Похоже, новая администрация президента США Дональда Трампа подхватила мнение, что «роль кибербезопасности в современном мире преувеличена». В марте в секретный чат команды Трампа случайно добавили журналиста издания The Atlantic. А теперь произошел взлом мессенджера, которым пользуется администрация Трампа.
Израильская компания TeleMessage занимается созданием специальных версий мессенджеров вроде Signal для правительственных нужд США. Эти программы предназначены для сохранения копий сообщений чиновников. Но стало известно, что хакер смог взломать системы защиты компании и похитил данные пользователей, в том числе содержимое некоторых личных и групповых чатов в версиях Signal, WhatsApp, Telegram и WeChat, которые были изменены компанией TeleMessage.
Эта компания попала в центр внимания после того, как конгрессмен Майк Волц случайно засветил приложение во время встречи с Дональдом Трампом. На фото было видно, что он использует именно модифицированную версию Signal от TeleMessage.
Взлом показал, что инструмент, которым пользуются даже высшие должностные лица, имел серьезные уязвимости. Например, в чатах Волца, которые стали частью этого слива, упоминаются такие известные личности, как Марко Рубио, Талси Габбард и Джей-Ди Ванс. Несмотря на это, хакер не получил доступа к сообщениям Волца и его собеседников. Но сам факт взлома доказывает, что архивы чатов не были защищены сквозным шифрованием, которое обычно имеет Signal. Иначе говоря, копии сообщений передавались на серверы TeleMessage в открытом виде.
Среди украденных данных — сообщения, связанные с Таможенной и пограничной службой США (ТПС), криптовалютной компанией Coinbase и другими финансовыми учреждениями. У журналистов есть скриншоты из систем TeleMessage, подтверждающие это.
Хакер заявил, что взломал систему за 15-20 минут. По его словам, это было совсем не сложно. В похищенных данных содержатся тексты сообщений, имена и контакты правительственных чиновников, имена пользователей и пароли для доступа к внутренней панели TeleMessage, перечень потенциальных клиентов (агентства, компании, банки).
Это не полная база данных всех пользователей TeleMessage — лишь снимок того, что проходило через серверы компании на определенный момент. Но этого хватило, чтобы хакер смог войти в систему.
Один из взломанных чатов назывался Upstanding Citizens Brigade. Сообщение в нем содержало ссылку на интервью Трампа о его мемкоине. Другое сообщение касалось обсуждения криптозакона в Сенате — сообщения свидетельствуют об активной внутренней работе над продвижением законопроекта. Это были еще не публичные обсуждения.
Журналисты проверили достоверность утечки. Например, они позвонили по номерам, которые якобы принадлежат работникам ТПС — некоторые из них подтвердили свою личность. Другие номера они сверили через OSINT-сервисы — подтверждение также было.
Взломанный сервер расположен на инфраструктуре Amazon AWS в Северной Вирджинии. Журналисты также подтвердили, что модифицированный Signal от TeleMessage действительно отправляет сообщения на этот сервер.
TeleMessage утверждает, что их приложение сохраняет «полную безопасность Signal», только добавляет функцию архивации. Но это не так. В классическом Signal сообщение может прочитать только отправитель и получатель. А с версией от TeleMessage в разговор вмешалась третья сторона, имеющая доступ к копиям.
СпецпроектыОстання хвиля реєстрації на InfoSec Ukraine 2025 – масштабний івент про кібербезпекуЯк ефективно запускати та вести нові проєкти? Етапи підготовки, кейси та поради від Favbet Tech
Представитель Signal ранее заявил:
«Мы не можем гарантировать безопасность сторонних версий Signal».
Хакер объяснил, что взломал систему «из любопытства», чтобы проверить ее безопасность. Сообщать об уязвимости самой компании он не захотел, так как считает, что те бы просто «замяли дело».
«Если я смог это найти менее чем за 30 минут — то любой другой тоже мог. И кто знает, сколько времени была эта уязвимость?» — добавил хакер.
TeleMessage имеет контракты со многими государственными структурами США, в том числе Госдепом и Центром контроля заболеваний.
После волны огласки сайт компании был полностью очищен — с него исчезли все упоминания об услугах, приложениях и возможностях. Раньше даже можно было скачать приложение для архивирования прямо с сайта.
Coinbase подтвердила, что она знает о взломе и изучает ситуацию. В то же время компания заверила, что через TeleMessage не передавала пароли, seed-фразы или другую конфиденциальную информацию. Представители МПС, Scotiabank, Galaxy Digital и полиции Вашингтона комментариев не предоставили.
Ранее хакер «взломал» OpenAIно компания это скрыла. Также стоит напомнить, что США объявили в розыск хакера, который, вероятно взломал «Дію» в 2022 году.
Источник: 404 Media
