Signal Messenger betroffen: Twilio-Hacker erbeutet Rufnummern


Kommentare zu folgendem Beitrag: Signal Messenger betroffen: Twilio-Hacker erbeutet Rufnummern

das fängt ja richtig gut an :face_with_spiral_eyes:

Wenn man sich mal vor Augen hält, dass der Hacker / die Hacker letzten Endes nur Interesse an drei Nummern hatte und dafür soviel technischen Aufwand einsetzte, kann man doch fast davon ausgehen, dass hier ein groß angelegter „Feldtest“ durchgeführt wurde! Vielleicht, um neue Tools, Skripte und automatische Abläufe, in der Praxis auszuprobieren…? Alles andere macht irgendwie keinen wirklichen Sinn, da mit der Ausbeute des Hacks, nicht viel anzufangen war. Klar, man konnte im Namen des ursprünglichen Besitzers eigene Nachrichten verschicken - man konnte aber auch davon ausgehen, dass dies nur eine sehr kurze Zeit möglich ist!

Die Ironie des ganzen ist ja dass die Telefon Verifizierung (die Signal an Twilio outsourced) für die Benutzung von Signal (und jeden anderen Messanger) völlig überflüssig ist…

Gibt den Entwicklern vlt. mal zu denken endlich Signal ohne Telefonnummern zu realisieren, den Feature Requests gibts mindestens schon so lange wie Signal selbst.

So siehts nämlich aus! In dem kommenden Interview mit Signal, wird diese Frage ja auch wieder mal gestellt. Obwohl ich nicht glaube, dass Signal irgend etwas positives dazu sagen wird. Es wird einfach noch nie dort vorgesehen gewesen sein, warum auch immer. Ich glaube nämlich nicht, dass es am Geld scheitert oder dem Aufwand - eher an der Einstellung. :wink:

Ich kann Signal schon ein Stück weit verstehen, ohne die Verifizierung öffnest du Spammern Tür und Tor, dass ist halt der Krux mit „anonymen“ Diensten.

Mit dem SMS 2FA lässt sich das Gros der Scriptkiddies, die wie überall 99% der „Hacker“ ausmachen, einfach und kostengünstig (für $0.0079/SMS) ausschließen.
Für all die ein bisschen Ahnung haben stellt das eh kein Hindernis da, entweder du kaufst an der Tankstelle für $5 eine Throwaway SIM oder registriert dich über ein öffentliches Telefon in einer Uni Bibliothek (hab ich auch schon gemacht)

Als Alternative bräuchtest du dann irgend einen Bayesian-Filter ala Email, was bedeutet du musst jede Nachricht im Klartext parsen, was den privaten Messenger dann Ad Absurdum führt, das ganze müsste dann lokal auf dem Endgerät laufen, was ich persönlich nicht implementieren würde wollen, unabhängig davon ob das überhaupt praktikabel wäre?!?!

Die einzig Alternative die mir einfallen würde wäre ein reiner Whitelist Mode bei denen du Leuten mit denen du reden willst deinen Public Key schickst, oder wenn du mutig bist deinen Public Key auf einen Keyserver packst…wie PGP-Mail, nur ist dass für den Otto-Normal-User zu kompliziert, genauso wie PGP-Mail :slight_smile:

:joy:

Jap…stimmt wohl! Aber andererseits kommen die Scriptkiddies mit PGP klar - das lernen die z.B. beim CM und Konsorten… :grin:
BTW kann ich dazu holländische Lebara SIMs empfehlen. Die bekommt man als Deutscher in DE sogar noch selber aktiviert, über die Nummer „1244“…also ohne jeglichen Ident.

Ganz toll selbst widersprochen. Pseudo-Argumentation, die du direkt danach, unter Verweis auf „Scriptkiddies“, währenddessen du dich direkt im nächsten Satz zusätzlich selbst als solches entlarvst, auch noch selbst aushebelst. Hast du das auf dem Pausenhof deiner Sonderschule gelernt?!

Was laberst du für einen, erneut widersprüchlichen, Müll?! Hörst du dich eigentlich auch gern selbst reden?! Irgendwie scheint dein gesamtes Dasein sinnlos zu sein.

Gibt es schon lange. In Messengern integriertes PGP gibt es bereits seit ĂĽber 20 Jahren. Was hat das auĂźerdem mit Mut zu tun?! Bist du nach der Sonderschule im IT-Crashkurs fĂĽr Dummies irgendwie zurĂĽckgeblieben?!

Lerne doch vielleicht erstmal die Sprache, du Möchtegern.

„Dass du …“

Ich tippe auf Geheimdienste. Ein außer-behördlicher „Hacker“ wäre nicht so derart dumm, wider besseres Wissen eine völlig nutzlose Um-Registrierung durchzuführen. (Kontaktversuch mit Identity-Fake absolut sinnlos, Behörden sind tatsächlich so dumm, aber nicht Leute, die gezielt Signal einsetzen.)

Mich würde noch interessieren, ob es für den Hash von einer dieser Nummern mal eine behördliche Anfrage bei Signal gab…

Aber wollen wir wetten, dass selbst dieses „ob“ (hat eine Anfrage stattgefunden? ja/nein) Signal nie aufklären wird?

Das du keine Ahnung hast was ein Scriptkiddie ist ist nicht mein Problem, aber scheinbar fĂĽhlst du dich angesprochen :grin:

Ă„dit:
Ich weiĂź ja nicht was du fĂĽr Probleme hast (wurde deine Lieblings RTL2 Vormittagssendung abgesetzt?) und es interessiert mich auch nicht, aber wenn ich mich mit arroganten KlugscheiĂźern unterhalten will dann mache ich dass wie jeder normale Mensch auf Reddit, du Mindestlohn-Aushilfslehrer fĂĽr BaumschĂĽler.

OK…ich weiß ja nicht, wieso ihr beide euch sooo lieb habt und auch noch öffentlichen Foren-Sex anleiert…?
Aber es wäre im Sinne aller, wenn ihr euch wieder streicheln, anstatt auspeitschen würdet !! :hearts:

BTW:

image

P.S.
Die Idee mit dem Behörden bzw. Dienstezugriff, wäre natürlich in Amiland durchaus möglich! Vor allem, weil Messis / VPNs etc. sowieso gerne von denen infiltriert werden! :wink:
Hier in dem Thread, wo es um die iOS-Geräte geht, wo seit 2 Jahren schon dauernd Datenlecks, trotz VPN (Provider egal) entstehen…ein Apfel, der sich blöd stellt usw. Könnte auch NSÄÄ oder ähnliche hinterstecken…! :wink:

1 Like