H εφαρμογή ανταλλαγής μηνυμάτων TeleMessage, που χρησιμοποιούσε ο πρώην Σύμβουλος Εθνικής Ασφαλείας του Donald Trump, Mike Waltz, έχει παραβιαστεί, προκαλώντας ανησυχίες για πιθανή διαρροή ευαίσθητων κυβερνητικών δεδομένων. Ένας ανώνυμος χάκερ απέκτησε πρόσβαση στο TeleMessage, μια πλατφόρμα ανταλλαγής μηνυμάτων τρίτου παρόχου, η οποία έχει σχεδιαστεί για να μιμείται τη διεπαφή και τις δυνατότητες του Signal, προσθέτοντας ταυτόχρονα λειτουργίες αρχειοθέτησης, σύμφωνα με δημοσίευμα του 404 Media. Το εργαλείο αυτό φέρεται να χρησιμοποιείται ευρέως από αξιωματούχους και υπηρεσίες της αμερικανικής κυβέρνησης, προκειμένου να συμμορφώνονται με τις απαιτήσεις διατήρησης αρχείων.
Δείτε επίσης: Donald Trump: Συνάντηση στον Λευκό Οίκο για το TikTok
Ωστόσο, η παραβίαση αποκάλυψε σοβαρές αδυναμίες στην ασφάλεια των αρχειοθετημένων μηνυμάτων. Παρόλο που δεν υπήρξε πρόσβαση σε μηνύματα του Waltz ή άλλων κυβερνητικών στελεχών, η παραβίαση έφερε στο φως αρχειοθετημένες επικοινωνίες άλλων χρηστών του TeleMessage, συμπεριλαμβανομένων δεδομένων που συνδέονται φαινομενικά με κυβερνητικούς φορείς, όπως η Υπηρεσία Τελωνείων και Προστασίας Συνόρων, καθώς και ιδιωτικές εταιρείες όπως η Coinbase. Στιγμιότυπα που εξετάστηκαν από το 404 Media δείχνουν ονόματα χρηστών, κωδικούς πρόσβασης, πίνακες ελέγχου του backend και αποσπάσματα συνομιλιών, που όλα αποκτήθηκαν μέσω ενός κενού ασφαλείας, το οποίο κατά τον χάκερ, ήταν εύκολο να αξιοποιηθεί.
Οι χάκερ δήλωσαν ότι παραβίασαν το σύστημα από περιέργεια και δεν ενημέρωσαν την TeleMessage για το πρόβλημα, ισχυριζόμενοι ότι η εταιρεία πιθανότατα «θα προσπαθούσε να το συγκαλύψει όσο καλύτερα μπορούσε».
Σύμφωνα με την αναφορά, ο χάκερ κατάφερε να αποκτήσει πρόσβαση στον πίνακα ελέγχου του backend της εταιρείας, χρησιμοποιώντας στοιχεία σύνδεσης που βρήκε σε υποκλαπείσα πληροφορία. Επίσης, κατάφερε να δει τμήματα συνομιλιών που εστάλησαν μέσω τροποποιημένων εκδόσεων δημοφιλών εφαρμογών μηνυμάτων, όπως το WhatsApp, το Telegram και το WeChat.
Η Smarsh, η εταιρεία με έδρα το Πόρτλαντ που κατέχει το TeleMessage και βρίσκεται στη διαδικασία επαναπροσδιορισμού της εφαρμογής υπό το νέο όνομα Capture Mobile, δεν έχει ακόμη απαντήσει σε αιτήματα για σχολιασμό. Ούτε ο Mike Waltz ούτε ο Λευκός Οίκος έχουν τοποθετηθεί δημόσια.
Δείτε ακόμα: Donald Trump: Συμφωνία για το TikTok πριν τη λήξη της προθεσμίας;
Η Signal, γνωστή για την ισχυρή της κρυπτογράφηση edge-to-edge, αποστασιοποιήθηκε από την εφαρμογή-αντίγραφο, με εκπρόσωπό της να δηλώνει στο Reuters ότι δεν «μπορεί να εγγυηθεί για την ιδιωτικότητα ή την ασφάλεια μη επίσημων εκδόσεων του Signal».
Ο Waltz βρέθηκε στο επίκεντρο της δημόσιας προσοχής την περασμένη εβδομάδα, μετά τη δημοσίευση φωτογραφίας του από το Reuters, στην οποία φαινόταν να χρησιμοποιεί την εφαρμογή TeleMessage κατά τη διάρκεια συνεδρίασης του υπουργικού συμβουλίου με τον πρώην πρόεδρο Trump. Η αποπομπή του την Πέμπτη ήρθε έπειτα από εβδομάδες αντιδράσεων σχετικά με μια ομάδα στο Signal που φέρεται να δημιούργησε, προκειμένου να κοινοποιεί σε πραγματικό χρόνο εξελίξεις για τη στρατιωτική δραστηριότητα των ΗΠΑ στην Υεμένη. Η ομάδα έγινε αντικείμενο έντονης προσοχής όταν, κατά λάθος – είτε από τον ίδιο τον Waltz είτε από άλλο μέλος – προστέθηκε ένας γνωστός δημοσιογράφος στη συνομιλία.
Το περιστατικό έχει αναζωπυρώσει τις ανησυχίες σχετικά με τη χρήση τροποποιημένων εκδόσεων ασφαλών εφαρμογών που διαθέτουν δυνατότητες αρχειοθέτησης, σε περιβάλλοντα υψηλού κυβερνητικού επιπέδου. Παρότι οι επιπλέον αυτές λειτουργίες έχουν ως στόχο τη διατήρηση επίσημων αρχείων, ενδέχεται άθελά τους να δημιουργούν νέα κενά ασφαλείας – ειδικά όταν τα συστήματα αυτά δεν προστατεύονται επαρκώς.
Δείτε επίσης: Michael Waltz: Αντάλλαξε στρατιωτικές πληροφορίες μέσω προσωπικού Gmail;
Ένα σημαντικό συμπέρασμα από τα παραπάνω περιστατικά είναι πως η προσπάθεια συνδυασμού διαφάνειας (μέσω αρχειοθέτησης) με την ασφάλεια (μέσω κρυπτογραφημένων εφαρμογών) μπορεί να αποτύχει, αν οι τεχνολογικές λύσεις δεν εφαρμόζονται σωστά ή δεν συνοδεύονται από αυστηρές διαδικασίες διαχείρισης κινδύνου. Η χρήση “πειραγμένων” εκδόσεων ασφαλών εφαρμογών, όπως του Signal, για λόγους αρχειοθέτησης – χωρίς επίσημη υποστήριξη ή πιστοποίηση – ενδέχεται να ακυρώνει τα πλεονεκτήματα της αρχικής τεχνολογίας και να εκθέτει κρίσιμες πληροφορίες σε κίνδυνο.
Πηγή: indiatoday
