Signal n’est pas directement responsable de la fuite, qui est la conséquence d’un piratage de Twilio suite à une attaque par phishing. Des données de 125 de ses clients, dont Signal, « ont été consultées par des acteurs malveillants pendant une période limitée ».
Signal explique de son côté que, « pour environ 1 900 utilisateurs, un attaquant aurait pu tenter de réenregistrer leur numéro sur un autre appareil ou apprendre que leur numéro était enregistré sur Signal ». Dans le lot, le pirate « a explicitement recherché trois numéros », sans plus de précision. Les 1 900 utilisateurs concernés ont été prévenus.
Mais cela s’arrête là : « Tous les utilisateurs peuvent être assurés que l’historique de leurs messages, leurs listes de contacts, informations de profil, les personnes qu’ils ont bloquées et d’autres données personnelles restent privées et sécurisées, elles n’ont pas été affectées ».