उन्होंने लॉग इन करने की कोशिश की secure.telemessage.com इन क्रेडेंशियल्स की एक जोड़ी का उपयोग करते हुए और पता चला कि उन्होंने यूएस कस्टम्स और बॉर्डर प्रोटेक्शन से जुड़े एक ईमेल पते के साथ एक उपयोगकर्ता को हैक कर लिया था, जो ट्रम्प की ड्रैकोनियन आव्रजन नीति को लागू करने वाली एजेंसियों में से एक है। सीबीपी ने तब से पुष्टि की है कि यह एक टेलीमेजेज ग्राहक था।
ढेर डंप के माध्यम से खुदाई करने में कुछ और मिनट बिताने के बाद, हैकर ने प्लेनटेक्स्ट चैट लॉग की भी खोज की। हैकर ने कहा, “मैं कॉइनबेस आंतरिक चैट पढ़ सकता हूं, यह अविश्वसनीय है।” (कॉइनबेस ने टिप्पणी के लिए वायर्ड के अनुरोध का जवाब नहीं दिया, लेकिन किया कहना 404 मीडिया कि “कोई सबूत नहीं है कि कोई भी संवेदनशील कॉइनबेस ग्राहक की जानकारी एक्सेस की गई थी या यह कि कोई भी ग्राहक खाते जोखिम में हैं, क्योंकि CoinBase इस टूल का उपयोग पासवर्ड, बीज वाक्यांश, या खातों तक पहुंचने के लिए आवश्यक अन्य डेटा साझा करने के लिए नहीं करता है।”
इस बिंदु पर, हैकर का कहना है कि उन्होंने टेलीमेजेज के सर्वर पर 15 से 20 मिनट बिताए थे, और पहले से ही अपने संघीय सरकार के ग्राहकों में से एक के साथ -साथ दुनिया के सबसे बड़े क्रिप्टोक्यूरेंसी एक्सचेंजों में से एक से समझौता कर लिया था।
जैसा कि मैंने खोजा था का विश्लेषण TM SGNL का सोर्स कोड, टेलीमेजेज ऐप्स – जैसे माइक वाल्ट्ज के फोन पर चल रहा है – अनएन्क्रिप्टेड मैसेज को अपलोड किया गया Archive.telemessage.com (मैं इसे आर्काइव सर्वर कहता हूं), जो तब ग्राहक के अंतिम गंतव्य के संदेशों को अग्रेषित करता है। यह टेलीमेजेज की सार्वजनिक विपणन सामग्री का विरोध करता है, जहां उन्होंने दावा किया कि टीएम एसएनजीएल “मोबाइल फोन से कॉरपोरेट आर्काइव के माध्यम से” एंड-टू-एंड एन्क्रिप्शन का उपयोग करता है। “
आर्काइव सर्वर को जावा में प्रोग्राम किया गया है और इसे स्प्रिंग बूट का उपयोग करके बनाया गया है, जो जावा एप्लिकेशन बनाने के लिए एक खुला स्रोत ढांचा है। स्प्रिंग बूट में एक्ट्यूएटर नामक सुविधाओं का एक सेट शामिल है जो डेवलपर्स को उनके अनुप्रयोगों की निगरानी और डीबग करने में मदद करता है। इन विशेषताओं में से एक है ढेर डंप समापन बिंदुजो कि हैप डंप डाउनलोड करने के लिए इस्तेमाल किया जाने वाला URL है।
स्प्रिंग बूट एक्ट्यूएटर के अनुसार प्रलेखन: “चूंकि एंडपॉइंट में संवेदनशील जानकारी हो सकती है, इसलिए उन्हें इस बारे में ध्यान दिया जाना चाहिए कि उन्हें कब उजागर किया जाए।” Telemessage के संग्रह सर्वर के मामले में, हीप डंप में उपयोगकर्ता नाम, पासवर्ड, अनएन्क्रिप्टेड चैट लॉग, एन्क्रिप्शन कुंजी और अन्य संवेदनशील जानकारी शामिल थी।
अगर इंटरनेट पर किसी ने भी ढेर डंप URL को लोड किया था, क्योंकि माइक वाल्ट्ज टीएम एसजीएनएल ऐप का उपयोग करके टेक्स्टिंग कर रहा था, तो हीप डंप फाइल में उसके अनएन्क्रिप्टेड सिग्नल मैसेज भी शामिल थे।
एक 2024 डाक क्लाउड सिक्योरिटी कंपनी पर वाइज़ के ब्लॉग में स्प्रिंग बूट एक्ट्यूएटर में नंबर एक सामान्य गलतफहमी के रूप में “एक्सपोज़्ड हीपडंप फ़ाइल” सूचीबद्ध है। “अप तक संस्करण 1.5 (2017 में जारी), /हीपडंप एंडपॉइंट को डिफ़ॉल्ट रूप से प्रमाणीकरण के बिना सार्वजनिक रूप से उजागर और सुलभ के रूप में कॉन्फ़िगर किया गया था। तब से, बाद के संस्करणों में स्प्रिंग बूट एक्ट्यूएटर ने अपने डिफ़ॉल्ट कॉन्फ़िगरेशन को बदल दिया है, जो कि केवल /स्वास्थ्य और जानकारी के अंत बिंदुओं को उजागर करने के लिए प्रमाणीकरण के बिना (ये हमलावरों के लिए कम दिलचस्प हैं),”। “इस सुधार के बावजूद, डेवलपर्स अक्सर वातावरण का परीक्षण करने के लिए अनुप्रयोगों को तैनात करते समय नैदानिक उद्देश्यों के लिए इन सुरक्षा उपायों को अक्षम कर देते हैं, और यह प्रतीत होता है कि छोटे कॉन्फ़िगरेशन परिवर्तन पर ध्यान नहीं दिया जा सकता है और इस तरह से बने रह सकते हैं जब एक एप्लिकेशन को उत्पादन पर धकेल दिया जाता है, अनजाने में हमलावरों को महत्वपूर्ण डेटा के लिए अनधिकृत पहुंच प्राप्त करने की अनुमति देता है।”
एक 2020 में डाक वॉलमार्ट के ग्लोबल टेक ब्लॉग पर, एक अन्य डेवलपर ने एक समान चेतावनी दी। ” /स्वास्थ्य और /जानकारी के अलावा, सभी एक्ट्यूएटर एंडपॉइंट्स अंतिम उपयोगकर्ताओं के लिए खोलने के लिए जोखिम भरा हैं क्योंकि वे एप्लिकेशन डंप, लॉग, कॉन्फ़िगरेशन डेटा और नियंत्रण को उजागर कर सकते हैं,” लेखक ने लिखा। “एक्ट्यूएटर एंडपॉइंट्स के सुरक्षा निहितार्थ हैं और उन्हें कभी भी उत्पादन वातावरण में उजागर नहीं किया जाना चाहिए।”
हैकर का टेलीमेजेज का त्वरित शोषण इंगित करता है कि संग्रह सर्वर बुरी तरह से गलत था। यह या तो स्प्रिंग बूट का आठ साल पुराना संस्करण चला रहा था, या किसी ने इसे मैन्युअल रूप से कॉन्फ़िगर किया था ताकि सार्वजनिक इंटरनेट पर हीप डंप एंडपॉइंट को उजागर किया जा सके।
यही कारण है कि यह एक हैकर को लगभग 20 मिनट के लिए ले गया, इससे पहले कि यह खुला फटा, संवेदनशील डेटा को बाहर निकाल दिया।
टेलीमेजेज के उत्पादों के साथ इस महत्वपूर्ण भेद्यता और अन्य सुरक्षा मुद्दों के बावजूद – सबसे विशेष रूप से, कि इजरायली फर्म जो उत्पादों का निर्माण करती है, वह अपने सभी ग्राहक के चैट लॉग को प्लेनटेक्स्ट में एक्सेस कर सकती है – ट्रम्प प्रशासन में किसी ऐसे व्यक्ति ने इसे माइक वाल्ट्ज के फोन में तैनात किया, जबकि वह राष्ट्रीय सुरक्षा सलाहकार के रूप में सेवा कर रहा था।
