特朗普政府使用的信号克隆系统遭到黑客攻击

据404 Media获悉，一名黑客入侵并窃取了TeleMessage的客户数据。TeleMessage是一家鲜为人知的以色列公司，向美国政府出售Signal和其他即时通讯应用的修改版，用于存档信息。黑客窃取的数据包含一些使用其Signal克隆版发送的私信和群聊内容，以及WhatsApp、Telegram和微信的修改版。最近，迈克·沃尔兹（Mike Waltz）在与特朗普总统的内阁会议上意外透露自己使用了这款工具，TeleMessage因此成为媒体报道的焦点。

此次黑客攻击表明，一款收集政府最高级别官员聊天记录的应用程序（沃尔兹在该应用程序上的聊天记录收件人似乎包括马可·卢比奥、图尔西·加巴德和JD·万斯）存在严重漏洞，黑客可以轻松访问一些使用该工具的用户的聊天存档。黑客尚未获取内阁成员、沃尔兹以及与其通话的人员的聊天记录，但此次黑客攻击表明，聊天存档记录在修改版消息应用程序和TeleMessage客户控制的最终存档目的地之间并未进行端到端加密。

根据 404 Media 获得的消息和后端系统截图，被黑客攻击的材料中包含与海关和边境保护局 (CBP)、加密货币巨头 Coinbase 和其他金融机构相关的数据。

此次数据泄露事件不仅对个人用户影响巨大，对美国政府也影响广泛。周四，404 Media 率先报道，当时美国国家安全顾问沃尔兹在内阁会议上意外透露自己正在使用 TeleMessage 修改版的 Signal。该工具的使用引发了人们对该应用程序所讨论信息的机密性以及这些数据如何得到保护的质疑。此前，有消息称美国高级官员正在使用 Signal 讨论正在进行的作战行动。 

黑客并未访问 TeleMessage 存储或收集的所有消息，但如果他们愿意，很可能会访问更多数据，这凸显了使用通常安全的端到端加密消息应用程序（如 Signal）并为其添加额外的存档功能所带来的极端风险。

“我觉得整个过程大概花了15到20分钟，”这名黑客在描述他们如何入侵TeleMessage系统时说道。“这根本没费什么劲。” 404 Media目前尚不清楚这名黑客的身份，但已核实了他们匿名提供的部分资料。

黑客提供的截图 404 Media 删减

这些数据包括明显的消息内容、政府官员的姓名和联系信息、TeleMessage 后端面板的用户名和密码，以及哪些机构和公司可能是 TeleMessage 的客户。这些数据并不代表 TeleMessage 的所有客户或其涵盖的消息类型；而是某个时间点通过 TeleMessage 服务器的数据快照。黑客能够使用在这些快照中找到的用户名和密码登录 TeleMessage 后端面板。

被窃取的数据中包含一条发送给名为“Upstanding Citizens Brigade”的群聊的消息，该消息的“来源类型”为“信号”，表明它来自TeleMessage的修改版消息应用程序。这条消息本身是一个链接，指向周日发布的一条推文，该推文是NBC电视台《与媒体见面》节目采访特朗普总统的片段，内容是关于他的模因币（memecoin）。被窃取的数据中包含了该群聊中的电话号码。

一条被黑客入侵的消息被发送到一个显然与加密货币公司 Galaxy Digital 相关的群聊中。其中一条消息称，“需要 7 名民主党人才能达到 60 票……非常接近”，该消息来自“GD Macro”群。另一条消息则称：“刚刚与参议院的一名民主党工作人员进行了交谈——两位共同提案人（Alsobrooks 和 Gillibrand）没有在反对信上签名，因此他们认为，只要有另外 5 名民主党人支持，该法案仍然很有可能在参议院获得通过。”

这意味着黑客窃取了看似活跃且及时的讨论，这些讨论旨在推动一项极其重要且备受争议的加密货币法案的通过；周六，民主党议员发表了一封信，解释他们将反对该法案。该法案的共同提案人马里兰州参议员安吉拉·阿尔索布鲁克斯和纽约州参议员克尔斯滕·吉利布兰德并未签署这封信。

黑客访问 TeleMessage 面板的一张截图列出了美国海关和边境保护局 (CBP) 官员的姓名、电话号码和电子邮件地址。截图显示“从 747 中选择 0”，这表明数据中可能包含许多 CBP 官员。另一张类似的截图显示了 Coinbase 现任和前任员工的联系信息。 

404 Media 获得的另一张截图提到了丰业银行。金融机构可能会使用 TeleMessage 之类的工具来遵守有关保存商业通信副本的规定。政府也有法律要求以类似的方式保存信息。

另一张截图显示，华盛顿特区警察局情报部门可能正在使用该工具。

黑客提供的截图 404 Media 删减

黑客能够访问该应用程序为调试目的而间歇性捕获的数据，但无法捕获通过 TeleMessage 服务传递的每一条消息或数据片段。然而，他们捕获的样本数据确实包含了一些实时、未加密的数据片段，这些数据片段在被归档的过程中通过了 TeleMessage 的生产服务器。

404 Media 通过多种方式核实了被盗数据。首先，404 Media 致电了一些被列为美国海关及边境保卫局 (CBP) 官员的号码。在一个案例中，接电话的人表示他们的名字与被盗数据中的名字相同，并在被问及时确认了他们与 CBP 的关系。另一个号码的语音留言中也包含了数据中提到的一名据称是 CBP 官员的姓名。

404 Media 通过名为 OSINT Industries 的搜索工具运行了几个似乎与加密货币公司 Coinbase 和 Galaxy 员工相关的电话号码，并证实这些电话号码确实属于这些公司的员工。

黑客入侵的服务器托管在位于弗吉尼亚州北部的亚马逊 AWS 云基础设施上。通过查看TeleMessage 修改后的 Android Signal 应用的源代码，404 Media 确认该应用确实向此端点发送了消息数据。404 Media 还向该服务器发出了 HTTP 请求，以确认其处于在线状态。

TeleMessage 之所以引起关注，是因为路透社的一名摄影师拍下了沃尔兹使用手机的照片。照片放大后，我们发现他使用的是 TeleMessage 开发的 Signal 修改版。这张照片拍摄于《大西洋月刊》报道美国高级官员使用 Signal 互相发送军事行动消息的一个月后。当时，沃尔兹无意中将该刊物主编添加到了 Signal 的群聊中。

TeleMessage 为政府和企业提供了一种存档来自 Signal 和 WhatsApp 等端到端加密消息应用的消息的方法。TeleMessage 通过修改这些应用的版本来实现这一点，这些版本会将消息副本发送到远程服务器。TeleMessage在 YouTube 上发布的一段视频（现已无法播放）声称，其应用“在与其他 Signal 用户通信时，能够保持 Signal 的安全性和端到端加密”。

视频继续说道：“唯一的区别是，TeleMessage 版本会捕获所有传入和传出的 Signal 消息以用于存档。”

归档解决方案并不能完全保障端到端加密消息应用（例如 Signal）所提供的安全性，这种说法并不准确。通常情况下，只有 Signal 消息的发送者及其预期的接收者才能阅读消息内容。而 TeleMessage 本质上是通过将这些消息的副本发送到其他地方进行存储，从而将第三方添加到对话中。如果存储不当，这些副本可能会被监控或落入不法之徒之手。

这种理论上的风险现在已经变得非常现实。 

Signal 发言人此前在电子邮件中告诉 404 Media： “我们无法保证非官方版本 Signal 的隐私或安全属性。”

白宫副新闻秘书安娜·凯利此前在一封电子邮件中告诉 NBC 新闻：“正如我们多次说过的，Signal 是一款经批准供政府使用的应用程序，并安装在政府手机上。”

该黑客告诉 404 Media，他们之所以攻击 TeleMessage，是因为“好奇它的安全性”。他们不愿直接向该公司披露此事，因为他们担心该公司可能会“竭力掩盖”。

“如果我能在30分钟内找到这个漏洞，那么其他人也能。谁知道它已经存在漏洞多久了？”黑客说道。 

404 Media 没有详细解释黑客如何获取这些数据，以防其他人试图利用同样的漏洞。

根据公共采购记录，TeleMessage 与一系列美国政府机构签订了合同，包括国务院和疾病控制与预防中心。

TeleMessage 首席执行官盖伊·莱维特 (Guy Levit) 已向 TeleMessage 母公司 Smarsh 的新闻代表发出置评请求。该代表尚未回复电子邮件或语音留言。

最近，在媒体对沃尔兹使用该工具的报道一波波之后，TeleMessage 清空了其网站。此前，该网站包含其提供的服务、应用程序功能的详细信息，在某些情况下，还提供存档应用程序本身的直接下载。 

Coinbase 的一位发言人在一封电子邮件中告诉 404 Media：“我们注意到有报道称，一个广泛用于科技、银行和其他行业档案和交易监控的第三方通信工具遭到入侵。我们正在密切关注这些报道，并评估其对 Coinbase 的影响。目前，没有证据表明任何敏感的 Coinbase 客户信息被访问，也没有证据表明任何客户账户面临风险，因为 Coinbase 不会使用此工具共享密码、种子短语或其他访问账户所需的数据。” 

原文始发于微信公众号（Ots安全）：特朗普政府使用的信号克隆系统遭到黑客攻击