Signal sotto attacco: 13.500 account compromessi da hacker russi

Un'operazione di phishing coordinata ha compromesso circa 13.500 profili dell'app di messaggistica Signal, secondo quanto riportato da Tom's Hardware IT. L'attacco, attribuito a gruppi di hacker russi, rappresenta uno dei rari incidenti di sicurezza che colpiscono direttamente la piattaforma nota per la sua crittografia end-to-end. La notizia arriva in un momento in cui gli attacchi informatici di matrice statale stanno diventando sempre più sofisticati e mirati, sfruttando non solo vulnerabilità tecniche ma anche l'ingegneria sociale.

Chi

Signal è un'app di messaggistica open source sviluppata dalla Signal Foundation, organizzazione no-profit fondata da Moxie Marlinspike. La piattaforma è utilizzata da milioni di utenti in tutto il mondo, inclusi giornalisti, attivisti e professionisti che necessitano di comunicazioni protette. L'attacco è stato attribuito a gruppi di hacker russi, probabilmente legati a unità di intelligence statale, sulla base delle modalità operative e dei vettori utilizzati.

Cosa è successo

L'operazione di phishing ha preso di mira gli utenti di Signal attraverso messaggi ingannevoli che li inducevano a cliccare su link malevoli o a fornire le proprie credenziali. Una volta compromessi, gli account sono stati utilizzati per accedere ai dati personali e alle conversazioni degli utenti. Sebbene Signal utilizzi la crittografia end-to-end per proteggere i messaggi in transito, l'accesso diretto all'account consente agli attaccanti di leggere la cronologia delle conversazioni e di estrarre metadati sulle comunicazioni.

L'incidente ha coinvolto circa 13.500 profili, un numero significativo che suggerisce una campagna ben organizzata e probabilmente condotta su larga scala prima di essere rilevata. I dettagli tecnici specifici dell'attacco rimangono ancora in parte oscuri, ma il metodo del phishing indica che gli aggressori hanno sfruttato il fattore umano piuttosto che vulnerabilità nel codice di Signal stesso.

Perché è importante

Questo attacco solleva questioni critiche sulla sicurezza delle piattaforme di messaggistica, anche quelle costruite con standard crittografici elevati. Signal è stata storicamente scelta da utenti che richiedono privacy e protezione proprio perché offre crittografia end-to-end per impostazione predefinita. Tuttavia, nessuna crittografia può proteggere da un utente che fornisce volontariamente le proprie credenziali a un attaccante.

L'incidente si inserisce in un contesto più ampio di attacchi informatici sempre più sofisticati. Secondo il rapporto Unit 42 di Palo Alto Networks, l'identità è diventata il vettore di attacco principale per gli attori di minacce: quasi il 90% delle indagini di incident response ha rivelato che gli aggressori hanno sfruttato credenziali e token rubati per accedere ai sistemi. Inoltre, la velocità degli attacchi è aumentata drammaticamente nel 2025, con i cicli di attacco che si sono compressi significativamente.

Il fatto che il gruppo sia di origine russa è particolarmente rilevante nel contesto geopolitico attuale. Gli hacker russi, incluso il gruppo APT28 legato all'intelligence militare di Mosca, hanno dimostrato negli ultimi anni una capacità crescente di condurre operazioni sofisticate contro infrastrutture critiche e individui di interesse strategico. Questo attacco a Signal potrebbe rientrare in una strategia più ampia di raccolta di intelligence su attivisti, giornalisti e figure politiche.

Per gli utenti di Signal, l'incidente rappresenta un promemoria che la sicurezza della comunicazione non dipende solo dalla tecnologia sottostante, ma anche dal comportamento degli utenti e dalla gestione delle credenziali. Anche le piattaforme più sicure rimangono vulnerabili al phishing e all'ingegneria sociale.

Cosa aspettarsi

Nei prossimi giorni, Signal dovrebbe rilasciare comunicazioni ufficiali dettagliando l'entità dell'attacco, le modalità di compromissione e le misure di mitigazione implementate. È probabile che la Foundation consigli agli utenti interessati di cambiare la password e di verificare l'accesso al proprio account.

Un indicatore importante da osservare sarà se Signal implementerà misure aggiuntive per rilevare e prevenire attacchi di phishing, come autenticazione a due fattori obbligatoria, notifiche di accesso da nuovi dispositivi, o verifiche di identità più rigorose. Altre piattaforme di messaggistica crittografata, come Telegram e WhatsApp, potrebbero ricevere maggiore attenzione da parte degli utenti preoccupati per la sicurezza.

È anche probabile che organizzazioni di sicurezza informatica e agenzie governative monitoreranno questo incidente per comprendere meglio le tattiche utilizzate dai gruppi russi. La comunità di ricerca sulla cybersecurity analizzerà i dettagli tecnici per identificare pattern di attacco e sviluppare difese più efficaci contro operazioni simili.

Infine, questo episodio potrebbe alimentare discussioni più ampie sulla regolamentazione delle app di messaggistica e sulla responsabilità delle piattaforme nel proteggere gli utenti da attacchi di phishing, un tema già al centro del dibattito normativo europeo e internazionale.