اختراق حسابات أكثر من ألفي مستخدم لتطبيق سيغنال

أعلن تطبيق المراسلة الشهير ”سيغنال“، عن اختراق هواتف أكثر من ألفي مستخدم، في خطوة غير مسبوقة منذ إطلاقه.

وقال تطبيق المراسلة المشفر من طرف إلى طرف، إن المهاجمين تمكنوا من الوصول إلى أرقام الهواتف ورموز التحقق عبر الرسائل القصيرة لأكثر من ألفي مستخدم، عندما اخترقوا أنظمة شركة ”توايليو“ (Twilio) الأمريكية.

وتوفر شركة ”توايليو“ أدوات اتصال قابلة للبرمجة لإجراء واستقبال المكالمات الهاتفية، بالإضافة إلى إرسال واستقبال الرسائل النصية، وأداء وظائف الاتصال الأخرى باستخدام واجهات برمجة تطبيقات خدمة الويب.

وكانت الشركة الأمريكية، التي تقدم خدمات التحقق من رقم الهاتف إلى تطبيق ”سيغنال“، قد صرحت الأسبوع الماضي بأن الجهات الفاعلة الخبيثة وصلت إلى بيانات 125 عميلًا، بعد أن نجحت في التصيد الاحتيالي لعدة موظفين.

ولم تذكر ”توايليو“ هوية العملاء، لكن من المحتمل أن يشملوا منظمات كبيرة بعد أن أكد تطبيق ”سيغنال“، أمس الاثنين، أنه كان واحدا من الضحايا.

وقال ”سيغنال“ في منشور أمس إنه سيبلغ حوالي 1900 مستخدم سُرقت أرقام هواتفهم أو رموز التحقق عبر الرسائل القصيرة عندما تمكن المهاجمون من الوصول إلى وحدة تحكم دعم العملاء في شركة ”توايليو“.

وأضاف عملاق المراسلة: ”بالنسبة لحوالي 1900 مستخدم، كان من الممكن أن يحاول المهاجم إعادة تسجيل أرقامهم على جهاز آخر. ومن بين 1900 رقم هاتف، بحث المهاجم صراحة عن ثلاثة أرقام، وتلقينا تقريرًا من أحد هؤلاء المستخدمين الثلاثة يفيد بإعادة تسجيل حسابهم“.

وأوضح التطبيق أن هذه العملية الاحتيالية لم تمنح المهاجم إمكانية الوصول إلى سجل الرسائل أو قوائم جهات الاتصال ومعلومات الملف الشخصي المحمية بواسطة رقم التعريف الشخصي لأمان المستخدم.

وأضاف أنه بالنسبة للمتضررين، سيتم إلغاء تسجيل حساب ”سيغنال“ على جميع الأجهزة التي يستخدمها المستخدم حاليا، أو تلك التي يستخدمها المهاجم، وستتم مطالبة المستخدمين بإعادة تسجيل الحساب بأرقام هواتفهم على أجهزتهم المفضلة.

ونصح ”سيغنال“ في منشوره المستخدمين بتشغيل قفل التسجيل، وهي ميزة تمنع إعادة تسجيل الحساب على جهاز آخر دون رقم التعريف الشخصي لأمان المستخدم.

ورغم أن اختراق ”توايليو“ يؤثر على جزء بسيط من 40 مليون مستخدم لـ“سيغنال“، ينتقد المستخدمون منذ فترة طويلة التطبيق، الذي يعتبر أحد أكثر تطبيقات المراسلة أمانا، لأنه يطلب من المستخدمين تسجيل رقم هاتف لإنشاء حساب.

وتسمح تطبيقات التشفير الطرفية الأخرى، مثل ”واير“ (Wire)، بالتسجيل باستخدام اسم مستخدم فقط.

وترى تقارير متخصصة أن ”سيغنال“ تحرك ببطء لإنهاء اعتماده على أرقام الهواتف، مشيرة إلى أنه من المحتمل أن تؤدي هذه الواقعة إلى إعادة النداءات للقائمين على التطبيق للتحرك بشكل أسرع والتخلص من طريقة التسجيل هذه.