​​Хакеры взломали Twilio — главный сервис по программной отправке SMS для того, чтобы получить доступ к аккаунтам пользователей защищенного мессенджера Signal. Я не хотел писать про это ничего, чтобы не создавать у широкой публики ложного впечатления, что «да чё этим Signal пользоваться, его вон тоже взломали и всё сольют, давайте лучше продолжим этот важный разговор в телеграме». Но раз про это пишет относительно мейнстримовая Медуза, то хочу прояснить. Хакеры не смогли украсть переписку как в других взломах, потому что у Signal её тупо не нет. Переписка в этом мессенджере есть только на телефонах адресатов и нигде больше. Signal — один из самых защищенных мессенджеров в мире и всё, что смогли сделать атакующие — это перерегистрировать номер телефона в Signal на себя, то есть теоретически они могли написать кому-то от имени жертвы или получить сообщение на имя жертвы, но все собеседники при этом были явно уведомлены о том, что произошла перегистрация номера. Signal всё ещё самый защищенный, если вам есть что скрывать от властей — рекомендую. — Если продолжить чуть более технический разговор, то это возвращает нас к дискуссии о том, что Signal привязан к номерам телефонов. Гораздо безопаснее было бы ввести никнеймы как телеграме или твиттере и сделать номера телефонов необязательными. Почему Signal до сих пор этого не сделал — для меня загадка. Ещё на уровень глубже, хорошо бы иметь возможность вносить изменения в Signal независимо от её руководителей — это называется федеративные протоколы, самый крутой пример — почта или телефонная сеть (можно пользоваться gmail или mail.ru, можно выбирать между телефонами от apple или google). Но такие протоколы ещё сложнее и ещё медленнее развиваются.