Penyusup dapat menggunakan informasi atau mendaftarkan ulang nomor ke perangkat lain
JAKARTA — Reputasi Signal untuk pengiriman pesan yang aman tidak membuatnya kebal terhadap insiden peretasan. Perusahaan telah mengkonfirmasi ditemukan pelanggaran data di mitra verifikasi Twillio yang mengekspos nomor telepon dan kode SMS dari sekitar 1.900 pengguna.
Penyusup dapat menggunakan informasi tersebut untuk mengidentifikasi pengguna Signal atau mendaftarkan ulang nomor mereka ke perangkat lain. Nantinya, data tersebut bisa disalahgunakan.
Pelaku mencari tiga nomor telepon dan mendaftarkan ulang akun salah satu pengguna. Signal tidak menyimpan riwayat obrolan atau kontak online sehingga pelanggaran tersebut seharusnya tidak mengungkapkan detail sensitif lainnya.
Untuk membatasi kerusakan, Signal segera mengambil langkah, yaitu membatalkan pendaftaran aplikasi di semua perangkat yang ditautkan ke akun yang terpengaruh dan memaksa pengguna untuk mendaftar ulang. Selain itu, perusahaan juga merekomendasi untuk mengaktifkan kunci pendaftaran yang melarang siapa pun dapat mendaftar ulang di perangkat lain tanpa memberikan kode PIN.
Dilansir Engadget, Selasa (16/8/2022), Twilio mengungkapkan pelanggaran pada 8 Agustus. Pelaku yang saat ini tidak dikenal menggunakan penipuan phishing untuk mendapatkan detail login dan mengakses akun 125 pelanggan. Meskipun tidak jelas pelanggan mana yang terpengaruh, Twilio biasanya melayani perusahaan dan organisasi besar.
Serangan itu meningkatkan tekanan pada Signal untuk bergabung dengan penyedia pesan terenkripsi lainnya untuk menjauh dari nomor telepon yang dapat rentan terhadap pertukaran SIM dan skema berbasis digit lainnya. Ini juga merupakan pengingat bahwa kesalahan pihak ketiga terkadang sama berbahayanya dengan serangan langsung.
Sumber: Republika