Sebanyak 1.900 Nomor Telepon Pengguna Signal Diduga Bocor gara-gara Phising

Insiden ini membuat informasi terkait nomor telepon atau kode verifikasi SMS pendaftaran milik 1.900 pengguna Signal bocor.

Selaku penyedia layanan, Signal sendiri sudah mengetahui soal serangan phising yang membuat 1.900 nomor telepon penggunanya terekspos. Saat ini, Signal memastikan bahwa serangan phising tersebut sudah berhasil diatasi sehingga tidak mengekspos lebih banyak informasi pengguna.

Dalam sebuah posting di laman Support Signal, aplikasi perpesanan yang didirikan oleh Moxie Marlinspike ini menjelaskan insiden serangan phising ini dan langkah-langkah yang bisa diambil pengguna yang terdampak.

Nomor telepon bocor gara-gara Twilio

Signal menjelaskan, serangan phising sebenarnya bukan terjadi di sistem Signal, melainkan di Twilio, perusahaan penyedia layanan verifikasi nomor telepon yang digunakan Signal.

Serangan phising adalah sebuah upaya menjebak korban untuk mencuri informasi pribadi, seperti nomor rekening bank, kata sandi, dan nomor kartu kredit.

Dalam kasus ini, penyerang menargetkan kredensial karyawan Twilio. Selanjutnya, penyerang memperoleh akses ke konsol dukungan pelanggan Twilio, termasuk di dalamnya pengguna Signal.

Akibatnya, nomor telepon atau kode verifikasi SMS pendaftaran milik 1.900 pengguna Signal berpotensi terekspos ke penyerang.

"Semua pengguna dapat meyakini bahwa riwayat pesan, daftar kontak, informasi profil, yang telah mereka blokir, dan data pribadi lainnya tetap pribadi dan aman, alias tidak terpengaruh," tulis Signal.

Selama serangan phising, penyerang memiliki akses ke sistem dukungan pelanggan Twilio. Sehingga mereka dapat mencoba mendaftarkan nomor telepon yang mereka akses ke perangkat lain menggunakan kode verifikasi SMS.

"Penyerang tidak lagi memiliki akses ini, dan serangan telah dihentikan oleh Twilio," tulis Signal.

Signal menjelaskan, penyerang secara eksplisit menelusuri tiga nomor di antara 1.900 nomor telepon yang berpotensi terekspos.

"Kami telah menerima laporan dari salah satu dari tiga pengguna tersebut bahwa akun mereka telah didaftarkan ulang," tulis Signal.

Aktifkan "Registration Lock"

Signal mengaku telah memberi tahu pemilik 1.900 nomor telepon yang berpotensi terkena dampak serangan phising ini secara langsung melalui SMS.

Untuk memitigasi pencurian akun, Signal mengungkapkan bahwa pihaknya membatalkan pendaftaran dari 1.900 akun Signal yang terpengaruh di semua perangkat yang saat ini digunakan pengguna (atau, yang didaftarkan oleh penyerang).

Selanjutnya, 1.900 pengguna yang terpengaruh serangan phising ini harus mendaftarkan ulang akun Signal dengan nomor telepon di perangkat pilihan.

Signal juga mengimbau penggunanya untuk mengaktifkan fitur kunci pendaftaran alias "Registration Lock" untuk akun Signal mereka.

Menurut Signal, dengan menggunakan Registration Lock opsional dengan PIN Signal, dapat menambahkan lapisan verifikasi tambahan ke proses pendaftaran, sebagaimana dihimpun KompasTekno dari laman Support Signal, Selasa (16/8/2022).

Cara aktifkan Registration Lock di aplikasi Signal adalah buka menu "Signal Settings" (profile) > "Account" > geser toggle "Registration Lock" ke arah on.