DDoSecrets công bố 410GB dữ liệu heap dump bị hack từ TeleMessage

 (micahflee.com)
5 điểm bởi GN⁺ 2025-05-21 | 1 bình luận | Chia sẻ qua WhatsApp
  • Nhóm hacker DDoSecrets đã công bố 410GB heap dump lấy được sau khi xâm nhập công ty Israel TeleMessage
  • TeleMessage phát triển các phiên bản sửa đổi của Signal, WhatsApp, Telegram, WeChat để cung cấp dịch vụ lưu trữ tin nhắn
  • Dữ liệu này bao gồm tin nhắn dạng văn bản thuần, metadata và thông tin cá nhân, nên chỉ được phân phối hạn chế cho báo chí và nhà nghiên cứu
  • TeleMessage từng tuyên bố sản phẩm hỗ trợ mã hóa đầu cuối, nhưng sau đó bị phát hiện cấu trúc thực tế đã lách qua cơ chế này
  • Cũng xuất hiện dấu hiệu cho thấy chính phủ Mỹ và các quan chức đã chia sẻ thông tin nhạy cảm qua những kênh bảo mật yếu

Tổng quan

  • Vào tháng 5 năm 2025, nhóm tấn công DDoSecrets đã công bố 410GB dữ liệu heap dump thu được từ công ty Israel TeleMessage
  • TeleMessage là đơn vị cung cấp giải pháp lưu trữ tập trung (archive) cho các ứng dụng nhắn tin lớn như Signal, WhatsApp, Telegram, WeChat
  • Do dữ liệu này chứa nhiều thông tin nhạy cảm và thông tin định danh cá nhân (PII), nó chỉ được phân phối giới hạn cho nhà báo và nhà nghiên cứu

Dòng thời gian tóm tắt sự việc

  • Tháng 3: Trong thời kỳ chính quyền Trump, Cố vấn An ninh Quốc gia Mike Waltz đã vô tình mời một nhà báo vào nhóm Signal khi đang trao đổi về các cuộc trò chuyện liên quan đến tội ác chiến tranh. Sau khi nội dung liên quan được đưa tin, phiên điều trần quốc hội đã được tiến hành
  • Ngày 1 tháng 5: Vào ngày Waltz bị giáng chức, ông bị phát hiện đang sử dụng TM SGNL, một phiên bản sửa đổi của Signal do TeleMessage tạo ra. Những người trò chuyện cùng gồm các nhân vật cấp cao như Tulsi Gabbard, JD Vance và Marco Rubio
  • Ngày 3 tháng 5: Mã nguồn của TM SGNL được công khai qua GitHub
  • Ngày 4 tháng 5: Xảy ra vụ hack TeleMessage, và sự việc được truyền thông đưa tin
  • Ngày 5 tháng 5: Một hacker khác tiếp tục tấn công TeleMessage, khiến dịch vụ bị gián đoạn
  • Ngày 6 tháng 5: Kết quả phân tích mã nguồn TM SGNL chứng minh rằng mã hóa đầu cuối mà TeleMessage tuyên bố thực tế không được áp dụng. Một phần dữ liệu bị hack cho thấy có nhật ký chat dạng văn bản thuần
  • Ngày 18 tháng 5: Phân tích bổ sung công khai lỗ hổng trên máy chủ archive của TeleMessage. Bất kỳ ai cũng có thể truy cập URL cụ thể (archive.telemessage.com/management/heapdump) để tải xuống Java heap dump

Chi tiết vụ rò rỉ lần này

  • Heap dump được công bố lần này được thu thập vào ngày 4 tháng 5 năm 2025, bắt nguồn từ lỗ hổng trong giải pháp nhắn tin bảo mật do TeleMessage cung cấp
  • Sản phẩm này được xác nhận đã được nhiều cơ quan, bao gồm cả chính phủ Mỹ, sử dụng từ năm 2023
  • Dữ liệu bao gồm tin nhắn dạng văn bản thuần, thông tin người gửi/người nhận, dấu thời gian, tên nhóm và nhiều metadata phong phú khác
  • DDoSecrets hiện đang trích xuất và làm sạch dữ liệu cần thiết để phục vụ mục đích nghiên cứu

Tác động và hàm ý

  • Sự việc lần này làm nổi bật sự thiếu tin cậy của các giải pháp nhắn tin cùng sự lỏng lẻo trong vận hành
  • Đã xác nhận có sự không khớp giữa mức độ bảo mật TeleMessage quảng bá và cách hệ thống thực sự vận hành
  • Việc các quan chức cấp cao của chính phủ Mỹ trao đổi thông tin mật qua ứng dụng nhắn tin sao chép dễ bị tổn thương đã phơi bày một vấn đề an ninh nghiêm trọng
  • Sự cố lần này, được gọi là SignalGate, vẫn đang tiếp diễn và dự kiến cộng đồng bảo mật sẽ tiếp tục phân tích cũng như đưa ra biện pháp ứng phó

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-05-21
Ý kiến trên Hacker News

  • Có nhắc rằng một máy chủ có endpoint /heapdump và đã công khai cung cấp heap dump của máy chủ, nên cảm giác vụ việc lần này đã phình to vượt tầm kiểm soát; nhóm này thực ra không "công khai" dữ liệu hoàn toàn, mà nhà báo phải nộp đơn xin mới có thể truy cập; cũng chỉ nhấn mạnh con số 410GB dump mà không nói rõ có bao nhiêu nội dung tin nhắn thực tế, khiến câu chuyện càng bị thổi lớn hơn

    • Hãy thử tưởng tượng việc lấy một phần mềm vốn đã không đáng tin rồi làm cho nó còn tệ hơn, lại còn đem bán thu phí; đây là điều đáng xấu hổ cả với công ty lẫn người dùng

    • Tôi nghĩ điểm quan trọng là họ chỉ nhắc con số 410GB mà không cho biết lượng dữ liệu thực tế trong heap dump là bao nhiêu; gần đây tôi có kiểm tra một dump lớn tương tự, và thực chất gần như chỉ là cache cập nhật gói của hệ điều hành cùng các log, hoàn toàn không có dữ liệu quan trọng; kích thước heap dump có thể giảm đi dễ dàng, nên việc cứ tung ra nguyên gói như vậy tạo cảm giác khá đáng ngờ; tất nhiên cũng có thể là trong dump 512GB, dữ liệu quan trọng đã được lọc ra rồi

    • Mọi người thường có ấn tượng rằng đa số các công ty phần mềm Israel đều do những cựu nhân sự Mossad xuất sắc điều hành, nhưng thực tế theo tôi lại không được như kỳ vọng; hy vọng trong đống message dump lần này sẽ có nhiều nội dung thú vị

    • Có vẻ như ai đó dùng ứng dụng Java và vô tình phơi toàn bộ endpoint JMX ra HTTP; đây không phải cấu hình mặc định, nên tôi nghĩ chỉ là một sai sót do bất cẩn

    • Tôi thắc mắc đây là heap dump phía máy chủ hay heap dump dành cho client; nếu là phía client thì có thể ban đầu nó được chủ ý dùng để ghi log khi ứng dụng bị crash

  • Tôi thấy phần giới thiệu LinkedIn của CEO TeleMessage giống như bài do AI tự động sinh ra một cách cẩu thả, toàn những cụm sáo rỗng như đổi mới chiến lược, giá trị đạo đức, SaaS, M&A, vai trò dẫn dắt ngành

    • Đúng là kiểu văn phong LinkedIn tệ hại hết chỗ nói

    • Tóm lại cảm giác như đang lặp đi lặp lại rằng "Tôi là CEO. Công ty chúng tôi là SaaS. Tôi là CEO"

  • Đã vài tuần trôi qua kể từ khi vụ TeleMessage bị phanh phui, nên tôi tự hỏi Signal Foundation đã đưa ra lập trường chính thức nào chưa; tôi thấy khó hiểu trước tiêu chuẩn kép kiểu cảnh báo kiện nhãn hiệu khi có client bên thứ ba mã nguồn mở dùng tên Signal, nhưng lại im lặng khi một nhà thầu quốc phòng dùng chính cái tên đó

    • Có ý kiến cho rằng hiện nay ở Mỹ nhiều tổ chức đều im lặng vì sợ bị chính phủ tấn công; mặt khác, kể từ khi Moxie, người từng là linh hồn của Signal Foundation, rời đi và mờ nhạt dần, thì giờ cũng khó biết tổ chức này thực sự đang theo đuổi điều gì

    • Tôi nghĩ Signal không có lỗi gì trong vụ này; vấn đề nằm ở TeleMessage và những người có trách nhiệm đã chọn rồi sử dụng nó; dù Signal có lên tiếng thì cũng chỉ hứng chỉ trích, không mang nhiều ý nghĩa

    • Cũng như hồi các bản fork FOSS của Signal từng nhận cảnh báo pháp lý, tôi muốn biết hiện Molly còn hoạt động không, hoặc liệu có máy chủ nào nói chung có thể tự host trực tiếp hay không

    • Tôi cũng không hài lòng với vụ moxie và fdroid, nhưng chuyện lần này là vấn đề quyền lực nhà nước và sai phạm ở cấp độ lớn hơn nhiều, vượt xa chuyện của một cá nhân hay một công ty; cứ thử nghĩ xem nếu chính phủ nước khác dùng một phần mềm nước ngoài vô danh làm công cụ liên lạc quốc gia, người ta đã chỉ trích họ là bất tài đến mức nào

    • Tôi đồng ý với sự cần thiết phải bảo vệ tên gọi và thương hiệu; dù có fork mã nguồn mở thì cũng không thể tùy tiện dùng thương hiệu và tên của tác giả gốc; ngay cả khi fork bản mã nguồn mở của Firefox hay VSCode, do nhãn hiệu mà bản sao cũng không thể mang tên gốc

  • Dù bản fork Signal có tệ đến đâu thì ít nhất nó vẫn hợp pháp, nhưng việc công ty này còn bán cả WhatsApp đã crack mới thật sự gây sốc; càng khó tin hơn khi khách mua những sản phẩm như vậy lại là các cơ quan và chính phủ; có kèm cả liên kết

    • Tôi thắc mắc vì sao việc này lại là bất hợp pháp; khác với trường hợp Beeper, Bộ Tư pháp Mỹ đôi khi thậm chí không ủng hộ việc cấm client bên thứ ba, vậy WhatsApp có gì khác; WhatsApp archiver có vẻ hoạt động bằng cách cài bản vá vào WhatsApp của người dùng, có thể có vấn đề bảo mật nhưng chưa chắc là bất hợp pháp

    • Theo kinh nghiệm của tôi trong thị trường tài chính toàn cầu, Global Relay và TeleMessage đúng là những nhà cung cấp lớn về giải pháp giao tiếp phục vụ compliance

  • Công ty của tôi làm việc kém quan trọng hơn nhiều, nhưng vẫn được kiểm thử xâm nhập từ bên ngoài 2 lần mỗi năm; tôi không hiểu sao mức độ vô trách nhiệm như thế này lại có thể tồn tại hợp pháp được

    • Tôi nghĩ là vì kỹ nghệ phần mềm không được nhìn nhận nghiêm túc như một ngành kỹ sư thực thụ; ví dụ nếu xảy ra tai nạn thì bản thân trách nhiệm pháp lý đi kèm cũng rất hạn chế

    • Tôi cho rằng trên thực tế có lẽ nó cũng không hợp pháp; nghe nói còn có dấu hiệu SOC2 bị làm giả

  • 'Heapdump' là thuật ngữ tôi biết từ 15 năm trước khi debug ứng dụng Android; nó là ảnh chụp bộ nhớ của tiến trình Java nên tất nhiên có thể chứa plaintext; điều quan trọng là tại sao các heap đó lại được mở qua endpoint HTTP công khai; có lẽ nó bị hardcode trong mã phía client hoặc người ta đoán ra từ mẫu request; chỉ với thông tin này thì cũng khó mà hiểu được kiến trúc backend hay cách lưu trữ message, nên tôi tự hỏi có phải mình đang bỏ sót điều gì không

    • Các endpoint observability của Spring Boot có đường dẫn mặc định cố định, nên chỉ cần biết đường dẫn API thì cũng khá dễ đoán ra đường dẫn endpoint heap dump

  • Tôi nghĩ việc để lộ endpoint /heapdump không có xác thực trong môi trường production là sai lầm của người mới bắt đầu; với một dịch vụ xử lý liên lạc nhạy cảm của chính phủ thì còn nghiêm trọng hơn; việc dùng MD5 hash và các công nghệ cũ như JSP cũng cho thấy thiếu hiểu biết về bảo mật; đây là ví dụ điển hình cho thấy vì sao phải có bảo mật phòng thủ và kiểm toán định kỳ

    • Tôi không nghĩ cần nhìn JSP hoàn toàn tiêu cực; Java Server Pages nay vẫn tiếp tục phát triển dưới tên Jakarta Server Pages, bản mới cũng vừa ra gần đây, và Spring Framework 7 v.v. cũng sẽ dựa trên đó; hệ sinh thái Java vẫn đang tăng trưởng; nếu chỉ cần khớp đúng phiên bản và nâng cấp đầy đủ thì không thể xem đó là công nghệ lỗi thời, chỉ là giờ ít phổ biến hơn trước; thực tế thì ngay cả công nghệ mới hơn như next.js cũng vẫn có thể tạo ra endpoint yếu kém không xác thực

  • Tôi nghĩ khi các nghị sĩ thường đòi cấm mã hóa đầu cuối hoặc yêu cầu backdoor, thì có thể lấy chính vụ này làm ví dụ thực tế rất tốt

  • Vì dữ liệu quá nhạy cảm và chứa nhiều PII nên DDoSecrets chỉ chia sẻ cho nhà báo và nhà nghiên cứu; bình thường tôi ủng hộ công bố có trách nhiệm, nhưng lần này tôi lại nghĩ có lẽ cần một vụ rò rỉ đau hơn và chí mạng hơn; bọn độc tài hay tài phiệt dù bị hack cũng chẳng mấy bận tâm, vẫn sẽ tiếp tục dùng các công cụ tương tự, và chỉ khi người dân bị ảnh hưởng nổi giận thì mới tạo được thay đổi; trong một thất bại bảo mật như thế, trí tuệ của công dân được bảo vệ kém hơn; ngay cả khi báo chí hay giới nghiên cứu cố đưa tin, trong xã hội độc đoán họ cũng dễ bị bịt miệng, dẫn đến tình trạng không ai biết thực tế đang diễn ra thế nào; những kẻ cầm quyền có thể tiếp tục biện minh cho đàn áp mà không gặp kháng cự hay hậu quả; nếu chỉ là một sự cố bảo mật doanh nghiệp thông thường thì tôi sẽ nghiêng về công bố có trách nhiệm, nhưng để ngăn độc tài thì tôi nghĩ phải khác

    • Giờ đây thậm chí cũng chẳng cần phải bịt miệng nhà báo; đã có quá nhiều người tin các tài khoản ẩn danh trên mạng xã hội hoặc các influencer chính trị như nguồn tin, nên dù có phanh phui gì đi nữa thì cũng dễ bị gạt sang một bên bằng câu "tin giả", và nếu đủ nhiều cử tri bị lừa thì rốt cuộc cũng chẳng thay đổi được gì

    • Tôi thấy suy nghĩ rằng phải chấp nhận gây thiệt hại để đánh thức người dân trước một nền cai trị tồi tệ là rất nguy hiểm; nếu bị đẩy đến cực đoan, kiểu lập luận đó có thể dẫn tới việc biện minh cho bạo lực và đau khổ lớn hơn nữa; nói chung, cách nghĩ rằng phải làm tổn thương mọi người nhiều hơn thì họ mới tỉnh ra là rất đáng lo

    • Nếu thực sự công khai toàn bộ thì người bị hại có thể không phải lãnh đạo mà là các nguồn tin nội bộ; ví dụ nếu log chứa thông tin nhạy cảm như điệp viên thì tính mạng của họ có thể bị đe dọa

    • Nhắc đến vụ rò rỉ Cabinet ở Úc trước đây, có người giải thích rằng đài truyền hình đã góp phần che đậy bằng cách trả lại phần lớn thông tin cho chính phủ; cách làm như vậy rốt cuộc lại giúp che giấu những sự thật quan trọng mà người dân đáng ra phải biết, và có thể đã tác động chính trị rất lớn; họ cho rằng Signalgate lần này cũng tương tự, và bất kể đảng phái nào thì quyền được biết nhiều hơn của công dân vẫn là điều quan trọng

  • Tôi thấy thật buồn cười khi các chính trị gia vận động biến phần mềm liên lạc thành hệ thống có backdoor, rồi cuối cùng chính họ lại tự dính đúng kiểu hack như thế; đáng tiếc là có vẻ họ không có đủ năng lực hay sự đồng cảm để hiểu trọn vẹn chuỗi sự việc này có ý nghĩa gì

    • Thực ra tôi nghĩ họ hoàn toàn biết mình đang làm gì; họ hành động dựa trên tiêu chuẩn kép kiểu "chỉ tôi được bảo mật còn anh thì không", và thậm chí việc khiến người dùng nghĩ rằng "các chính trị gia làm vậy chỉ vì quá ngu hoặc quá vô cảm" mới chính là chiến lược mà họ mong muốn