarbij konden ze alleen telefoonnummers van gebruikers zien en van een deel ook de sms-verificatiecode.

Doordat de aanvallers toegang hadden tot de verificatiecode, hadden ze de mogelijkheid om telefoonnummers te registreren op hun eigen apparaten. De criminelen zochten bij hun aanval naar de telefoonnummers van drie specifieke gebruikers. Van een van deze gebruikers is het account daadwerkelijk geregistreerd naar een nieuw apparaat.

Het account van deze gebruiker is dus overgenomen, maar Signal benadrukt dat bij deze gebruiker en bij andere gebruikers gesprekken, profielinformatie en contactlijsten niet zijn ingezien. Daarvoor is de Signal PIN vereist, een pincode die niet was gestolen bij deze aanval. De criminelen konden wel berichten sturen en ontvangen met dat Signal-account.

Signal informeert sinds 15 augustus de 1900 getroffen gebruikers over de aanval. Deze gebruikers krijgen een sms van het bedrijf. Getroffen gebruikers worden daarnaast uitgelogd op alle Signal-apparaten en moeten opnieuw inloggen. De chatdienst wijst erop met Registration Lock een beveiligingsmaatregel te hebben, waarbij gebruikers bij het registreren van een nieuw apparaat hun Signal PIN moeten invoeren. Deze functie voorkomt dat gebruikers met alleen de verificatiecode en het telefoonnummer een Signal-account kunnen overnemen.

Naast Signal was ook tweetrapsauthenticatieapp Authy getroffen door de Twilio-aanval. De gegevens van 125 gebruikers zijn hierbij buitgemaakt. Het is niet duidelijk welke gegevens hierbij zijn gestolen, alleen dat het niet om wachtwoorden, tokens of api-sleutels gaat.

Phishing-sms'jes Authy-moederbedrijf TwilioPhishing-sms'jes Authy-moederbedrijf Twilio

Voorbeeld sms-berichten van de phishingaanval op Twilio

Door Hayte Hugo

Redacteur

Feedback • 16-08-2022 09:00
51 • submitter: fwp

16-08-2022 • 09:00

51

Submitter: fwp

Lees meer

Signal stopt met ondersteuning voor sms in Android-app
Signal stopt met ondersteuning voor sms in Android-app Nieuws van 12 oktober 2022
Signal voegt Stories toe aan bètaversie
Signal voegt Stories toe aan bètaversie Nieuws van 6 oktober 2022
Hackers simuleren browserpop-up om inloggegevens Steam-accounts te onderscheppen
Hackers simuleren browserpop-up om inloggegevens Steam-accounts te onderscheppen Nieuws van 13 september 2022
Data klein aantal gebruikers van 2fa-app Authy ingezien bij hack moederbedrijf
Data klein aantal gebruikers van 2fa-app Authy ingezien bij hack moederbedrijf Nieuws van 11 augustus 2022
Signal introduceert thread-functie voor Android-app
Signal introduceert thread-functie voor Android-app Nieuws van 8 juli 2022
Belgisch wetsvoorstel voor metadataretentie is 'feitelijk verbod op Signal'
Belgisch wetsvoorstel voor metadataretentie is 'feitelijk verbod op Signal' Nieuws van 1 mei 2022
Signal laat gebruikers van telefoonnummer wisselen
Signal laat gebruikers van telefoonnummer wisselen Nieuws van 8 februari 2022
Meer producten en artikelen
Beveiliging en antivirus Privacy Authenticatie Phishing Signal Sms

Reacties (51)

-Moderatie-faq
51
50
30
1
0
12
Wijzig sortering
DaemonAngel 16 augustus 2022 09:55
Wel even een goede reminder om die registration lock aan te zetten.
Ik heb een pin ingestild, maar ik herinner mij helemaal niet dat er gevraagd werd ook om de registration lock in te stellen.
Het leek mij dat de pin noodzakelijk zou zijn voor zoiets, want dagdagelijks doet die niet iets speciaal.
Hier had naar mijn idee dus wel wat meer aandacht naar gemogen.
Waarom zou je een pin willen instellen maar die niet willen gebruiken om een nieuw apparaat te registreren? 8)7
WhatsappHack
@DaemonAngel16 augustus 2022 10:42
Ik dacht dat registration lock ook de default was. oO Naja die PIN wordt ook gebruikt om gegevens op de Signal-servers (HSM) te versleutelen. Je profielnaam, -foto en omschrijving, je instellingen, de groepen waarvan je lid bent, je contactpersonen en je lijst van geblokkeerde personen. Dan kan Signal daar zelf niet bij, maar het wel opslaan voor je zodat eea herstelt (als je geen backup hebt of op iOS zit). Waarom je niet ook de registratievergrendeling zou willen aanzetten zou ik ook niet snappen, maar er zijn dus twee functies aan verbonden dus als iemand perse geen reglock wil maar wel versleutelt data opslaan… Afijn. :+
84hannes @WhatsappHack16 augustus 2022 12:09
Naja die PIN wordt ook gebruikt om gegevens op de Signal-servers (HSM) te versleutelen.
Wel zo veilig. Op die manier moet Signal 1000 000 pincodes proberen voordat ze bij je gegevens kunnen, dat kost ze al snel drie seconden.
Get!em @84hannes16 augustus 2022 12:19
Signal says there is no limit on PIN length, and although the company uses the term Personal Identification Number, it is in fact a password, so can include alphabetic characters as well as numbers.

To guard against the possibility of forgetting your PIN, you’ll be periodically asked to enter it.

Signal includes a built-in reminder feature that uses spaced repetition. To help you memorize your PIN, Signal will periodically ask you to confirm it. These reminders occur at the following intervals after the feature is first enabled:

12 Hours
1 Day
3 Days
7 Days
14 Days

You can, however, reset the PIN on your registered device without having to know it: the PIN is only designed to protect against your phone number being assigned to a new device.

[Reactie gewijzigd door Get!em op 25 juli 2024 16:37]

84hannes @Get!em16 augustus 2022 13:41
Goed punt, dat wist ik niet. Blijkbaar ben ik misleid door de naam 'pin' en daar sta ik vast niet alleen in.
WhatsappHack
@84hannes16 augustus 2022 12:34
Ze hadden zelf natuurlijk totaal niet bedacht dat dat een probleem zou kunnen zijn. :+. Overigens is de PIN niet beperkt tot 5 cijfers.

Zie trouwens wel dat het geen HSM is ala wat WhatsApp gebruikt, maar een eigen (opensourced) systeem bovenop SGX. Heb die twee door elkaar gehaald, maar het eindresultaat is hetzelfde: ze zijn beiden bestand tegen brute-force aanvallen zoals jij beschrijft - bereikt met verschillende hard- en software. Het duurt niet enkel langer dan een paar seconden om meerdere codes te proberen, de hardware knikkert de sleutels ook gewoon weg bij teveel pogingen.

[Reactie gewijzigd door WhatsappHack op 25 juli 2024 16:37]

pbruins84 @DaemonAngel16 augustus 2022 10:34
Waarom zou je een pin willen instellen maar die niet willen gebruiken om een nieuw apparaat te registreren? 8)7
Omdat je dan de PIN lokaal kan houden, en niet hoeft te uploaden.
DaemonAngel @pbruins8416 augustus 2022 16:53
Mijn IT kennis op dit vlak is beperkt, dus als ik er naast zit, gelieve het vriendelijk te melden :)

Maar ik dacht dat als je je backup met een wachtwoord zou versleutelen, je wachtwoord niet wordt meegestuurd?
Dus als je je account met een wachtwoord beschermd, stuur je toch eigenlijk alleen maar het slot op, niet de sleutel?
sdziscool 16 augustus 2022 09:07
Die nummers vallen best mee, wel weer een goed voorbeeld voor het probleem met de zwakste schakel. Signal kan dan wel geen data opslaan, als een partner dat wel doet heb je alsnog een probleem
Crp @sdziscool16 augustus 2022 09:41
Dat ligt er aan of het willekeurige gebruikers zijn of dat dit een gerichte aanval was, en er specifieke nummers uit zijn gepikt voor gevoelige informatie.
sfc1971 @Crp16 augustus 2022 12:52
Het artikel noemt dat drie nummers bewust zijn opgezocht.
De criminelen zochten bij hun aanval naar de telefoonnummers van drie specifieke gebruikers. Van een van deze gebruikers is het account daadwerkelijk geregistreerd naar een nieuw apparaat.
Nou vind ik het wel toevallig dat drie doelwitten tussen maar 1900 gebruikers zitten.
Horatius @sfc197116 augustus 2022 14:10
Denk dat die 1900 nummers helemaal niet relevant zijn, 1900 telefoonnummers zijn niks waard als je niks over dat telefoonnummer weet. Lijkt mij veel logischer dat ze bij de verificatiecodes konden, dus die aanvroegen met een nummer en dan dat nummer hebben opgezocht.
Dus ze zaten in het systeem -> vroege code aan met nummer -> hebben het nummer opgezocht om aan de code de komen.
eric.1 16 augustus 2022 09:37
Het enige wat ik me afvraag is, waarom zou een klantenservicekantoor (excuus, console) toegang moeten hebben tot sms-verificatie codes?

[Reactie gewijzigd door eric.1 op 25 juli 2024 16:37]

RefriedNoodle @eric.116 augustus 2022 09:52
Het enige wat ik me afvraag is, waarom zou een klantenservicekantoor toegang moeten hebben tot sms-verificatie codes?
Klantenserviceconsole, niet -kantoor. Aangezien het bedrijf aan telefoonnummer-verificatie doet, lijkt het me niet zo vreemd als die nummers langs die console gaan. Ergens moet de code door de gebruiker worden ingevoerd.
vrow @RefriedNoodle16 augustus 2022 11:30
Dit zijn gewoon de uitgaande sms-logs van Twilio.
Als er een nieuwe signal-code werd aangevraagd, konden ze die gewoon langs zien komen als sms in de uitgaande log-bestanden.
Nielsvr 16 augustus 2022 09:08
Een menselijke zwakke schakel. Dat blijven we naar alle waarschijnlijkheid voor altijd houden. Als ik het bericht zo lees, is er technisch weinig op aan te merken. Vooral noemenswaardig hoe makkelijk (als ik het screenshot zie) medewerkers er ingetrapt zijn. In deze industrie moet dit toch de bekendste truc zijn.
SkyStreaker @Nielsvr16 augustus 2022 09:25
In bepaalde functies krijg je de hele dag door emails, chats en telefoongesprekken. Als je daarvoor nog eens een flink gesprek heb gehad van niveau planning of bijv. een overleg, dan ben je, realistisch gezien, vaak even niet zo scherp en kan je hier best intrappen. Dat is menselijk, hoewel onwenselijk.

Dat het bekend is, maakt het misschien iets minder kansrijker, helaas is dat alles.

[Reactie gewijzigd door SkyStreaker op 25 juli 2024 16:37]

CivLord
@SkyStreaker17 augustus 2022 08:06
In veel bedrijven worden afdelingen zoals klantenservice, waar de medewerkers toegang hebben tot veel gegevens, gevuld met medewerker die bereid zijn om voor voor het minimumloon vaak hectisch en stressvol werk te doen. Die medewerkers zijn meestal niet de meest slimme en/ of meest gemotiveerde mensen voor een dergelijke positie.
bartje 16 augustus 2022 10:03
ik vraag me af welke actie twilio onderneemt om dit probleem in de toekomst te voorkomen.
daarnaast vind ik het van authy zeer kwalijk dat ze deze expertise niet zelf beheren en daardoor zelf de verantwoordelijkheid nemen.
Dubbeldrank @bartje16 augustus 2022 10:16
Twilio is eigenaar van Authy, dus dat wordt lastig in dit verhaal.
tweakmember 16 augustus 2022 12:22
ben wel blij dat zoiets als dit is gebeurd. Misschien maakt het Signal nou gemotiveerder om telefoon nummers in de ban te doen.
david-v
@tweakmember16 augustus 2022 12:56
of naast telefoon ook zonder telefoon een account te maken. Bovendien, als je een pincode instelt (waarom zou je dat niet doen) dan heeft deze aanval geen consequenties, want je kan dan niet een nieuw toestel registreren op hetzelfde account.
david-v
16 augustus 2022 09:14
Als een bekende Signal op een ander toestel installeert dan krijg ik dat altijd te zien. Dat zou je in dit geval ook te zien krijgen toch?
Bender @david-v16 augustus 2022 10:26
Wat voor mij inderdaad een reden was Signal er meteen weer af te gooien, ze richten zich op privacy maar iedereen krijgt een bericht dat je het geïnstalleerd hebt...
david-v
@Bender16 augustus 2022 12:30
Alleen je contacten die ook Signal hebben, en die weten het linksom of rechtsom toch wel dat je Signal hebt geinstaleerd.

Pas als Signal het toelaat om account aan te maken zonder telefoonnummer is dit "probleem" ook verleden tijd.

Ik ben het wel met je eens dat het actief informeren van je contacten dat je Signal hebt geinstaleerd (als die ook Signal gebruiken) niet noodzakelijk is. Het uit kunnen zetten van deze functionaliteit zou wel gewaardeerd worden denk ik. Je kan het voor jezelf wel uitzetten in de notificatie instellingen.

edit: "die ook Signal hebben" toegevoegd aan eerste zin

[Reactie gewijzigd door david-v op 25 juli 2024 16:37]

Bender @david-v16 augustus 2022 12:37
Stel je hebt nog een ex in je telefoon staan, al is het van 10 jaar geleden, allang vergeten, maar die krijgt dus een melding dat je aanwezig bent.
Of je zit met werk, er zit een wanbetaler van 10 jaar geleden in, die krijgt ook een melding.

Genoeg situaties die niet herinnert te worden.
david-v
@Bender16 augustus 2022 12:43
Tja, stel je klikt per ongeluk op één van die contacten en die bel je, een broekzak belletje :+ . Alleen als de andere persoon ook Signal heeft én je staat ook nog steeds in hun contacten lijst krijgen ze een melding.

Ik snap het probleem, maar de implicaties zijn beperkt. Beide contacten kunnen je namelijk al benaderen via andere social media, sms of een simpele telefoontje.
PalingDrone @david-v16 augustus 2022 10:41
Waarom zou je moeten zien dat (bestaande Signal)"contact X" nu Signal gebruikt op een ander device?
Wanneer het een nieuwe gebruiker betreft die jij ook in je contacten hebt staan krijg je een melding, iedere keer dat "contact X" van toestel wisselt is toch niet relevant voor jou?
david-v
@PalingDrone16 augustus 2022 12:23
Juist om account overnames zoals in dit artikel besproken is tegen te gaan. Dus als ik een bericht krijg van een bestaande contact waar ik al eerder mee berichten heb uitgewisseld dan is dat direct te zien.
vrow @PalingDrone16 augustus 2022 11:32
Zeker wel en WhatsApp geeft dat ook aan.
Het betekent dat hun account mogelijk is overgenomen.
Als het eerstvolgende bericht is dat iemand in de supermarkt staat en of je even 100 euro wilt overmaken, dan weet je genoeg…
CivLord
@PalingDrone17 augustus 2022 08:10
Is dat een melding die zichzelf opdringt, zodat je het niet over het hoofd kan zien?
Of is het en mededeling in de 'chat' van de gebruiker, waar je geen aparte melding van krijgt?
Oon 16 augustus 2022 09:15
Raar dat hier dan een los artikel voor is, maar niet voor alle andere bedrijven die koppelen met Twilio. Bijvoorbeeld Twitch en Humble Bundle hebben ook een directe koppeling met Twilio, dat zal flink wat mensen raken
Mavamaarten @Oon16 augustus 2022 09:27
Inderdaad gek. Voor Authy was er een paar dagen geleden ook een los artikel: nieuws: Data klein aantal gebruikers van 2fa-app Authy ingezien bij hack moed...
b12e @Oon16 augustus 2022 09:39
Misschien was er niks van Twitch of Humble Bundle ingezien?

Twilio is een mastodont met heel veel services, als de aanvallers specifiek naar Authy en Signal op zoek waren kan het best dat Twitch of HB klanten/gebruikers niet getroffen zijn.
Niemand_Anders @Oon16 augustus 2022 10:52
Waarschijnlijk omdat in de contact van Authy en Signal praten we over een security context. Daar zijn security breaches natuurlijk net even erger dan dat iemand kan indien welke humble deals je hebt aangekocht. Uiteraard verveleld, maar met minder gevolgen...
Oon @Niemand_Anders16 augustus 2022 18:09
Hoezo? In Humble Bundle heb ik mijn betaalgegevens staan, Signal heb ik wel maar gebruik ik alleen voor de beperkte communicatie met mensen die geen WhatsApp meer hebben (want WhatsApp blijft toch de thuisbasis voor de rest van Europa), maar dat zijn ook net de mensen die slim genoeg zijn om weinig interessants via Signal te communiceren.

Dus ik heb bij Humble Bundle en Twitch toch zeker meer gevolgen van een datalek dan Signal
Jim80 16 augustus 2022 11:15
Ik snap even iets niet.... het hele punt van end-to-end encryptie is toch dat de private keys enkel maar op de 2 endpoint devices te vinden zijn. Er mag dan nog gehacked worden wat je wil, zonder toegang tot 1 van deze 2 devices kunnen er toch nooit gesprekken worden ingezien?

In het artikel staat dat er "geen gesprekken werden ingezien, omdat daarvoor de PIN vereist is". Maar zelfs als men de PIN had kunnen bemachtigen, hoe kan men dan alsnog de gesprekken inzien zonder de private key te hebben die enkel op 1 van de 2 endpoints zou mogen staan?

Of gaat dit enkel maar over nieuwe gesprekken na overname account, of enkel over metadata zoals metadata en met wie wanneer gesprekken zijn gevoerd, zonder de inhoud er van? Want in dat geval klopt die zin in het artikel niet.
vrow @Jim8016 augustus 2022 11:38
Ik weet even niet 100% of Signal inmiddels ook de chat-historie overbrengt, volgens mij wel en alleen de laatste 30 dagen ofzo.
Maar wat er dan gebeurt, als je de sms ontvangt en invoert en de pin-code weet, dan weet Signal 100% zeker dat jij het bent. (…)
In dat geval krijgt je nieuwe telefoon/iPad/pc een eigen public/private key en worden de berichten vanaf je andere telefoon overgezet. De berichten worden daar allemaal opnieuw versleuteld met de keys van zowel de oude als de nieuwe telefoon, zodat beide apparaten ze kunnen lezen.
Dit laatste zou technisch ook anders kunnen gaan, ik weet dit niet zeker. Wel zeker is dat alle toekomstige berichten naar jou, worden versleuteld met beide keys zodat de berichten op beide apparaten te ontvangen zijn, ook als een van beide uit staat.
sieem @vrow16 augustus 2022 11:51
Signal houdt geen chat historiek bij. Enige wat Signal bijhoudt is welk nummer geregistreerd staat aan welk toestel. Dus het enige wat deze hackers hebben kunnen doen is berichten sturen in naam van een ander persoon. Ik heb het zelf ook ervaren: ik was naar een nieuwe gsm overgegaan en het lukte eerst niet om de chat backup van Signal mee over te zetten. Registreren/inloggen lukte wel, dus ik kon Signal gebruiken, maar mijn chats waren er niet. Enkel in welke groepgesprekken ik zat, maar daar zat ook geen historiek in.
vrow @sieem16 augustus 2022 12:11
Het is ook niet dat ik bedoelde dat Signal het bij zou houden op hun servers, het zou echt worden overgebracht vanaf een andere telefoon van jou zelf als je een nieuw toestel toevoegt. WhatsApp doet dat sowieso op deze manier tegenwoordig (verplichting van een hoofdtoestel wat altijd online is, is er ook niet meer). Start je WhatsApp op je pc op, dan krijg je op deze manier de historie overgezet. En zet je daarna je telefoon uit, dan doet WhatsApp op je pc het nog gewoon.

Maar als Signal niet de historie overbrengt, dan kan je inderdaad nooit de berichten inzien wat je ook hackt.
sieem @vrow16 augustus 2022 12:45
Als je Signal koppelt met je pc, krijg je in tegenstelling tot WhatsApp, geen historiek mee. Een vriend heeft al eens gehad dat iemand haar WhatsApp had gekoppeld aan zijn pc om zo mee te kunnen kijken. Je merkt wel dat Signal van het begin af gedesigned is om veilig en privé te zijn, waar WhatsApp's E2E een afterthought was.
david-v
@vrow16 augustus 2022 12:38
Je kan alleen oude berichten overzetten als je het originele toestel hebt. berichten worden namelijk niet door Signal bewaard. Je moet het doen met een backup of via bluetooth bij Android.
Jim80 @david-v16 augustus 2022 12:44
Dat hoopte ik al.... dan is dit stuk uit het artikel toch wat misleidend:
Signal benadrukt dat bij deze gebruiker en bij andere gebruikers gesprekken, profielinformatie en contactlijsten niet zijn ingezien. Daarvoor is de Signal PIN vereist, een pincode die niet was gestolen bij deze aanval.
Profielinformatie en contactlijst zijn metadata, dus dat klopt. Maar de gesprekken (inhoud), kan dus niet, ook al is de PIN gelekt.
david-v
@Jim8016 augustus 2022 12:54
Het is verkeerd overgenomen. In het originele bericht zie je ook dit staan en worden gesprekken explicitet uitgesloten, ook al weet je de pin code. Als je een pincode hebt ingesteld (waarom zou je dat niet doen??) heeft deze third party aanval helemaal geen effect. Om een nieuw toestel te registreren heb je in dat geval een pincode nodig en die is niet te verkrijgen via deze aanval.
Importantly, this did not give the attacker access to any message history, profile information, or contact lists. Message history is stored only on your device and Signal does not keep a copy of it. Your contact lists, profile information, whom you’ve blocked, and more can only be recovered with your Signal PIN which was not (and could not be) accessed as part of this incident. However in the case that an attacker was able to re-register an account, they could send and receive Signal messages from that phone number.
pintebr 16 augustus 2022 09:06
Aanvallers kregen op 4 augustus toegang tot Twilio's klantenserviceconsole nadat ze Twilio-werknemers phisten.

Dat is een aparte manier :)
PinusRigida @pintebr16 augustus 2022 09:10
:D
Sebas1979 @pintebr16 augustus 2022 13:00
“Achterdeurtje”

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq