Como o aplicativo de knockoff de sinalização Telemessage foi invadido em 20 minutos

Eles tentaram fazer login seguro.telemessage.com Usando um par dessas credenciais e descobriu que eles haviam acabado de invadir um usuário com um endereço de e -mail associado à Alfândega e Proteção de Fronteiras dos EUA, uma das agências que implementam a política de imigração draconiana de Trump. Desde então, o CBP confirmou que era um cliente de telemessagem.

Depois de gastar mais alguns minutos cavando o despejo de heap, o hacker também descobriu logs de bate -papo com texto simples. “Eu posso ler bate -papos internos do Coinbase, isso é incrível”, disse o hacker. (Coinbase não respondeu ao pedido de comentário da Wired, mas dizer 404 Media de que “não há evidências de que nenhuma informação sensível ao cliente da Coinbase tenha sido acessada ou que quaisquer contas de clientes estejam em risco, uma vez que a Coinbase não usa essa ferramenta para compartilhar senhas, frases de sementes ou outros dados necessários para acessar contas.”))

Nesse ponto, o hacker diz que passou de 15 a 20 minutos cutucando os servidores da Telemessage e já havia comprometido um de seus clientes do governo federal, juntamente com uma das maiores trocas de criptomoedas do mundo.

Como eu descobri de analisando O código -fonte da TM SGNL, ​​aplicativos de telemessago – como o que está sendo executado no telefone de Mike Waltz – mensagens não criptografadas de Mike Waltz para Archive.telemessage.com (Eu chamo isso de servidor de arquivo), que encaminha as mensagens para o destino final do cliente. Isso contradiz o material de marketing público da Telemessage, onde eles alegaram que a TM SNGL usa “Criptografia de ponta a ponta do telefone celular até o arquivo corporativo”.

O servidor Archive está programado em Java e é construído usando a Spring Boot, uma estrutura de código aberto para criar aplicativos Java. A Spring Boot inclui um conjunto de recursos chamados Atuator que ajuda os desenvolvedores a monitorar e depurar seus aplicativos. Um desses recursos é o Popa de depósito de despejoque é o URL que o hacker usou para baixar dumps de heap.

De acordo com o Spring Boot Atuator documentação: “Como os terminais podem conter informações confidenciais, deve -se considerar cuidadosamente quando expô -los.” No caso do servidor de arquivo da Telemessage, os dumps de heap continham nomes de usuário, senhas, logs de bate -papo não criptografados, chaves de criptografia e outras informações confidenciais.

Se alguém na Internet tivesse carregado o URL de despejo de heap, pois Mike Waltz estava enviando mensagens de texto usando o aplicativo TM SGNL, ​​o arquivo de despejo de heap também continha suas mensagens de sinal não criptografadas.

A 2024 publicar No blog da empresa de segurança em nuvem, lista o “arquivo exposto Heapdump” como a equívoco comum número um no atuador de inicialização da primavera. “Até a versão 1.5 (lançada em 2017), o endpoint /heapdump foi configurado como exposto publicamente e acessível sem autenticação por padrão. Desde então, em versões posteriores o atuador de inicialização da primavera mudou sua configuração padrão para expor apenas os autores de saúde e / /informações sem autenticação (estes são menos interessantes para os atacantes)”, escreveu o autor. “Apesar dessa melhoria, os desenvolvedores geralmente desativam essas medidas de segurança para fins de diagnóstico ao implantar aplicativos em ambientes de teste, e essa mudança de configuração aparentemente pequena pode permanecer despercebida e, assim, persistir quando um aplicativo é pressionado à produção, permitindo inadvertidamente que os invasores obtenham acesso não autorizado a dados críticos.”

Em um 2020 publicar No blog de tecnologia global do Walmart, outro desenvolvedor deu um aviso semelhante. “Além de /saúde e / /informações, todos os pontos de extremidade do atuador são arriscados para abrir para os usuários finais porque podem expor dumps, logs, dados de configuração e controles”, escreveu o autor. “Os terminais do atuador têm implicações de segurança e nunca devem ser expostos no ambiente de produção”.

A rápida exploração de Telemessage do hacker indica que o servidor de arquivamento foi mal configurado. Ele estava executando uma versão de oito anos da Spring Boot, ou alguém o configurou manualmente para expor o ponto de extremidade de despejo de heap à Internet pública.

É por isso que um hacker levou cerca de 20 minutos de incentivo antes de abrir, com dados sensíveis derramando.

Apesar dessa vulnerabilidade crítica e outros problemas de segurança com os produtos da TeleMessage – principalmente, que a empresa israelense que constrói os produtos pode acessar todos os registros de bate -papo de seus clientes em texto simples – alguém no governo Trump o implantou no telefone de Mike Waltz enquanto ele servia como consultor de segurança nacional.