Dalam perkembangan yang membimbangkan bagi keselamatan siber kerajaan, TeleMessage telah menggantung semua perkhidmatan berikutan laporan tentang pelanggaran keselamatan yang ketara yang mendedahkan komunikasi sensitif dari pelbagai agensi kerajaan dan organisasi swasta. Syarikat dari Israel ini, yang menyediakan versi aplikasi pesanan terenkripsi popular seperti Signal yang diubah suai untuk tujuan pengarkiban, kini menghadapi persoalan serius tentang amalan keselamatannya dan kelemahan yang wujud dalam pendekatan pengarkiban pesanannya.
Pelanggaran dan Penemuannya
Insiden keselamatan ini terdedah melalui siasatan oleh 404 Media, yang mendedahkan bahawa seorang penggodam telah berjaya menceroboh sistem backend TeleMessage. Menurut laporan, penyerang tersebut mendapat akses kepada mesej yang diarkibkan dalam masa hanya 15 hingga 20 minit dengan mengeksploitasi kredensial yang ditemui dalam data yang dipintas. Ini membolehkan mereka memasuki panel backend di mana nama pengguna, kata laluan, dan kandungan mesej boleh dilihat. Pelayan yang dikompromi dikenal pasti sebagai titik akhir Amazon Web Services yang terletak di Virginia Utara, fakta yang disahkan melalui analisis kod sumber aplikasi Signal yang diubah suai.
Penggunaan Profil Tinggi Terdedah
Kebimbangan keselamatan ini mendapat perhatian umum selepas Reuters mengambil gambar Mike Waltz, bekas Penasihat Keselamatan Negara kepada Donald Trump, menggunakan apa yang kelihatan seperti klon Signal dari TeleMessage semasa mesyuarat kabinet. Pendedahan ini menjadi sangat membimbangkan selepas ditemui bahawa Waltz telah mencipta kumpulan perbualan Signal untuk berkongsi kemas kini langsung mengenai operasi ketenteraan AS di Yemen, yang secara tidak sengaja dikongsi dengan seorang wartawan. Gambar Reuters menunjukkan bahawa pegawai berprofil tinggi lain, berpotensi termasuk Marco Rubio, Tulsi Gabbard, dan JD Vance, juga merupakan penerima dalam komunikasi Waltz melalui aplikasi tersebut.
 |
|---|
| Suasana mesyuarat rasmi menyerlahkan penggunaan aplikasi pesanan seperti TeleMessage dalam kalangan pegawai kerajaan berprofil tinggi |
Penggunaan Meluas oleh Kerajaan dan Korporat
Rekod perolehan awam menunjukkan bahawa TeleMessage mempunyai kontrak dengan beberapa agensi kerajaan AS, termasuk Jabatan Negara dan Pusat Kawalan dan Pencegahan Penyakit. Kontrak-kontrak ini merentasi pelbagai pentadbiran dan tidak terhad kepada era Trump. Satu kontrak aktif yang diberikan oleh Jabatan Keselamatan Dalam Negeri dan FEMA memperuntukkan 2.1 juta dolar untuk pengarkiban mesej elektronik mudah alih, berjalan dari Februari 2023 hingga Ogos 2025. Selain penggunaan kerajaan, pelanggaran ini juga mendedahkan komunikasi dari US Customs and Border Protection, syarikat mata wang kripto Coinbase, institusi kewangan seperti Scotiabank, dan Cawangan Perisikan Polis Metropolitan Washington D.C.
Agensi Kerajaan yang Menggunakan TeleMessage:
- Jabatan Negara
- Pusat Kawalan dan Pencegahan Penyakit
- Jabatan Keselamatan Dalam Negeri
- FEMA
- Kastam dan Perlindungan Sempadan AS
Kelemahan Keselamatan Asas
Pakar keselamatan telah menunjukkan kelemahan kritikal dalam pendekatan TeleMessage: walaupun syarikat itu mendakwa mengekalkan enkripsi Signal semasa komunikasi, proses menangkap dan menyimpan mesej yang dinyahenkripsi untuk tujuan arkib secara semula jadi memperkenalkan risiko keselamatan baru. Setelah mesej-mesej ini meninggalkan peranti pengguna dan diarkibkan di pelayan TeleMessage, ia tidak lagi dilindungi oleh enkripsi hujung-ke-hujung, menjadikannya terdedah kepada akses tanpa kebenaran jika sistem tersebut dikompromi. Pelanggaran ini mendedahkan bukan sahaja mesej dari klon Signal TeleMessage tetapi juga dari versi WhatsApp, Telegram, dan WeChat yang diubah suai.
Aplikasi yang Diubahsuai oleh TeleMessage:
- Signal
- Telegram
Respons Syarikat dan Penggantungan Perkhidmatan
Sebagai tindak balas terhadap pelanggaran tersebut, TeleMessage telah mengambil langkah drastik. TeleMessage sedang menyiasat insiden keselamatan yang berpotensi. Setelah dikesan, kami bertindak cepat untuk mengawalnya dan melibatkan firma keselamatan siber luar untuk menyokong siasatan kami, kata jurucakap dari Smarsh, syarikat induk TeleMessage. Sebagai langkah berjaga-jaga, semua perkhidmatan TeleMessage telah digantung sementara. Syarikat itu juga telah mengeluarkan sebahagian besar kandungan laman webnya, termasuk butiran perkhidmatan dan pautan muat turun aplikasi yang sebelum ini tersedia.
Persoalan Peraturan dan Pematuhan
Syarikat induk TeleMessage, Smarsh, yang kini menjenamakan semula aplikasi tersebut sebagai Capture Mobile, telah menekankan bahawa peranan mereka adalah untuk membantu pelanggan mematuhi peraturan dengan menangkap dan menyimpan komunikasi. Tom Padgett, presiden perniagaan perusahaan Smarsh, memberitahu NBC News bahawa pelanggan boleh memilih dari pelbagai pilihan pengarkiban, termasuk menyimpan mesej dalam arkib Smarsh atau menghantarnya ke alamat Gmail. Walau bagaimanapun, Smarsh mendakwa ia bukan arkib rekod untuk mana-mana agensi kerajaan. Yang penting, aplikasi ini tidak diluluskan untuk digunakan di bawah Program Pengurusan Risiko dan Kebenaran Persekutuan AS (FedRAMP), menimbulkan persoalan tentang kesesuaiannya untuk komunikasi kerajaan.
Maklumat Kontrak Utama:
- Kontrak DHS dan FEMA: $2.1 juta
- Tempoh kontrak: Februari 2023 hingga Ogos 2025
- Tujuan: Pengarkiban mesej elektronik mudah alih
Pendirian Signal
Jurucakap Signal telah menjarakkan aplikasi asal dari TeleMessage, menekankan bahawa Signal tidak mempunyai perjanjian dengan TeleMessage dan tidak mengetahui tentang produk tersebut sebelum gambar Reuters muncul. Signal tidak dapat menjamin privasi atau keselamatan versi tidak rasmi aplikasinya, menyoroti risiko yang berkaitan dengan versi yang diubah suai ini. Insiden ini menekankan ketegangan yang wujud antara reka bentuk aplikasi seperti Signal yang berfokuskan privasi dan keperluan pematuhan kerajaan dan industri terkawal.
Implikasi Keselamatan yang Lebih Luas
Pelanggaran ini menimbulkan kebimbangan yang ketara tentang keselamatan komunikasi kerajaan peringkat tinggi dan pertukaran antara keperluan keselamatan dan pematuhan. Ketika agensi kerajaan dan organisasi terus bergelut dengan keperluan untuk mengarkibkan komunikasi sambil mengekalkan keselamatan, insiden ini berfungsi sebagai peringatan yang jelas bahawa sebarang pengubahsuaian pada protokol pesanan selamat memperkenalkan kelemahan yang berpotensi. Kemudahan penggodam mendapat akses kepada maklumat sensitif menunjukkan bahawa langkah keselamatan yang lebih kukuh diperlukan semasa mengarkibkan komunikasi terenkripsi, terutamanya yang mengandungi maklumat kerajaan yang sensitif.