Hack TeleMessage: dettagli sull'accesso in 20 minuti

L’esperto di sicurezza Micah Lee ha descritto in dettaglio come è avvenuta l’intrusione nei sistemi di TeleMessage (un clone di Signal) utilizzato da Michael Waltz, ex consigliere per la sicurezza nazionale dell’amministrazione Trump. Un ignoto cybercriminale ha sfruttato una vulnerabilità per accedere al servizio in circa 20 minuti.

Errata configurazione

Non è noto il giorno esatto della violazione. Micah Lee è stato contattato dall’autore dell’intrusione il 3 maggio. La notizia è stata riportata da 404 Media il giorno successivo, ma senza indicare tutti i dettagli. Due giorni dopo, l’azienda ha sospeso tutti i servizi. Non essendoci più rischi per la privacy degli utenti, l’esperto di sicurezza ha pubblicato la descrizione completa.

Il nome dell’app è TeleMessage Signal (o TM SGNL). È praticamente identica a Signal, ma conserva le copie di tutti i messaggi, eliminando così ogni tipo di protezione. Esaminando il pannello di amministrazione (secure.telemessage.com), Lee ha scoperto che le password erano state offuscate con l’algoritmo di hashing MD5, considerato non sicuro da oltre 15 anni. Il sito di TeleMessage era stato inoltre programmato in JSP, una tecnologia che consente di creare pagine dinamiche.

Utilizzando il tool feroxbuster, il cybercriminale ha scoperto un URL vulnerabile che termina con /heapdump su archive.telemessage.com. Dopo aver digitato questo URL, il server ha risposto con un dump heap Java, ovvero un file di circa 150 MB contenente un’istantanea della memoria del server al momento del caricamento dell’URL, a causa di un errore di configurazione.

Nel dump c’erano le credenziali (email e password) di molti account, tra cui quello della US Customs and Border Protection. Il cybercriminale ha trovato inoltre le chat in chiaro, tra cui quelle interne di Coinbase. Tutto in appena 15-20 minuti.

Lee ha successivamente scoperto che l’app TeleMessage carica i messaggi in chiaro sul server. Non viene quindi usata la crittografia end-to-end, come pubblicizzato dall’azienda israeliana. Se qualcuno ha ottenuto il dump mentre Waltz usava il servizio, all’interno ci sono anche i suoi messaggi.