DDoSecrets merilis 410GB data heap dump hasil peretasan TeleMessage

 (micahflee.com)
5 poin oleh GN⁺ 2025-05-21 | 1 komentar | Bagikan ke WhatsApp
  • Kelompok peretas DDoSecrets merilis 410GB heap dump data yang diretas dari perusahaan Israel, TeleMessage
  • TeleMessage mengembangkan versi modifikasi dari Signal, WhatsApp, Telegram, WeChat untuk menyediakan layanan pengarsipan pesan
  • Data tersebut mencakup pesan plaintext, metadata, dan informasi pribadi, sehingga didistribusikan secara terbatas hanya kepada media dan peneliti
  • Produk TeleMessage mengklaim mendukung enkripsi end-to-end, tetapi terungkap bahwa strukturnya justru melewati mekanisme tersebut
  • Juga terungkap indikasi bahwa pemerintah AS dan para pejabatnya berbagi informasi sensitif melalui saluran yang lemah dari sisi keamanan

Ringkasan

  • Pada Mei 2025, kelompok peretas DDoSecrets merilis 410GB heap dump data yang diperoleh dari perusahaan Israel, TeleMessage
  • TeleMessage adalah penyedia solusi penyimpanan terpusat (arsip) untuk messenger utama seperti Signal, WhatsApp, Telegram, WeChat
  • Karena data ini memuat banyak informasi sensitif dan informasi identitas pribadi (PII), distribusinya dibatasi hanya untuk jurnalis dan peneliti

Ringkasan linimasa kejadian

  • Maret: Pada masa pemerintahan Trump, Penasihat Keamanan Nasional Mike Waltz sedang melakukan percakapan terkait kejahatan perang di grup Signal, lalu tanpa sengaja mengundang seorang jurnalis. Setelah isi terkait diberitakan, sidang dengar pendapat Kongres pun digelar
  • 1 Mei: Pada hari Waltz diturunkan jabatannya, ia tertangkap menggunakan versi modifikasi Signal bernama TM SGNL buatan TeleMessage. Lawan bicaranya adalah pejabat tinggi seperti Tulsi Gabbard, JD Vance, dan Marco Rubio
  • 3 Mei: Kode sumber TM SGNL dipublikasikan melalui GitHub
  • 4 Mei: Terjadi peretasan TeleMessage, dan fakta terkait dilaporkan oleh media
  • 5 Mei: Peretas lain kembali meretas TeleMessage sehingga layanan dihentikan
  • 6 Mei: Hasil analisis kode sumber TM SGNL membuktikan bahwa enkripsi end-to-end yang diklaim TeleMessage sebenarnya tidak diterapkan. Sebagian data hasil peretasan menunjukkan adanya log chat plaintext
  • 18 Mei: Analisis lanjutan mengungkap kerentanan pada server arsip TeleMessage. Siapa pun dapat mengakses URL tertentu (archive.telemessage.com/management/heapdump) untuk mengunduh Java heap dump

Rincian kebocoran kali ini

  • Heap dump yang dirilis diketahui diperoleh pada 4 Mei 2025, berasal dari kerentanan pada solusi pesan aman yang disediakan TeleMessage
  • Produk tersebut dipastikan telah digunakan oleh berbagai lembaga, termasuk pemerintah AS, sejak 2023
  • Data mencakup pesan plaintext, informasi pengirim/penerima, timestamp, nama grup, dan metadata yang kaya
  • DDoSecrets saat ini menyediakan informasi yang telah diekstrak dan dibersihkan untuk keperluan riset

Dampak dan implikasi

  • Insiden ini menyoroti kurangnya keandalan solusi perpesanan dan kelonggaran operasional
  • Dikonfirmasi adanya ketidaksesuaian antara tingkat keamanan yang diiklankan TeleMessage dan cara kerjanya yang sebenarnya
  • Terungkap bahwa pejabat tinggi pemerintah AS saling bertukar informasi rahasia melalui aplikasi pesan kloning yang rentan, sehingga memunculkan isu keamanan yang serius
  • Situasi yang disebut SignalGate ini masih berlangsung, dan analisis serta respons lanjutan dari komunitas keamanan diperkirakan akan terus berlanjut

Bacaan terkait

1 komentar

 
GN⁺ 2025-05-21
Opini Hacker News

  • Disebutkan bahwa di salah satu server ada endpoint /heapdump yang secara publik menyediakan heap dump server, jadi rasanya insiden ini membesar tak terkendali; kelompok ini sebenarnya tidak benar-benar “mempublikasikan” datanya karena jurnalis harus mengajukan permohonan untuk bisa mengaksesnya, dan mereka tidak mengungkap berapa banyak isi pesan yang sebenarnya ada, hanya menonjolkan angka 410GB dump sehingga isu ini jadi makin besar

    • Bayangkan mengambil perangkat lunak yang memang sudah tidak andal, lalu membuatnya lebih buruk lagi, dan bahkan menjualnya; menurutku ini memalukan baik dari sudut pandang perusahaan maupun pengguna

    • Menurutku poin pentingnya adalah mereka hanya menyebut angka 410GB tanpa mengungkap berapa banyak data nyata yang ada di dalam heap dump itu; aku baru-baru ini memeriksa dump besar yang mirip, dan isinya pada dasarnya cuma cache pembaruan paket OS dan log, sama sekali tidak ada data penting; ukuran heap dump sebenarnya mudah diperkecil, jadi kalau semuanya dilepas begitu saja terasa agak mencurigakan; tentu saja, bisa juga data penting sudah disaring dari dump 512GB itu

    • Ada anggapan umum bahwa kebanyakan perusahaan perangkat lunak Israel berisi mantan Mossad yang sangat hebat, tetapi menurutku kenyataannya tidak sehebat ekspektasinya; semoga ada banyak isi menarik dalam dump pesan ini

    • Kelihatannya seseorang memakai aplikasi Java lalu tanpa sengaja mengekspos semua endpoint JMX lewat HTTP; ini bukan konfigurasi bawaan, jadi menurutku ini sekadar kesalahan ceroboh

    • Aku penasaran apakah ini heap dump server atau heap dump untuk klien; kalau yang kedua, mungkin memang dimaksudkan untuk pencatatan log saat klien crash

  • Deskripsi LinkedIn CEO TeleMessage terasa seperti tulisan yang dibuat otomatis oleh AI dengan buruk, cuma dipenuhi ungkapan klise seperti inovasi strategis, nilai etis, SaaS, merger dan akuisisi, serta kepemimpinan industri

    • Menurutku ini benar-benar gaya tulisan LinkedIn yang sangat buruk

    • Ringkasnya terasa seperti, "Saya CEO. Perusahaan kami adalah SaaS. Saya CEO," diulang-ulang

  • Sudah beberapa minggu sejak kasus TeleMessage terungkap, dan aku penasaran apakah Signal Foundation sudah mengeluarkan pernyataan resmi; aku mempertanyakan standar ganda ketika mereka memperingatkan gugatan merek dagang untuk klien pihak ketiga open source yang memakai nama Signal, tetapi diam saat kontraktor pertahanan memakai nama yang sama

    • Ada pandangan bahwa banyak organisasi di AS sekarang memilih diam karena takut pada serangan pemerintah; di sisi lain, setelah Moxie yang dulu menjadi inti Signal Foundation pergi dan pengaruhnya memudar, menurutku jadi tidak jelas organisasi ini sekarang ingin mengejar apa

    • Menurutku Signal sama sekali tidak bersalah dalam kejadian ini; justru masalahnya ada pada TeleMessage dan para penanggung jawab yang memilih memakainya; sekalipun Signal berkomentar, hasilnya kemungkinan hanya akan mengundang kecaman tanpa ada gunanya

    • Seperti dulu ketika fork FOSS Signal mendapat peringatan hukum, aku penasaran apakah Molly masih berjalan sekarang, atau apakah ada server yang pada umumnya bisa di-host sendiri sebagai alternatif

    • Aku memang tidak suka perselisihan antara moxie dan fdroid, tetapi kejadian ini melibatkan persoalan kekuasaan negara dan korupsi yang lebih besar, jadi melampaui sekadar masalah satu individu atau perusahaan; coba bayangkan kalau pemerintah negara lain memakai perangkat lunak asing yang bahkan tak pernah didengar orang sebagai alat komunikasi nasional, pasti mereka akan dicap tidak kompeten

    • Aku paham perlunya melindungi nama dan merek; meskipun open source bisa di-fork, bukan berarti siapa pun bebas memakai merek dan nama karya aslinya; ditekankan bahwa jika kamu mem-fork versi open source Firefox atau VSCode, kamu tetap tidak bisa menempelkan nama aslinya pada salinanmu karena merek dagang

  • Meskipun fork Signal itu buruk, setidaknya masih legal, tetapi sungguh mengejutkan bahwa perusahaan ini juga menjual WhatsApp yang sudah di-crack; sulit dipercaya bahwa pelanggan nyata produk seperti ini adalah lembaga dan pemerintah; tautan juga dilampirkan

    • Aku penasaran kenapa ini ilegal; berbeda dengan kasus Beeper, Kementerian Kehakiman AS kadang justru tidak menyukai pelarangan klien privat, jadi apakah WhatsApp berbeda? WhatsApp archiver tampaknya bekerja dengan memasang patch pada WhatsApp milik pengguna, dan meski itu bisa jadi masalah keamanan, menurutku belum tentu ilegal

    • Dari pengalamanku, di pasar keuangan global, Global Relay dan TeleMessage memang merupakan pemasok utama solusi komunikasi untuk tujuan kepatuhan

  • Perusahaanku menangani pekerjaan yang jauh kurang penting, tetapi tetap menjalani penetration test eksternal dua kali setahun; aku heran bagaimana kesalahan ceroboh sebesar ini bisa secara hukum dibiarkan terjadi

    • Menurutku alasannya karena rekayasa perangkat lunak tidak diperlakukan serius sebagai rekayasa yang sesungguhnya; misalnya, tanggung jawab yang mengikuti ketika insiden terjadi pada dasarnya terbatas

    • Sepertinya dalam praktiknya ini memang tidak legal juga; aku dengar bahkan ada indikasi SOC2 mereka dipalsukan

  • Istilah 'Heapdump' kukenal 15 tahun lalu saat debugging aplikasi Android; ini adalah snapshot memori dari proses Java, jadi wajar kalau berisi plaintext; yang penting adalah kenapa heap seperti itu dibuka lewat endpoint HTTP publik tanpa autentikasi; kurasa mungkin ini di-hardcode di kode klien atau ditemukan dari pola request, tetapi dengan informasi ini saja sulit memahami arsitektur backend atau cara penyimpanan pesan, jadi aku bertanya-tanya apakah ada sesuatu yang kulewatkan

    • Endpoint observability Spring Boot punya jalur bawaan yang sudah tetap, jadi kalau tahu jalur API-nya, jalur endpoint heap dump juga mudah ditebak

  • Mengekspos endpoint /heapdump tanpa autentikasi di lingkungan produksi menurutku adalah kesalahan pemula, terlebih untuk layanan yang menangani komunikasi pemerintah yang sensitif; penggunaan teknologi lawas seperti hash MD5 dan JSP juga menunjukkan kurangnya pemahaman soal keamanan; insiden ini adalah contoh klasik kenapa keamanan defensif dan audit rutin itu wajib

    • Menurutku JSP tidak perlu dipandang negatif semata; Java Server Pages kini terus berkembang sebagai Jakarta Server Pages, versi terbarunya juga baru keluar belum lama ini, dan Spring Framework 7 pun akan menjadikannya fondasi; ekosistem Java terus bertumbuh, jadi kalau versinya tepat dan upgrade-nya terurus, ini tidak harus dianggap teknologi usang; hanya saja popularitasnya memang menurun dibanding dulu; lagipula, dengan teknologi modern sekalipun seperti next.js, orang tetap bisa membuat endpoint rentan tanpa autentikasi

  • Menurutku ketika para anggota parlemen sesekali ingin melarang enkripsi e2e atau menuntut backdoor, insiden ini bisa dijadikan contoh nyata yang sangat baik

  • Karena datanya sensitif dan berisi banyak PII, DDoSecrets hanya membagikannya kepada jurnalis dan peneliti; biasanya aku mendukung responsible disclosure, tetapi kali ini menurutku mungkin justru dibutuhkan kebocoran yang lebih menyakitkan dan mematikan; para diktator atau oligarki biasanya tidak terlalu peduli meski diretas, dan akan terus memakai alat serupa, jadi perubahan hanya bisa terjadi jika warga yang dirugikan marah; dalam kegagalan keamanan seperti ini, kecerdasan warga jadi kurang terlindungi; bahkan jika media atau peneliti mencoba melaporkannya, dalam masyarakat otoriter mereka bisa dengan mudah dibungkam, sehingga tercipta keadaan di mana tak seorang pun tahu situasi sebenarnya; para penguasa lalu bisa terus membenarkan penindasan tanpa perlawanan atau konsekuensi; jika ini hanya insiden keamanan perusahaan biasa, aku akan lebih memilih responsible disclosure, tetapi untuk mencegah kediktatoran menurutku kasusnya berbeda

    • Sekarang jurnalis pun sebenarnya tidak perlu dibungkam secara khusus; sudah banyak orang yang mempercayai akun SNS anonim atau influencer politik sebagai sumber informasi, jadi sekalipun ada pengungkapan, itu bisa begitu saja disapu dengan label “berita palsu”, dan kalau cukup banyak pemilih tertipu maka dampaknya nyaris hilang

    • Gagasan bahwa warga perlu menanggung kerugian agar sadar terhadap pemerintahan yang buruk terasa berbahaya bagiku; jika didorong ke ekstrem, cara pikir seperti ini bisa berujung pada pembenaran kekerasan atau penderitaan yang lebih besar; aku memperingatkan bahwa pola pikir bahwa orang harus lebih disakiti dulu agar tersadar pada dasarnya berbahaya

    • Jika data itu benar-benar dipublikasikan, dampaknya mungkin tidak mengenai para pemimpin, tetapi justru membahayakan para informan internal; misalnya, jika log berisi informasi sensitif seperti agen intelijen, nyawa mereka bisa terancam

    • Menyinggung kebocoran Cabinet Australia di masa lalu, dijelaskan bahwa stasiun televisi ikut membantu menutup-nutupi dengan mengembalikan sebagian besar informasi kepada pemerintah; pendekatan seperti itu justru bisa menyembunyikan fakta penting yang seharusnya diketahui publik dan berdampak besar secara politik; menurutku Signalgate kali ini juga mirip, dan terlepas dari partai mana pun, yang penting adalah hak publik untuk mengetahui lebih banyak

  • Rasanya ironis melihat para politisi melobi agar perangkat lunak komunikasi diberi backdoor lalu mereka sendiri kena peretasan yang sama; sayangnya, mereka tampaknya tidak punya kemampuan memahami ataupun empati untuk benar-benar menangkap makna dari rangkaian kejadian ini

    • Sebenarnya menurutku mereka sangat paham apa yang mereka lakukan; mereka bergerak dengan standar ganda "saya saja yang boleh aman, kamu tidak", dan bahkan ditunjukkan bahwa membuat pengguna berpikir "para politisi melakukan ini karena terlalu bodoh atau terlalu tidak peka" justru bisa jadi strategi yang mereka inginkan