Signal: Angriff auf Dienstleister Twilio betrifft rund 1.900 Nutzer des Messengers

Wie man bei Signal mitteilt, gab es vor kurzem einen Phishing-Angriff auf das Unternehmen Twilio. Hierbei handelt es sich um den Dienstleister, der Signal die Dienste zur Überprüfung (SMS-Verifizierung) von Telefonnummern zur Verfügung stellt. Nun informiert Signal, dass wohl rund 1.900 Nutzer des Messengers von dem Angriff dahingehend betroffen sein könnten, dass die Angreifer möglicherweise die Telefonnummern und SMS-Registrierungscodes erlangt haben. Jene Nutzer würden nun umgehend vom Unternehmen kontaktiert. Auf den Nachrichtenverlauf, Profilinformationen, Kontaktlisten und andere Daten konnte angeblich nicht zugegriffen werden. Zur Sicherheit fordert man jetzt aber alle betroffenen Nutzer des Dienstes dazu auf, die Signal-Nummern neu zu registrieren und die Registrierungssperre in den Einstellungen zu aktivieren. Zudem würde auch bei Twilio an einer Optimierung der Sicherheit gearbeitet. Allen anderen Nutzern wird empfohlen, die Registrierungssperre für ihr Signal-Konto zu aktivieren.

Angebot
Microsoft 365 Family (inkl. Microsoft Defender) | 6 Nutzer | Mehrere PCs/Macs,...
  • Mit bis zu 5 anderen Personen teilen
  • Premium-Office-Apps: Word, Excel, PowerPoint, OneNote, Outlook

In diesem Artikel sind Partner-Links enthalten, wir kennzeichnen ihn daher als Werbung. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Nordlicht, Ehemann und Vater, hauptberuflich mit der Marine verbündet. Außerdem zu finden auf Twitter. PayPal-Kaffeespende an den Autor. Mail: benjamin@caschys.blog / Mastodon

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

31 Kommentare

  1. Nein, es werden nicht – alle Nutzer aufgefordert – sich neu zu registrieren sondern nur die betroffenen Nutzer.
    „For all 1,900 of the users potentially affected, we will unregister Signal on all devices that the user is currently using (or, that an attacker registered them to) and require them to re-register Signal with their phone number on their preferred device.“

  2. Wie setze ich die Empfehlung um? Ich finde nichts in den Einstellungen.

  3. Die Logik wäre wohl eher die Telefonnummer Pflicht abzuschaffen!
    Was sofort eine mögliche Sicherheitslücke (externer Dienstleister) und ein eindeutiges Merkmal , dass einer Person zugeordnet werden kann, weniger!

    • Die Rufnummer als verpflichtendes Merkmal abzuschaffen, die Angabe also optional zu machen, würde letztlich nicht viel ändern, da die meisten Nutzer dennoch weiterhin darauf setzen werden. Und die Rufnummer als Merkmal gar nicht mehr anzubieten, wird sich sicher nicht positiv auf die Nutzerzahlen auswirken. So muss man als Anbieter und auch als Nutzer eben abwägen, wo man seine Präferenzen setzt. Und so ein Zwischenfall wie dieser ist sicher ärgerlich, aber mehr eben auch nicht. Auf so ein singuläres Ereignis gleich mit einer kompletten Umstellung des Systems zu reagieren, halte ich jedenfalls für überzogen.

      • Es ist in Deutschland eine ein eindeutige Verbindung zur Person! Und wie man bei Threema sieht geht es auch ohne Zwang.
        So bräuchte man keinen Dienstleister, der immer ein Schwachpunkt darstellt!

        • Es hat ja niemand gesagt, dass das nicht geht. Aber es bringt eben auch Nachteile mit sich, sowohl für den Anbieter als auch die Nutzer.

          • Nein es bringt nur Vorteile, denn ein persönliches Identifikationsmerkmal wie die Mobilfunknummer ist eine begehrte Angriffsfläche.

            • Mit den meisten seiner Kontakte nicht mehr oder nur noch erschwert eben in Kontakt treten zu können, dürfte für die meisten kein Vorteil sein, aber die Menschen sind ja unterschiedlich.

        • Wenn ich den Verbreitungsgrad von Threema betrachte, nutzt es mir relativ wenig, wenn ich dort fast keine Kontakte habe. Für mich gehört neben der Sicherheit auch die Akzeptanz in meinem Umfeld dazu. Signal ist für mich daher der optimale Kompromiss.

          • Threema ist zudem kostenpflichtig – und das ggf. sogar mehrfach, wenn man mal von Android zu iOS (oder umgekehrt) wechselt.

            • Ich kenne genug Leute, die 10 Euro im Monat für Discord Nitro ausgeben, nicht einmal für Datenschutz (Discord sammelt und verwertet auch die Daten aller Nitro-User), sondern um Funktionen freizuschalten, die verglichen mit anderen Messengern eigentlich ins Grundpaket gehören (z.B. globale Emotes, höheres Zeichenlimit, 100 MB max. Upload).

              Aber einmalig 4 Euro für Threema bezahlen (selten zweimal) ist zu viel verlangt. Muss ich nicht verstehen.

              • Nein, musst Du nicht. Aber viele sehen das eben so. Das kann man gut oder schlecht finden, aber nicht wegdiskutieren.
                Ich persönlich würde es gut finden, wenn es seitens Threema die Möglichkeit gäbe, den Messenger zeitlich begrenzt kostenfrei zu testen, damit man wenigstens mal schauen kann, ob man überhaupt eine nennenswerte Zahl von Kontakten darüber erreicht.

    • Korrekt! … Dem kann ich nur zustimmen.

  4. Hatte Signal auch mal installiert.
    Aber an Whatsapp kommt er nicht ran plus halt niemand hat Signal wo ich kenne. tja

    • Das ist vom Funktionsumfang das selbe. Alle Messenger sind vom Funktionsumfang das selbe. 😀

      • Genau, am Ende ist alles XMPP, war schon bei ICQ so. Ah Oh!

      • Nicht ganz. Vielen ist der Status wichtig, und den gibt es bei Signal und Threema nicht.

      • Aeh .. nein.

        Vielen ist bei WhatsApp z.B. der Status extrem wichtig. Dann die automatischen Backups in die Cloud mit automatischer Wiederherstellung aller Nachrichten inkl. Medien – gibt es auch nicht bei jedem Messenger.

        Ich bin z.B. Threema-Fan der ersten Stunde, aber dieses Schlüssel-„Rumgeeier“ hat nahezu alle meiner nichttechnischen Freund emittlerweile so abgeschreckt, dass ich sie mehrfach in der Kontaktliste habe, weil der alte Schlüssel verloren gegangen ist und die meisten haben mittlerweile entnervt aufgegeben, weil sie nicht mehr durchsehen.

    • Wie viele Nutzer man auf Signal findet ist zu einem Teil Spiegel des eigenen Umfelds.

      Für Features ist dagegen Signal verantwortlich. Woran sollte Signal nicht heran kommen? Reactions, zuerst Signal. Videocalls mit Gruppen, zuerst Signal. Desktopclient (leider Electron), zuerst Signal. E2E, zuerst, Signal. Vor allem sieht Signal optisch aufgeräumt aus. Previewlinks zuerst sicher implementier, Signal.

      Wieso hat WhatsApp eigentlich dieses merkwürdige Hintergrundbild? Websiten in den 90er waren übersichtlich, aber der wiederholende Tapetenhintergründe sind aus der Zeit gefallen.

      Interessant ist doch, Facebook hat 13 Milliarden nur für Nutzer bezahlt. Bei Signal reicht ein Bruchteil davon für ebenbürtiges, geht dann halt auch größtenteils an Personal (Entwickler) und Infrastruktur (Cloud).

      Matrix ist dagegen viel mächtiger und flexibler, eigene Server und unabhängig Accounts. Dafür minimal komplizierter beim Onboarding. Für Informatiker und Fachanwender aber perfekt. Frankreich und die Bundeswehr haben damit endlich ein passendes Kommunikationssystem.

    • Schade, würdest du mich und meinen Freundeskreis kennen, hättest du ganz viele, die du über Signal erreichen könntest, aber kaum einen über Whatsapp. Ist halt alles nur eine Frage der Blase, in der man sich befindet. An das mulmig warme Gefühl in der Magengegend, eine Meta-App auf dem Handy zu haben, kommt Signal aber nicht ran, da hast du recht.

    • Ich habe meine Kontakte informiert, dass sie mich fortan via Signal und Threema erreichen. Und siehe da, ich bin offenbar wichtig genug. Sie haben nun Signal. Wer WhatsApp (den Mist) weiter braucht, dem ist eh nicht mehr zu helfen. Ist als ob du dein Telefon in fremde Hände gibst.

      • Jaja
        Hab jetzt seit 2017 WhatsApp und das hat sich immer verbessert und Datenschutz erhöht wurde, ich mach auch Backup in den Cloud aber seit es die Funktion gibt verschlüsselt in Cloud, mach ich das auch.
        Auch an die Features kommt kein anderer Messenger ran. Hab alle schon installiert Telegramm, Signal und wie die alle heißen.
        Gerade Telegramm kamm mir vor wie aus dem Mittelalter in Vergleich zu WhatsApp.

        Wenn ich wechsle verliere ich 3 GB geschriebenes und daten, weil ich will das auch in 5 Jahre noch lesen wo ich geschrieben habe.

        Nur wisst ihr den das Signal wirklich keine Daten verkauft oder ein haubtschlüssel hat um reinzuschauen, schreiben kann man viel.
        Tja hab halt seit 2018 kein Facebook und so.

        Ach und wisst ihr mir ist das so was von egal
        Ob ich jetzt verkauft werde als Datei.

        Und das wegen den Angriffen, tja was ist da wichtig nur Denken. Aber die wo da Opfer sind ist es ja sowiso egal ob Signal oder WhatsApp, weil die öffnen auch email und geben Daten ein auf eine plising Seite.

  5. Bei mir hat es sofort geklingelt wegen Twilio – Authy: kurz nachgeschaut, Authy ist natürlich auch betroffen, schreiben selber von 125 betroffenen Kunden, wo kurzzeitig Fremde Zugriff auf deren Kontoinhalte hatten. Die Kunden seien informiert worden…

  6. Die Pflicht zur Angabe der Telefonnummer ist mit Abstand die größte Design Schwäche eines ansonsten überragendem Dienstes.

    Wer Zugriff auf die Nummer erlangt, kann den ganzen Account übernehmen! Damit gibt es keine Möglichkeit, den Account wirklich sicher aufzusetzen….und das bei einem Dienst, der Sicherheit als haupt Abgrenzungskriterium hat. Ich versteh das nicht.

    • Naja brauchst halt ein identitätsstiftendes Merkmal und die Nummer haben alle. Siehst ja, wie schlecht das bei Threema klappt.

      Gegen die Übernahme der Nummer kann man sich kurzfristig durch die Registrierungssperre schützen. … aber klar, letztlich kann man die Nummer nicht vollkommen kontrollieren.

      Wenn sie jemals die Nummer als verpflichtendes Merkmal abschaffen sollten, dann wohl auch eh nur nach der Registrierung mit Nummer. Das ist im Moment ja auch ihr Spamschutz.

  7. Oh wie gut das niemand weiß,
    daß Threema ist der heiße Scheiß

    Ohne Nummer und ganz Anonym,
    werden die Phisher immer leer ausgehen

    Du nur einmal 5 EUR entrichte,
    sind Diebstahlversuche in der Familie Geschichte

    Und alle die das nicht investieren,
    werden es leider nie kapieren.

    • Oder einfach Denken bevor sie zu Opfer werden.
      Ganz einfach Frage die Person was persöndliches, was der Täter ja nicht weiss.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.