Инцидент с утечкой данных в компании TeleMessage показал, насколько уязвимыми могут стать даже те приложения, которые изначально созданы для защиты конфиденциальной информации. Компания из Израиля, предоставляющая модифицированные версии популярных мессенджеров для нужд американских госструктур и корпоративных клиентов, была взломана. Как выяснило издание 404 Media, хакеру удалось получить доступ к хранилищам архивных сообщений, в том числе переписок на основе Signal, WhatsApp, Telegram и WeChat.
Хотя TeleMessage утверждает, что при передаче сообщений используется полноценное сквозное шифрование, сам процесс архивации предполагает их расшифровку и последующее сохранение в виде, доступном для последующего анализа. И если такие хранилища оказываются плохо защищены, зашифрованность теряет всякий смысл.
Поводом для расследования послужила фотография Reuters, на которой бывший советник по нацбезопасности при Трампе Майк Уолтц использует приложение, внешне напоминающее Signal. На деле это оказался TeleMessage — клон Signal, созданный специально для того, чтобы архивировать переписки ради соответствия нормативным требованиям. Интерес подогрел и тот факт, что Уолтц, как стало известно, создавал группы для обсуждения военных операций США в Йемене — одна из которых была случайно открыта журналисту.
Как утверждает хакер, на взлом системы ушло всего 15–20 минут: он использовал обнаруженные в открытом трафике учётные данные для входа в административную панель. Получив доступ, злоумышленник смог просматривать логины, пароли и расшифрованные сообщения.
Хакер не стал уведомлять компанию об уязвимости, заявив, что опасался сокрытия инцидента. Хотя переписка Уолтца и членов администрации Трампа, по словам хакера, не была скомпрометирована, в сеть попали личные и групповые чаты других пользователей. Среди них — сотрудники Службы таможенного и пограничного контроля США, представители Coinbase, Scotiabank, полиции округа Колумбия и других организаций.
404 Media опубликовало снимки экрана и технические данные, подтверждающие доступ к конфиденциальным перепискам. В числе прочего были обнародованы фрагменты диалога демократов, обсуждающих своё несогласие с криптовалютным законопроектом, а также чаты Уолтца, где среди адресатов, предположительно, значатся Марко Рубио, Тулси Габбард и Джей Ди Вэнс.
Сервер, где хранились сообщения, находился на инфраструктуре Amazon Web Services в Северной Вирджинии. Это подтвердили исследование исходного кода приложения и HTTP-запросы к серверу.
Компания Smarsh, владеющая TeleMessage, переименовывает сервис в Capture Mobile. Президент подразделения Smarsh Том Пэджетт заявил NBC News, что компания лишь помогает клиентам соответствовать требованиям регуляторов, предлагая разные варианты хранения данных — от внутреннего архива до пересылки в Gmail.
При этом Smarsh настаивает, что не является официальным хранилищем ни для одного госоргана, но отказывается сообщать, какой именно метод хранения использовался в случае с TeleMessage. Также не подтверждается, использовал ли Уолтц именно это приложение.
В Signal уже отреагировали, подчеркнув, что они не сотрудничают с TeleMessage и не отвечают за безопасность неофициальных версий своего приложения. Сами же TeleMessage после начала публикаций удалили со своего сайта практически всю информацию о продуктах и доступе к ним.
Тем временем выяснилось, что у компании есть действующие контракты с Государственным департаментом США, Центрами по контролю и профилактике заболеваний и даже с FEMA. Один из них — на $2,1 миллиона — действует до августа 2025 года. Это означает, что система, которая уже дала серьёзную трещину, продолжает использоваться в американских госструктурах.
Ещё по теме: