वे लॉग इन करने की कोशिश करते हैं secure.telemessage.com क्रेडेंशियल्स की एक जोड़ी का उपयोग करते हुए, यह पता चला कि उन्होंने यू.एस. सीमा शुल्क और सीमा सुरक्षा से संबंधित ईमेल पते के साथ उपयोगकर्ताओं को काट दिया था, उन एजेंसियों में से एक जिन्होंने ट्रम्प की कठिन आव्रजन नीतियों को लागू किया था। तब से, सीबीपी ने पुष्टि की है कि यह एक दूरसंचार ग्राहक है।
डंप को खोदने में कुछ मिनट बिताने के बाद, हैकर ने मिंगवेन चैट लॉग की भी खोज की। हैकर ने कहा, “मैं कॉइनबेस आंतरिक चैट पढ़ सकता हूं, जो अविश्वसनीय है।” ।
इस बिंदु पर, हैकर्स का कहना है कि उन्होंने टेलीमेजेज के सर्वरों पर 15 से 20 मिनट बिताए और एक संघीय सरकारी ग्राहक से समझौता किया है, साथ ही साथ दुनिया के सबसे बड़े क्रिप्टोक्यूरेंसी एक्सचेंजों में से एक है।
जैसा कि मैंने TM SGNL के स्रोत कोड का विश्लेषण करने से पाया, टेलीमेजेज एप्लिकेशन (जैसे कि माइक वॉल्ट्ज के फोन पर चलने वाले) पर योजनाबद्ध अनएन्क्रिप्टेड संदेश Archive.telemessage.com (मैं इसे एक संग्रह सर्वर कहता हूं) और फिर संदेश को क्लाइंट के अंतिम गंतव्य के लिए अग्रेषित करता हूं। यह टेलीमेजेज की सार्वजनिक विपणन सामग्री का विरोध करता है, जो दावा करता है कि टीएम एसएनजीएल “मोबाइल फोन से कंपनी प्रोफाइल तक” एंड-टू-एंड एन्क्रिप्शन का उपयोग करता है। “
आर्काइव सर्वर को जावा में प्रोग्राम किया जाता है और इसे स्प्रिंग बूट का उपयोग करके बनाया जाता है, जो जावा अनुप्रयोगों को बनाने के लिए एक खुला स्रोत ढांचा है। स्प्रिंग बूट में निष्पादकों नामक सुविधाओं का एक सेट शामिल है जो डेवलपर्स को उनके अनुप्रयोगों की निगरानी और डीबग करने में मदद करते हैं। इन सुविधाओं में से एक हीप डंप एंडपॉइंट है, जो कि URL है जो हैकर्स का उपयोग हीप डंप डाउनलोड करने के लिए करता है।
स्प्रिंग बूट निष्पादक के प्रलेखन के अनुसार: “क्योंकि एंडपॉइंट में संवेदनशील जानकारी हो सकती है, आपको ध्यान से विचार करना चाहिए कि उन्हें कब उजागर करना है।” Telemessage के संग्रह सर्वर के लिए, ढेर में उपयोगकर्ता नाम, पासवर्ड, अनएन्क्रिप्टेड चैट लॉग, एन्क्रिप्शन कुंजी और अन्य संवेदनशील जानकारी शामिल हैं।
यदि TM SGNL एप्लिकेशन का उपयोग करके टेक्स्टिंग करते समय इंटरनेट पर कोई भी हीप डंप URL को लोड करता है, तो हीप डंप फ़ाइल में उसका अनएन्क्रिप्टेड सिग्नल मैसेज भी होगा।
क्लाउड सिक्योरिटी कंपनी के WIZ ब्लॉग पर एक 2024 पोस्ट स्प्रिंग बूट निष्पादकों में पहली आम गलतफहमी के रूप में “नेकेड हीपडंप फ़ाइलों” को सूचीबद्ध करता है। “जब तक संस्करण 1.5 (2017 में जारी किया गया), /हीपडंप एंडपॉइंट को सार्वजनिक रूप से उजागर किया गया और प्रमाणीकरण के बिना डिफ़ॉल्ट रूप से कॉन्फ़िगर किया गया था। तब से, बाद के संस्करणों में, स्प्रिंग बूट निष्पादकों ने अपने डिफ़ॉल्ट कॉन्फ़िगरेशन को केवल // स्वास्थ्य और सूचना समापन बिंदुओं को प्रकट करने के लिए बदल दिया है (वे हमलावर के लिए कम दिलचस्प हैं),” लेखक ने लिखा। “सुधार के बावजूद, डेवलपर्स अक्सर इन सुरक्षा उपायों को अक्षम कर देते हैं, जब नैदानिक उद्देश्यों के लिए वातावरण का परीक्षण करने के लिए अनुप्रयोगों को तैनात करते हैं, और यह प्रतीत होता है कि छोटे कॉन्फ़िगरेशन परिवर्तन अभी भी किसी का ध्यान नहीं जा सकता है, इसलिए हमलावर को अनदेखा करना हमलावर को महत्वपूर्ण डेटा के लिए अनधिकृत पहुंच दे सकता है जब एप्लिकेशन को उत्पादन में धकेल दिया जाता है।”
2020 में वॉलमार्ट ग्लोबल टेक्नोलॉजी ब्लॉग पर एक लेख में, एक अन्य डेवलपर ने एक समान चेतावनी जारी की। “सभी निष्पादक समापन बिंदु, /स्वास्थ्य और /जानकारी को छोड़कर, अंतिम उपयोगकर्ताओं के लिए खुले होने के लिए जोखिम भरा हैं क्योंकि वे एप्लिकेशन डंप, लॉग, कॉन्फ़िगरेशन डेटा और नियंत्रणों को उजागर करते हैं,” लेखक लिखते हैं। “निष्पादक समापन बिंदु सुरक्षित हैं और उन्हें कभी भी उत्पादन में उजागर नहीं किया जाना चाहिए।”
हैकर्स द्वारा टेलीमेट्री के तेजी से शोषण से पता चलता है कि संग्रह सर्वर अच्छी तरह से कॉन्फ़िगर नहीं किए गए हैं। इसने या तो आठ साल पुराने स्प्रिंग बूट संस्करण को चलाया या किसी ने मैन्युअल रूप से इसे सार्वजनिक इंटरनेट पर ढेर कचरा पोर्ट को उजागर करने के लिए कॉन्फ़िगर किया।
यही कारण है कि हैकिंग के प्रकोप में लगभग 20 मिनट लगे और फिर संवेदनशील डेटा फट गए।
टेलीमेजेज के उत्पादों में इस गंभीर भेद्यता और अन्य सुरक्षा चिंताओं के बावजूद, सबसे विशेष रूप से, इज़राइली कंपनी जो उत्पादों का निर्माण करती है, वह अपने सभी ग्राहकों के लिए प्रचार-आधारित तरीके से चैट लॉग का उपयोग कर सकती है, लेकिन ट्रम्प प्रशासन में उन्होंने इसे माइक वाल्ट्ज के फोन पर तैनात किया, जो एक राष्ट्रीय सुरक्षा सलाहकार है।