Twilio資料外洩，1,900名Signal用戶遭池魚之殃

雲端通訊平臺Twilio在8月7日坦承遭到駭客入侵，駭客透過網釣簡訊取得了Twilio員工的登入憑證，並竊取了客戶資料，而採用Twilio服務進行電話號碼認證的Signal則表示，約有1,900名用戶受到Twilio駭客事件的波及。

Signal說明，駭客取得了進入Twilio客戶支援控制臺的憑證，存取了1,900名Signal用戶的資訊，也許是用來註冊Signal帳號的電話號碼，或者是用來註冊Signal帳號的簡訊認證碼；駭客可能會企圖利用所取得的電話號碼註冊另一裝置，而且至少有3個電話號碼遭到實際的攻擊，這些使用者發現他們的帳號被重新註冊。

由於Signal為一端對端加密程式，且系統並不存取使用者的往來資料，因此，就算使用者的電話號碼遭到濫用，其通訊歷史紀錄、個人檔案或通訊錄也都僅存放在裝置端，而不會被存取。

只是，倘若駭客成功以受害者的電話號碼重新註冊了帳號，就能以該電話號碼傳送及接收Signal訊息。

Signal已經撤銷這1,900名使用者於所有裝置上的Signal帳號，並要求他們重新以自己的電話號碼及裝置註冊，也強烈建議使用者啟用「註冊鎖」（Registration Lock）功能，它會在使用者再度嘗試以同一號碼註冊Signal時要求輸入PIN碼，得以對抗這類的安全問題。Signal表示，因為該平臺無法直接修補電信生態體系的問題，只能藉由安全設定來保障用戶安全。