Хакер зламав і викрав дані клієнтів TeleMessage, маловідомої ізраїльської компанії, яка продає модифіковані версії Signal та інших додатків для обміну повідомленнями уряду США для архівування повідомлень. Про це повідомляє 404 Media.
Дані, викрадені хакером, містять вміст деяких прямих повідомлень і групових чатів, відправлених за допомогою клону Signal, а також модифікованих версій WhatsApp, Telegram і WeChat. TeleMessage нещодавно опинився в центрі хвилі висвітлення в ЗМІ після того, як Майк Волтц випадково розкрив, що використовував цей інструмент під час зустрічі кабінету міністрів з президентом Трампом.
Злам продемонстрував, що додаток, який збирає повідомлення найвищих посадових осіб в уряді — чати Волтца в додатку включають одержувачів, якими, як видається, є Марко Рубіо, Талсі Габбард і Джей-Ді Венс, — містив серйозні вразливості, які дозволили хакеру банально отримати доступ до архівних чатів деяких людей, які використовували той самий інструмент. Хакер не отримав повідомлення членів кабінету міністрів, Волтца і людей, з якими він спілкувався, але злам показав, що архівні журнали чатів не були наскрізно зашифровані між модифікованою версією програми для обміну повідомленнями і кінцевим пунктом призначення архіву, який контролюється клієнтом TeleMessage.
Згідно зі скріншотами повідомлень і внутрішніх систем, отриманих 404 Media, у зламаному матеріалі містяться дані, пов'язані з Митною та прикордонною службою США (CBP), криптовалютним гігантом Coinbase та іншими фінансовими установами.
Порушення є надзвичайно важливим не тільки для цих окремих клієнтів, але й для уряду США в більш широкому сенсі. У четвер 404 Media першою повідомила про те, що в той час радник з національної безпеки США Волтц випадково виявив, що під час засідання кабінету міністрів він використовував модифіковану версію Signal від TeleMessage. Використання цього інструменту викликало питання про те, яка інформація з обмеженим доступом обговорювалася в додатку і як ці дані були захищені, і сталося це після того, як стало відомо, що вищі посадові особи США використовували Signal для обговорення активних бойових операцій.
Хакер отримав доступ не до всіх повідомлень, що зберігалися або збиралися в TeleMessage, але, ймовірно, міг би отримати доступ до більшої кількості даних, якби вирішив це зробити, що підкреслює надзвичайний ризик, пов'язаний з використанням зазвичай безпечних додатків для наскрізного шифрування повідомлень, таких як Signal, і додаванням до них додаткової функції архівування.
«Я б сказав, що весь процес зайняв близько 15-20 хвилин. Це було зовсім не складно», — сказав хакер, описуючи, як вони зламали системи TeleMessage.
404 Media стверджує, що не знає особи хакера, але перевірила деякі аспекти матеріалів, які він анонімно надав.
Скріншот, наданий хакером. Відредаговано 404 Media.
Ці дані включають:
- очевидний зміст повідомлень;
- імена та контактну інформацію державних службовців;
- імена користувачів і паролі для внутрішньої панелі TeleMessage;
- вказівки на те, які установи та компанії можуть бути клієнтами TeleMessage.
Ці дані не є репрезентативними для всіх клієнтів TeleMessage або типів повідомлень, які вона охоплює; натомість, це знімки даних, що проходять через сервери TeleMessage в певний момент часу. Хакер зміг увійти до внутрішньої панелі TeleMessage, використовуючи імена користувачів і паролі, знайдені в цих знімках.
У повідомленні, надісланому до групового чату під назвою «Бригада доброчесних громадян», що міститься у зламаних даних, зазначено, що його «тип джерела» — «Сигнал», що означає, що воно надійшло з модифікованої версії додатку для обміну повідомленнями TeleMessage. Саме повідомлення було посиланням на твіт, опублікований у неділю, який є фрагментом інтерв'ю NBC Meet the Press з президентом Трампом про його мемкоїи. Зламані дані включають номери телефонів, які були частиною групового чату.
Одне зламане повідомлення було надіслано в груповий чат, ймовірно, пов'язаний з криптовалютною компанією Galaxy Digital.
Це означає, що хакер зміг вкрасти те, що виглядає як активне і своєчасне обговорення зусиль, спрямованих на прийняття надзвичайно важливого і суперечливого законопроєкту про криптовалюти; в суботу законодавці-демократи опублікували лист, в якому пояснили, що вони будуть проти нього. Співавтори законопроєкту сенаторка від штату Меріленд Анджела Алсобрукс і сенаторка від штату Нью-Йорк Кірстен Гіллібранд не підписали цього листа.
На одному зі скріншотів доступу хакера до панелі телекомунікаційних повідомлень перераховані імена, номери телефонів та адреси електронної пошти посадових осіб CBP. На скріншоті написано «вибрати 0 з 747», що вказує на те, що в даних може бути саме стільки посадових осіб УТПП. Схожий скріншот показує контактну інформацію нинішніх і колишніх співробітників Coinbase.
На іншому скріншоті, отриманому 404 Media, згадується Scotiabank. Фінансові установи можуть звернутися до такого інструменту, як TeleMessage, щоб відповідати вимогам щодо зберігання копій ділових повідомлень. Уряди мають законодавчі вимоги щодо збереження повідомлень у подібний спосіб.
Інший скріншот вказує на те, що розвідувальний відділ поліції Вашингтона може використовувати цей інструмент.
Хакер отримав доступ до даних, які додаток перехоплював з перервами з метою налагодження, і не зміг би перехопити кожне повідомлення або фрагмент даних, які проходять через сервіс TeleMessage. Однак вибірка даних, яку вони перехопили, містила фрагменти живих незашифрованих даних, що проходили через виробничий сервер TeleMessage на шляху до архівування.
404 Media перевірила зламані дані різними способами. По-перше, 404 Media зателефонувала за деякими номерами, вказаними як такі, що належать співробітникам CBP. В одному випадку людина, яка відповіла, сказала, що її ім'я збігається з ім'ям, вказаним у зламаних даних, а потім, коли її запитали, підтвердила свою приналежність до CBP. Повідомлення голосової пошти на інший номер містило ім'я ймовірного співробітника УТПП, яке фігурувало в даних.
404 Media перевірила кілька телефонних номерів, які виявилися пов'язаними з працівниками криптофірм Coinbase і Galaxy, за допомогою пошукової системи OSINT Industries, яка підтвердила, що ці номери належали людям, які працювали в цих компаніях.
Сервер, який зламав хакер, розміщений у хмарній інфраструктурі Amazon AWS у Північній Вірджинії. Проаналізувавши вихідний код модифікованого додатку Signal для Android від TeleMessage, 404 Media підтвердила, що додаток надсилає дані повідомлень на цю кінцеву точку. 404 Media також зробила HTTP-запит до цього сервера, щоб підтвердити, що він перебуває в мережі.
Майк Волтц перевіряє свій мобільний телефон під час засідання кабінету міністрів, яке проводить президент США Дональд Трамп у Білому домі, 30 квітня 2025 року. Фото: REUTERS
TeleMessage вийшов на перший план після того, як фотограф Reuters зробив фото, на якому Волтц користується мобільним телефоном. Збільшивши фотографію, можна було побачити, що він використовує модифіковану версію Signal, розроблену TeleMessage. Фотографія з'явилася приблизно через місяць після того, як видання The Atlantic повідомило, що вищі посадові особи США використовували Signal для обміну повідомленнями про військові операції. При цьому Волтц випадково додав головного редактора видання до групового чату Signal.
TeleMessage пропонує урядам і компаніям спосіб архівувати повідомлення з наскрізних зашифрованих додатків для обміну повідомленнями, таких як Signal і WhatsApp. TeleMessage робить це, створюючи модифіковані версії цих додатків, які надсилають копії повідомлень на віддалений сервер.
TeleMessage Signal Archiver (відео):
У відеоролику TeleMessage, розміщеному на YouTube, стверджується, що його додаток зберігає «недоторканою безпеку Signal і наскрізне шифрування при спілкуванні з іншими користувачами Signal».
404 Media зазначає, що це неправда, що рішення для архівування належним чином зберігає безпеку, яку пропонує наскрізний додаток для обміну зашифрованими повідомленнями, такий як Signal. Зазвичай лише той, хто надсилає повідомлення у Signal, і його одержувач можуть прочитати вміст повідомлення. TeleMessage, по суті, додає третю сторону до цієї розмови, надсилаючи копії цих повідомлень кудись на зберігання. Якщо ці копії не зберігати надійно, вони можуть, своєю чергою, стати об'єктом моніторингу або потрапити до чужих рук.
Цей теоретичний ризик тепер став цілком реальним.
Хакер розповів 404 Media, що вони обрали TeleMessage своєю мішенню, тому що їм було «просто цікаво, наскільки він безпечний». Вони не хотіли розкривати цю проблему безпосередньо компанії, оскільки вважали, що компанія може «зробити все можливе, щоб приховати її».
404 Media не пояснює детально, як хакеру вдалося отримати ці дані, на випадок, якщо інші можуть спробувати використати таку ж вразливість.
Згідно з даними про державні закупівлі, TeleMessage має контракти з низкою урядових установ США, включаючи Державний департамент і Центри з контролю і профілактики захворювань.
Нещодавно, після хвилі публікацій у ЗМІ про використання Волтцом цього інструменту, TeleMessage видалила свій веб-сайт. До цього він містив детальну інформацію про послуги, які компанія пропонує, можливості своїх додатків, а в деяких випадках і прямі посилання на завантаження самих додатків для архівування.
Читайте також
