Part 01:单一账户沦陷导致公共频道信息外泄
6月7日,法国政府专为公务员打造的加密通讯平台 Tchap 遭遇入侵,法国网络安全机构 ANSSI 第一时间监测到了攻击。入侵手法极其简单:攻击者仅通过攻陷某一用户账户便获得了平台访问权限,并未使用任何复杂的技术漏洞利用手段。
攻击者在法国数字事务总局(DINUM)发布官方声明前就宣称对此事负责,表示通过针对教育分片(matrix.agent.education.tchap.gouv.fr)的社会工程攻击得手。其披露的发现内容更令人震惊:声称已抓取近 65 万条消息、超 7.3 万个账户信息(含电子邮箱和设备元数据)以及超过 13.5 GB 的文档和媒体文件。
来源:Frenchbreaches.com
攻击者还宣称发现法国税务机关某地区主管通过 PowerShell 脚本泄露的硬编码 LDAP 凭证。其声明称:“我通过社会工程学在教育分片(matrix.agent.education.tchap.gouv.fr)获取了有效账户。以下内容均为该账户可访问范围,其他分片将包含更多数据。”
Part 02:官方封锁账户,但“公共频道”成了漏洞
DINUM 的官方声明试图淡化事件,并尽力控制已暴露的损失。官方指出,私密对话采用端到端加密,即使账户被盗,历史的私密消息仍然无法访问。声明称:“目前,发起恶意请求的账号已被识别并立即封禁……可能暴露的用户账户数据至少包括:姓名、邮箱地址、所属机构以及头像。”技术人员正在梳理日志,以确定攻击者到底访问了哪些内容。
问题的关键在于:Tchap 区分了公共聊天室(任何用户可进入,不加密)和私密聊天室(加密)。理论上,攻击者的访问权限仅限于公共频道。但该应用每月有 30 万活跃用户,很多公务员可能并未仔细阅读“公共”二字的含义,公共频道里依然可能存在敏感信息。
DINUM 已向法国数据保护机构 CNIL 通报了个人数据可能泄露的情况,并向所有 Tchap 用户再次重申了公共聊天室的使用规则:“根据 Tchap 的服务条款,任何个人、敏感或机密信息不得在公共聊天中交流;这些交流应保留在私密对话中。只要每位用户遵守服务条款,Tchap 仍然是安全的专业交流平台。”
在发生数据泄露后才提醒用户不该在公共频道分享敏感信息,好比事故发生后立一块警示牌。
Part 03:事件背景:强制使用后安全审查没跟上
这一事件的时机值得注意。2025 年 8 月,法国总理弗朗索瓦·贝鲁下令所有公务员必须使用 Tchap,并禁止在工作中使用外国应用。因此,相比 2018 年刚推出时仅为少数人使用的内部工具,如今的 Tchap 成为更具吸引力的攻击目标。
在没有对多年前的架构设计进行相应安全审查的情况下,就强制大规模推广使用——这种模式往往就会导致此类事件的发生。目前调查仍在进行中。
参考来源:
France's Government Messaging App Tchap Got Breached
https://securityaffairs.com/193393/security/frances-government-messaging-app-tchap-got-breached.html | 
发表于 昨天 23:12
|
查看: 5|
回复: 0
