В промежуток времени с момента взлома до блокировки сервисом Twilio скомпрометированной учётной записи сотрудника, использованной для атаки, по отмеченным 1900 номерам телефонов наблюдалась активность, связанная с регистрацией учётной записи или отправкой проверочного кода через SMS. При этом получив доступ к служебному интерфейсу Twilio атакующие интересовались конкретными тремя номерами пользователей Signal, и как минимум один из телефонов удалось привязать к устройству злоумышленников, судя по жалобе, полученной от владельца пострадавшей учётной записи. Signal отправил SMS-уведомления об инциденте всем пользователям, которых потенциально могла коснуться атака, и отменил регистрацию их устройств.
Взлом Twilio был совершён с использованием методов социальной инженерии, позволившим атакующим заманить одного из сотрудников компании на фишинговую страницу и получить доступ к его учётной записи в системе поддержки клиентов. В частности, атакующие разослали сотрудникам Twilio SMS-сообщения с предупреждением об истечении времени действия учётной записи или информацией об изменении расписания, к которым была прикреплена ссылка на поддельную страницу, стилизованную под интерфейс единого входа в служебные сервисы Twilio.
По данным Twilio, подключившись к интерфейсу службы поддержки, атакующие успели получить доступ к данным, связанным со 125 пользователями.
Источник: http://www.opennet.ru/opennews/art.shtml?num=57641