Утечка данных из мессенджера TeleMessage: хакеры получили доступ к секретным перепискам чиновников

История вокруг чата в Signal, где топовые чиновники обсуждали планы ударов по хуситам в Йемене, запомнилась в основном неуклюжестью ситуации с добавленным в чат журналистом и тем фактом, что для секретных оборонных планов использовалось публичное приложение. Обе детали замяли, а 1 мая добавившего журналиста советника Майка Уолца отправили в отставку — и в тот же день сфотографировали за использованием модифицированной версии Signal от компании TeleMessage. TeleMessage выпускает не только модифицированный Signal, но и Telegram, WhatsApp и WeChat — специальные версии предназначены для корпоративного использования, которые компания позиционирует как более безопасные и соответствующие специальным политикам ИБ. Компания заявляла, что её мессенджеры поддерживают такое же оконечное end-to-end шифрование, как и сами мессенджеры, поэтому переписка в безопасности. Однако сервера TeleMessage дважды взломали 4 и 5 мая разные хакеры. Один из них поговорил с участником команды Distributed Denial of Secrets Микой Ли и рассказал, что для взлома серверов TeleMessage ему понадобилось менее 20 минут. Позднее Мика Ли исследовал исходный код версии Signal от TeleMessage и 6 мая пришёл к выводу, что оконечного шифрования сообщений в модифицированном мессенджере нет. А 19 мая на сайте DDoSecrets опубликовали 410 ГБ дампов памяти серверов сделанных как раз 4 мая , в которых есть и незашифрованные сообщения из чатов, что ещё раз подтвердило отсутствие декларируемой приватности. Пока доступ к дампам дают только журналистам и исследователям, их ещё нет в паблике, а из самих предоставляемых дампов удалили тексты сообщений. Но учитывая, какое количество чиновников США пользовалось этой версией Signal, включая директора разведки Талси Габбард и вице-президента Джея Ди Вэнса, а группировка DDoSecrets довольно радикально настроена на полную прозрачность информации, вскоре астрологи могут объявить неделю новых скандальных переписок.

Хакеры сумели проникнуть на сервер компании, занимающейся созданием зашифрованных версий популярных мессенджеров. Приложение активно использовалось многими чиновниками в США, при этом взлом занял у злоумышленников лишь около 20 минут. Израильская компания TeleMessage предложила продукт TM SGNL как дополнение к нескольким мессенджерам, таким как Telegram, WhatsApp, Signal и другим. По заверениям компании, приложения не только поддерживают шифрование исходных мессенджеров, но и предоставляют дополнительный уровень безопасности. Тем не менее, все сообщения пользователей TeleMessage вне зависимости от используемого мессенджера сначала обрабатывались через внутренние серверы компании и сохранялись там в архиве. Именно этот архив стал мишенью атаки хакеров. 4 и 5 мая они смогли обойти защитные алгоритмы TeleMessage, получив доступ к серверам с данными объемом 410 гигабайт, содержащими тысячи незашифрованных сообщений из чатов. 19 мая хакеры опубликовали данные в интернете, однако доступ к ним предоставили только журналистам и исследователям, оставив без изменений текстовую часть переписок. Среди пользователей приложения были и высокопоставленные чиновники США, в том числе бывший советник по национальной безопасности Дональда Трампа — Майк Уолтц, ранее упоминавшийся в скандале с Signal, когда пригласил для обсуждения удара по хуситам главного редактора The Atlantic Джеффри Голдберга в чат. Хакеры также получили доступ к внутренним сообщениям сотрудников криптобиржи Coinbase, однако представители компании заверяют, что через мессенджер не пересылали критически важную информацию клиентов.

Хакеры взломали сервер компании, которая делает шифрованные модификации известных мессенджеров. Приложение использовали многие чиновники США, а чтобы его взломать, потребовалось не более 20 минут Израильская TeleMessage позиционировала TM SGNL как модификацию-надстройку сразу для нескольких мессенджеров: Telegram, WhatsApp, Signal и др. Компания заявляла, что приложения не только поддерживают шифрование оригинальных мессенджеров, но и обеспечивают дополнительную защиту. Однако все сообщения пользователей TeleMessage во всех мессенджерах проходили через внутренние сервера компании, где оставались в архиве в виде копий. Именно этот архив и решили взломать хакеры. 4 и 5 мая они обошли алгоритмы защиты TeleMessage и получили доступ к серверам с архивом данных на 410 гигабайт, включая тысячи незашифрованных сообщений из чатов. 19 мая хакеры опубликовали архивы данных в сети, но предоставили доступ только журналистам и исследователям, а также удалили текстовую часть переписки. Приложение использовали многие чиновники США, включая бывшего советника по безопасности Дональда Трампа Майка Уолтца, который уже засветился в скандале с Signal — когда пригласил в чат обсуждения удара по хуситам главного редактора The Atlantic Джеффри Голдберга. Взломщики также получили доступ к внутренней переписке сотрудников криптобиржи Coinbase, но представители последней утверждают, что не использовали мессенджер для передачи критически важной клиентской информации.

Умный помощник, который всегда под рукой

Хакеры получили доступ к серверу TeleMessage — израильской компании, которая делает модификации Signal и WhatsApp с возможностью централизованного хранения переписки. Этой системой, среди прочих, пользовалась администрация Трампа. Всего слили 410 ГБ. Архив выложила организация DDoSecrets, но доступ к нему получили только исследователи и журналисты, потому что там много персональной информации. Это продолжение истории, начавшейся с того, что журналиста Джеффри Голдберга случайно добавили в секретный чат в Signal. Позже на смартфоне советника по безопасности заметили, что он пользуется тем же самым модифицированным мессенджером. Это позволило хакерам выйти на уязвимый сервер.

Хакеры взломали сервер компании, которая делает шифрованные модификации известных мессенджеров. Приложение использовали многие чиновники США, а чтобы его взломать, потребовалось не более 20 минут. Израильская TeleMessage позиционировала TM SGNL как модификацию-надстройку сразу для нескольких мессенджеров: Telegram, WhatsApp, Signal и др. Компания заявляла, что приложения не только поддерживают шифрование оригинальных мессенджеров, но и обеспечивают дополнительную защиту. Однако все сообщения пользователей TeleMessage во всех мессенджерах проходили через внутренние сервера компании, где оставались в архиве в виде копий. Именно этот архив и решили взломать хакеры. 4 и 5 мая они обошли алгоритмы защиты TeleMessage и получили доступ к серверам с архивом данных на 410 гигабайт, включая тысячи незашифрованных сообщений из чатов. 19 мая хакеры опубликовали архивы данных в Сети, но предоставили доступ только журналистам и исследователям, а также удалили текстовую часть переписки. Приложение использовали многие чиновники США, включая бывшего советника по безопасности Дональда Трампа Майка Уолтца, который уже засветился в скандале с Signal — когда пригласил в чат обсуждения удара по хуситам главного редактора The Atlantic Джеффри Голдберга. Фактически, хакеры могли получить доступ к правительственной переписке. При этом взломщики столкнулись с устаревшими алгоритмами защиты и небрежным подходом к безопасности — у одного из хакеров ушло всего 20 минут и несколько несложных действий, чтобы получить доступ к архиву. Взломщики также получили доступ к внутренней переписке сотрудников криптобиржи Coinbase, но представители последней утверждают, что не использовали мессенджер для передачи критически важной клиентской информации. Подписывайтесь, это Baza

Хакеры получили доступ к 410 ГБ данных из архивного сервера TeleMessage Это та самая компания, которая создает модифицированные версии популярных приложений для американских чиновников и где хакерам удалось взломать Signal и получить доступ к перепискам властей. Сообщается, что часть опубликованных архивных данных представляет собой сообщения в виде открытого текста, другие компоненты — только метаданные, в том числе информацию об отправителях и получателях, временные метки и названия групп. Сам хакер тоже поделился своими впечатлениями от взлома: в панели администратора secure.telemessage.com он заметил, что в версии Signal от TeleMessage пароли хешируются в MD5 на стороне клиента, что сводит на нет преимущества безопасности хеширования паролей, поскольку хеш фактически становится паролем. При этом сам сайт TeleMessage запрограммирован с помощью JSP — технологии начала 2000-х годов для создания веб-приложений на Java, что также создает впечатление о дыре в безопасности. Проанализировав исходный код приложения Signal от TeleMessage обнаружилось, что пользователи загружали незашифрованные сообщения на archive.telemessage.com, которые затем пересылались конечному получателю. Это прямо противоречит публичным заявлениям TeleMessage, где они утверждали, что приложение использует сквозное шифрование. Вообще вся эта история выглядит так: "А давайте возьмем Signal, допилим туда костыль, чтобы архивировать сообщения без сквозного шифрования и будем хранить это все у себя плохо защищенным. Это отличный план, Уолтер, надежный как швейцарские часы". Полученных хакером данных нет в открытом доступе, но если вы журналист или исследователь, их можно запросить здесь.