סיגנל, אפליקציית התקשורת שבה השקיע בראיין אקטון לאחר שנטש את וואטסאפ בעקבות סכסוך עם פייסבוק, סבלה מפרצת אבטחה שאיפשרה לגורמים זרים לשלוח ולקבל הודעות של המשתמשים שלה
יאן קום ובריאן אקטון, מייסדי וואטסאפ (צילום Melies The Bunny / flickr)
סיגנל, האפליקציה שהבטיחה להוות אלטרנטיבה הרבה, הרבה יותר פרטית ובטוחה לוואטסאפ וטלגרם, הודיעה אתמול (שני) כי סבלה מפריצה משמעותית שחשפה פרטים של משתמשים רבים.
המקור לפרצה היה בעובדה שהחברה מתבססת על מספר הטלפון של המשתמש, בדומה לוואטסאפ, ומשתמשת בכמה חברות, וביניהן אחת בשם Twillio, לשליחת הודעות SMS לאימות מספר הטלפון. בתחילת השבוע שעבר הודיעה טוויליו כי נוכלים "דגו" מספר עובדים שלה באמצעות הודעות פישינג, והצליחו לקבל את פרטי הכניסה לממשק הניהול של 125 לקוחות של השירות – וכעת מתברר שאחד מאותם לקוחות היה סיגנל.
מצד אחד, הפורצים לא קיבלו הרבה מהפריצה הזו: לדברי סיגנל, כל מה שהיה בחשבון שלה בטוויליו היה מספרי טלפון של כ-1,900 משתמשים שלה שאומתו דרך השירות, ואף פרט מלבד מספרי הטלפון והודעות ה-SMS עם קודי האימות שלהם לא היו חשופים לפורצים. מצד שני, הגישה למעט המידע הזה איפשרה לפורצים להתחבר לחשבונותיהם של אותם 1,900 איש ממכשירים אחרים, וכך לשלוח ולקבל את ההודעות שלהם במהלך הימים האחרונים (כלומר, רק הודעות שנשלחו או הגיעו בתקופה הזו, ולא כל מה שהיה קודם).
סיגנל ציינה כי שלחה הודעות SMS לכל אותם 1,900 איש, לפיהן הם מנותקים מהאפלקציה עד לביצוע אימות מחודש של מספר הטלפון, כעת לאחר שהגישה של הפורצים לקוד האימות לשם ציתות לחשבונות נחסמה. כל אותם משתמשים יצטרכו לקבל ולהזין קודי אימות חדשים לפני המשך השימוש באפליקציה, והחברה ממליצה להם (ולכל שאר המשתמשים) להפעיל תכונה שמונעת חיבור ממכשיר חדש לחשבון קיים על ידי הוספה של קוד אישי לקוד האימות שמגיע ב-SMS.
באופן תמוה, בחרה החברה להאשים בפריצה את חברות הסלולר: "בעוד שאין לנו את היכולת לתקן ישירות בעיות המשפיעות על מערכת הטלפונייה, נעבוד עם טוויליו, ואולי אף ספקים נוספים, כדי להדק את האבטחה שלהם במקומות שמשפיעים על המשתמשים שלנו", כתבה החברה, תוך התעלמות מוחלטת מכך שמשתמשים ומומחי אבטחה מתריעים כבר שנים על כך שהתבססות על מספרי טלפון היא הזמנה לפריצות והפרת פרטיות, בניגוד גמור להבטחת החברה לשמירה מוחלטת על פרטיות המשתמשים.
כידוע, סיגנל מתגאה מאוד בכך שהיא אחת מאפליקציות התקשורת הבטוחות והפרטיות בעולם: מלבד מספר טלפון היא אינה אוספת פרטי משתמשים, כל ההודעות בה מוצפנות (בניגוד לטלגרם, שלא מצפינה הודעות כברירת מחדל), נשמרות על המכשיר של המשתמש בלבד (בניגוד לוואטסאפ, ששומרת על הודעות במשך שבוע בשרתים שלה, ואף יש לה דרכים לדעת מה יש בהן למרות ההצפנה) וכו'. האפליקציה צברה בשנים האחרונות פופולאריות לא מעטה, בעיקר בזכות ההצטרפות של מייסד וואטסאפ, בראיין אקטון (משמאל בתמונה למעלה), שעזב את פייסבוק ב-2018 בטריקת דלת בעקבות סכסוך על עתידה של האפליקציה שיצר, השקיע בסיגנל 50 מיליון דולר, הרחיב את מצבת העובדים שלה ב-2020 ובתחילת השנה הנוכחית התמנה למנכ"ל שלה במקום המייסד, מת'יו רוזנפלד, הידוע בכינוי מוקסי מרלינספייק.
