Видання 404 Media повідомило про злом ізраїльської компанії TeleMessage, яка постачає неофіційні версії застосунків Telegram, WhatsApp, WeChat і Signal. Незадовго до злому журналісти звернули увагу, що форком Signal (TM SGNL) користувався колишній радник Дональда Трампа з національної безпеки Майк Волтц.

Початково форки TeleMessage привернули увагу ЗМІ минулого тижня, після опублікованої Reuters фотографії. На знімку було видно, що Майк Волтц, який до 1 травня обіймав посаду радника з національної безпеки США, користується неофіційною версією Signal, що підтримує архівацію повідомлень. Це викликало у журналістів запитання про те, яку секретну інформацію чиновники можуть обговорювати в неофіційній версії месенджера, і як у підсумку захищені дані.

За кілька днів після того, як TM SGNL був помічений на пристрої Волтца, 404 Media повідомило, що анонімний хакер зламав компанію TeleMessage і викрав дані, серед яких був «вміст особистих повідомлень і групових чатів, надісланих за допомогою клону Signal від TeleMessage, а також модифікованих версій WhatsApp, Telegram і WeChat».

Згідно зі скріншотами повідомлень і внутрішніх систем, якими хакер поділився з виданням, викрадені дані були пов’язані з Прикордонно-митною службою США, криптовалютною біржею Coinbase і низкою фінансових установ.

Хакер дістав доступ до вмісту повідомлень, імен і контактної інформації урядових чиновників, імен користувачів і паролів для бекенда TeleMessage, а також відомостей про те, які агентства і компанії можуть бути клієнтами TeleMessage.

Хоча зломщик не отримав доступу до повідомлень Майка Волтца та інших американських чиновників, з якими той спілкувався, атака показала, що архіви чатів не були захищені наскрізним шифруванням.

Хакер пояснив, що отримав доступ до даних, які додаток періодично перехоплює з метою налагодження. Тобто він не міг перехопити кожне повідомлення і фрагмент даних, що проходять через сервіс TeleMessage. Однак захоплені зразки містили фрагменти незашифрованих даних, що проходять через сервери TeleMessage перед архівацією.

“Я б сказав, що весь процес [злому] зайняв близько 15-20 хвилин. Це було зовсім нескладно, – розповів хакер. – Якщо я зміг виявити це менш ніж за 30 хвилин, то і будь-хто інший теж міг. І хто знає, як давно існує ця вразливість?”.

Про яку саме вразливість ідеться не повідомляють, щоб нею не спробували скористатися інші зловмисники.

Анонім розповів журналістам, що атакував TeleMessage, бо йому було цікаво, «наскільки він захищений». Він не став повідомляти про проблеми самої компанії, оскільки вважав, що TeleMessage «докладе всіх зусиль, щоб все приховати».

Представники Smarsh, материнської компанії TeleMessage, повідомили ЗМІ, що зараз усі сервіси TeleMessage тимчасово не відключені, і компанія проводить розслідування цього «потенційного інциденту, пов’язаного з порушенням безпеки».