Oturum açmayı denediler Secure.telemessage.com Bu kimlik bilgilerinin bir çiftini kullanarak ve Trump’ın acımasız göç politikasını uygulayan ajanslardan biri olan ABD gümrükleri ve sınır korumasıyla ilişkili bir e -posta adresini içeren bir kullanıcıyı hacklediklerini keşfetti. CBP o zamandan beri bir telemessage müşterisi olduğunu doğruladı.
Yığın çöpünü kazarak birkaç dakika daha geçirdikten sonra, hacker da düz metin sohbet günlüklerini keşfetti. Hacker, “Coinbase dahili sohbetlerini okuyabilirim, bu inanılmaz” dedi. (Coinbase, Wired’in yorum talebine yanıt vermedi, ancak 404 Media’ya “Hassas Coinbase müşteri bilgilerine erişildiğine veya herhangi bir müşteri hesaplarına risk altında olduğunu kanıtlamadı, çünkü Coinbase şifreleri, tohum ifadelerini veya hesaplara erişmek için gereken diğer verileri paylaşmak için kullanmadığından”.
Bu noktada, bilgisayar korsanı, Telemessage’ın sunucularına 15 ila 20 dakika geçirdiklerini ve dünyanın en büyük kripto para birimi borsalarından biri ile birlikte federal hükümet müşterilerinden birini zaten tehlikeye attıklarını söylüyor.
TM SGNL’nin kaynak kodunu analiz etmekten keşfettiğim gibi, telemessage uygulamaları – Mike Waltz’ın telefonunda çalışanlar gibi – şifrelenmemiş mesajları ekledi archive.telemessage.com (Buna arşiv sunucusu diyorum), daha sonra mesajları müşterinin son hedefine iletir. Bu, TM SNGL’nin “cep telefonundan kurumsal arşive kadar uçtan uca şifreleme” kullandığını iddia ettikleri Telemessage’ın kamu pazarlama materyaliyle çelişiyor.
Arşiv Sunucusu Java’da programlanmıştır ve Java uygulamaları oluşturmak için açık kaynaklı bir çerçeve olan Spring Boot kullanılarak oluşturulur. Spring Boot, geliştiricilerin uygulamalarını izlemelerine ve hata ayıklamasına yardımcı olan Actuator adlı bir dizi özellik içerir. Bu özelliklerden biri, hacker’ın yığın dökümlerini indirmek için kullandığı URL olan yığın döküm uç noktasıdır.
Spring Boot Actuator’ın belgelerine göre: “Uç noktaları hassas bilgiler içerebildiğinden, bunları ne zaman ortaya çıkaracağına dair dikkatli bir şekilde dikkat edilmelidir.” Telemessage’ın arşiv sunucusu durumunda, yığın dökümlerde kullanıcı adları, şifreler, şifrelenmemiş sohbet günlükleri, şifreleme anahtarları ve diğer hassas bilgiler içeriyordu.
İnternetteki herhangi biri Mike Waltz TM SGNL uygulamasını kullanarak mesaj atarken yığın döküm URL’sini doğru yüklediyse, yığın döküm dosyası şifrelenmemiş sinyal mesajlarını da içerecekti.
Bulut güvenlik şirketi Wiz’in blogunda 2024 yazısı, Spring Boot Actuator’da bir numaralı ortak yanlış yapılandırma olarak “Maruz Kalan Heapdump Dosyası” ı listeler. “Sürüm 1.5’e kadar (2017’de yayınlanacak), /heapdump uç noktası varsayılan olarak kimlik doğrulaması olmadan kamuya açık ve erişilebilir olarak yapılandırıldı. Daha sonraki sürümlerde, bahar çizme aktüatörü yalnızca kimlik doğrulaması olmadan /sağlık ve /bilgi uç noktalarını ortaya çıkarmak için varsayılan yapılandırmayı değiştirdi (bunlar saldırganlar için daha az ilginçtir).” “Bu iyileştirmeye rağmen, geliştiriciler bu güvenlik önlemlerini test ortamlarına uygulamaları dağıtırken teşhis amaçlı olarak devre dışı bırakır ve bu görünüşte küçük yapılandırma değişikliği fark edilmeyebilir ve bu nedenle bir uygulama üretime itildiğinde devam edebilir, yanlışlıkla saldırganların kritik verilere yetkisiz erişim elde etmesine izin verir.”
Walmart’ın Global Tech blogunda 2020 yazısında, başka bir geliştirici de benzer bir uyarı verdi. Yazar, “ /Sağlık ve /bilgi dışında, tüm aktüatör uç noktaları son kullanıcılara açmak risklidir, çünkü uygulama dökümlerini, günlükleri, yapılandırma verilerini ve kontrolleri ortaya çıkarabilirler” diye yazdı. “Aktüatör uç noktalarının güvenlik etkileri vardır ve asla üretim ortamında maruz kalmamalıdır.”
Bilgisayar korsanının hızlı telemessage istismarı, arşiv sunucusunun yanlış yapılandırıldığını gösterir. Ya Spring Boot’un sekiz yaşındaki bir versiyonunu çalıştırıyordu ya da birisi yığın döküm uç noktasını genel internete maruz bırakacak şekilde manuel olarak yapılandırdı.
Bu nedenle, bir hacker açılmadan önce yaklaşık 20 dakikalık prodding aldı ve hassas veriler döküldü.
Telemessage ürünleriyle ilgili bu kritik güvenlik açığı ve diğer güvenlik sorunlarına rağmen – özellikle, ürünleri inşa eden İsrail firması, müşterinin tüm sohbet günlüklerine düz metinlere erişebilir – Trump yönetiminde birisi, ulusal güvenlik danışmanı olarak hizmet ederken Mike Waltz’ın telefonuna dağıttı.