DDoSecrets เปิดเผยข้อมูล heap dump ขนาด 410GB ที่แฮ็กมาจาก TeleMessage

 (micahflee.com)
5 คะแนน โดย GN⁺ 2025-05-21 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • กลุ่มแฮ็กเกอร์ DDoSecrets ได้เปิดเผยข้อมูล heap dump ขนาด 410GB ที่แฮ็กมาจากบริษัทอิสราเอล TeleMessage
  • TeleMessage พัฒนาเวอร์ชันดัดแปลงของ Signal, WhatsApp, Telegram, WeChat เพื่อให้บริการจัดเก็บข้อความ
  • ข้อมูลดังกล่าวมีทั้ง ข้อความแบบ plaintext, เมทาดาทา, และข้อมูลส่วนบุคคล จึงมีการแจกจ่ายแบบจำกัดเฉพาะสื่อมวลชนและนักวิจัย
  • แม้ TeleMessage จะอ้างว่าผลิตภัณฑ์รองรับ การเข้ารหัสแบบ end-to-end แต่ภายหลังพบว่าโครงสร้างจริงเป็นการหลีกเลี่ยงระบบดังกล่าว
  • ยังมีการเปิดเผยด้วยว่าเจ้าหน้าที่รัฐบาลสหรัฐและผู้เกี่ยวข้องได้แชร์ข้อมูลอ่อนไหวผ่าน ช่องทางที่มีช่องโหว่ด้านความปลอดภัย

ภาพรวม

  • ในเดือนพฤษภาคม 2025 กลุ่มแฮ็กเกอร์ DDoSecrets ได้เปิดเผยข้อมูล heap dump ขนาด 410GB ที่ได้มาจากบริษัทอิสราเอล TeleMessage
  • TeleMessage เป็นผู้ให้บริการโซลูชันจัดเก็บส่วนกลาง (archive) สำหรับแอปส่งข้อความหลักอย่าง Signal, WhatsApp, Telegram, WeChat
  • เนื่องจากข้อมูลนี้มีข้อมูลอ่อนไหวและ ข้อมูลระบุตัวบุคคล (PII) จำนวนมาก จึงมีการเผยแพร่ จำกัดเฉพาะนักข่าวและนักวิจัย

ไทม์ไลน์สรุปเหตุการณ์

  • เดือนมีนาคม: ในช่วงรัฐบาลทรัมป์ Mike Waltz ที่ปรึกษาความมั่นคงแห่งชาติ ได้เชิญนักข่าวเข้ากลุ่ม Signal โดยผิดพลาด ระหว่างสนทนาเกี่ยวกับอาชญากรรมสงคราม เหตุการณ์นี้ถูกนำเสนอเป็นข่าวและนำไปสู่ การไต่สวนในสภา
  • 1 พฤษภาคม: ในวันที่ Waltz ถูกลดบทบาท มีผู้พบเห็นว่าเขากำลังใช้ Signal เวอร์ชันดัดแปลงชื่อ TM SGNL ที่สร้างโดย TeleMessage โดยคู่สนทนามีบุคคลระดับสูงอย่าง Tulsi Gabbard, JD Vance และ Marco Rubio
  • 3 พฤษภาคม: ซอร์สโค้ด ของ TM SGNL ถูกเผยแพร่ผ่าน GitHub
  • 4 พฤษภาคม: เกิดเหตุ TeleMessage ถูกแฮ็ก และข้อเท็จจริงที่เกี่ยวข้องถูกสื่อรายงาน
  • 5 พฤษภาคม: แฮ็กเกอร์อีกรายแฮ็ก TeleMessage ซ้ำอีกครั้ง ทำให้บริการหยุดชะงัก
  • 6 พฤษภาคม: ผลการวิเคราะห์ซอร์สโค้ดของ TM SGNL พิสูจน์ว่า การเข้ารหัสแบบ end-to-end ที่ TeleMessage กล่าวอ้างนั้นไม่ได้ถูกใช้งานจริง และพบ บันทึกแชตแบบ plaintext ในข้อมูลที่ถูกแฮ็กบางส่วน
  • 18 พฤษภาคม: การวิเคราะห์เพิ่มเติมเปิดเผยช่องโหว่ของเซิร์ฟเวอร์ archive ของ TeleMessage โดยทุกคนสามารถเข้าถึง URL เฉพาะ (archive.telemessage.com/management/heapdump) เพื่อดาวน์โหลด Java heap dump ได้

รายละเอียดของข้อมูลรั่วไหลครั้งนี้

  • heap dump ที่เปิดเผยถูกเก็บมาเมื่อ 4 พฤษภาคม 2025 และมีต้นตอมาจากช่องโหว่ในโซลูชันส่งข้อความปลอดภัยที่ TeleMessage ให้บริการ
  • ยืนยันได้ว่าผลิตภัณฑ์นี้ถูกใช้งานโดยหลายหน่วยงานรวมถึงรัฐบาลสหรัฐตั้งแต่ปี 2023
  • ข้อมูลประกอบด้วย ข้อความแบบ plaintext, ข้อมูลผู้ส่ง/ผู้รับ, timestamp, ชื่อกลุ่ม และ เมทาดาทา จำนวนมาก
  • DDoSecrets กำลัง ดึงและคัดกรอง ข้อมูลที่จำเป็นเพื่อให้ใช้ในการวิจัย

ผลกระทบและนัยสำคัญ

  • เหตุการณ์นี้สะท้อนถึง การขาดความน่าเชื่อถือของโซลูชันรับส่งข้อความ และ ความหละหลวมในการดำเนินงาน
  • มีการยืนยันแล้วว่ามี ความไม่สอดคล้องกันระหว่างระดับความปลอดภัยที่ TeleMessage โฆษณากับการทำงานจริง
  • การที่เจ้าหน้าที่ระดับสูงของรัฐบาลสหรัฐส่งต่อข้อมูลลับผ่าน แอปส่งข้อความโคลนที่มีช่องโหว่ ทำให้ประเด็นนี้กลายเป็น ปัญหาความปลอดภัยร้ายแรง
  • วิกฤตครั้งนี้ที่ถูกเรียกว่า SignalGate ยังคงดำเนินอยู่ และคาดว่าจะมีการวิเคราะห์และรับมือเพิ่มเติมจากชุมชนความปลอดภัยต่อไป

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-05-21
ความคิดเห็นจาก Hacker News

  • มีคนบอกว่ามี /heapdump endpoint อยู่บนเซิร์ฟเวอร์หนึ่ง และมันเปิดให้เข้าถึง heap dump ของเซิร์ฟเวอร์แบบสาธารณะ เหมือนเรื่องนี้จะบานปลายเกินควบคุมไปแล้ว กลุ่มนี้ไม่ได้ “เผยแพร่” ข้อมูลแบบเปิดจริง ๆ เพราะนักข่าวต้องยื่นคำขอจึงจะเข้าถึงได้ และพวกเขาก็ไม่ได้บอกด้วยว่ามีเนื้อหาข้อความจริง ๆ มากแค่ไหน แค่เน้นตัวเลขว่าเป็น dump ขนาด 410GB เลยยิ่งกลายเป็นประเด็น

    • ลองนึกภาพการเอาซอฟต์แวร์ที่เชื่อถือไม่ได้อยู่แล้วมาทำให้แย่ลงกว่าเดิม แล้วยังเก็บเงินอีก มันน่าอับอายทั้งในมุมบริษัทและในมุมผู้ใช้

    • คิดว่าประเด็นสำคัญคือการพูดถึงแต่ตัวเลข 410GB โดยไม่อธิบายว่ามีข้อมูลจริงอยู่เท่าไร เมื่อไม่นานมานี้ตัวเองเพิ่งตรวจ dump ขนาดใหญ่คล้ายกัน แต่จริง ๆ มีแค่แคชอัปเดตแพ็กเกจของ OS กับ log เท่านั้น ไม่มีข้อมูลสำคัญเลย ขนาด heap dump ลดได้ง่ายอยู่แล้ว แต่กลับปล่อยออกมาหมดแบบนี้เลยดูน่าสงสัย แน่นอนว่าใน dump 512GB นั้นก็อาจมีการคัดข้อมูลสำคัญออกไปแล้วก็ได้

    • คนมักมีภาพจำว่าบริษัทซอฟต์แวร์อิสราเอลส่วนใหญ่เต็มไปด้วยอดีตเจ้าหน้าที่ Mossad ฝีมือเยี่ยม แต่ความจริงอาจไม่ได้เก่งอย่างที่คาดหวัง หวังว่าข้อความใน dump รอบนี้จะมีอะไรน่าสนใจเยอะ

    • ดูเหมือนมีใครใช้แอปพลิเคชัน Java แล้วเผลอเปิด JMX endpoint ทั้งหมดออกทาง HTTP นี่ไม่ใช่ค่าตั้งต้น จึงน่าจะเป็นความผิดพลาดจากความประมาทล้วน ๆ

    • สงสัยว่านี่เป็น heap dump ของฝั่งเซิร์ฟเวอร์หรือของไคลเอนต์ ถ้าเป็นไคลเอนต์ก็อาจตั้งใจไว้เพื่อเก็บ log ตอนแอปล่มก็ได้

  • รู้สึกว่าคำแนะนำตัวบน LinkedIn ของ CEO ของ TeleMessage เหมือนข้อความที่ AI สร้างแบบลวก ๆ เต็มไปด้วยคำซ้ำซากอย่างนวัตกรรมเชิงกลยุทธ์ คุณค่าทางจริยธรรม SaaS การควบรวมและซื้อกิจการ และความเป็นผู้นำในอุตสาหกรรม

    • คิดว่ามันเป็นสไตล์การเขียนแบบ LinkedIn ที่แย่มากจริง ๆ

    • สรุปคือให้ความรู้สึกเหมือนพูดว่า "ฉันเป็น CEO บริษัทเราเป็น SaaS ฉันเป็น CEO" วนไปมา

  • ผ่านมาหลายสัปดาห์แล้วหลังเรื่อง TeleMessage ถูกเปิดเผย เลยสงสัยว่า Signal Foundation มีจุดยืนอย่างเป็นทางการหรือยัง รู้สึกแปลกใจกับมาตรฐานสองชั้นที่ขู่ฟ้องเรื่องเครื่องหมายการค้าถ้ามีโอเพนซอร์ส third-party client ใช้ชื่อ Signal แต่กลับเงียบเมื่อบริษัทด้านกลาโหมใช้ชื่อนี้เหมือนกัน

    • มีมุมมองว่าทุกวันนี้หลายองค์กรในสหรัฐฯ พยายามอยู่นิ่ง ๆ เพราะกลัวจะโดนรัฐบาลเล่นงาน อีกด้านหนึ่งก็รู้สึกว่า Moxie ซึ่งเคยเป็นแกนหลักของ Signal Foundation ได้ออกไปแล้วและบทบาทก็หายไป ทำให้ไม่ชัดว่าองค์กรตอนนี้กำลังมุ่งไปทางไหน

    • คิดว่าในเหตุการณ์นี้ Signal ไม่ได้ทำอะไรผิดเลย ปัญหาอยู่ที่ TeleMessage และผู้มีอำนาจที่เลือกใช้มันมากกว่า ต่อให้ Signal ออกมาพูดอะไร ก็คงมีแต่โดนด่าโดยไม่ได้ช่วยอะไร

    • อยากรู้ว่าตอนนี้ Molly ยังดำเนินการอยู่ไหม หรือโดยรวมแล้วยังมีเซิร์ฟเวอร์ที่โฮสต์เองได้โดยตรงอยู่หรือเปล่า เหมือนกับสมัยก่อนที่ Signal FOSS fork เคยได้รับคำเตือนทางกฎหมาย

    • แม้จะไม่พอใจกับความขัดแย้งระหว่าง moxie กับ fdroid แต่เรื่องนี้เป็นปัญหาใหญ่กว่านั้นมาก เป็นเรื่องอำนาจรัฐและความไม่ชอบมาพากลที่เกินกว่าจะมองว่าเป็นแค่ปัญหาของบุคคลหรือบริษัทเดียว ลองคิดดูว่าถ้ารัฐบาลประเทศอื่นใช้ซอฟต์แวร์ต่างชาติที่แทบไม่มีใครรู้จักเป็นเครื่องมือสื่อสารระดับชาติ คนก็คงด่าว่าไร้ความสามารถแน่

    • เห็นด้วยว่าจำเป็นต้องปกป้องชื่อและแบรนด์ ถึงจะ fork โอเพนซอร์สได้ แต่ก็ใช่ว่าจะเอาแบรนด์และชื่อเดิมไปใช้ตามใจได้ อย่างการ fork Firefox หรือเวอร์ชันโอเพนซอร์สของ VSCode ก็ยังใช้ชื่อเดิมกับสำเนาไม่ได้เพราะติดเรื่องเครื่องหมายการค้า

  • ถึง Signal fork จะห่วย แต่ก็ยังถูกกฎหมายอยู่ดี ทว่าที่น่าช็อกจริง ๆ คือบริษัทนี้ยังขาย WhatsApp ที่ถูกแคร็กด้วย ไม่น่าเชื่อว่าลูกค้าที่ซื้อผลิตภัณฑ์แบบนี้จะเป็นหน่วยงานและรัฐบาล พร้อมแนบลิงก์ไว้ด้วย

    • สงสัยว่าทำไมถึงผิดกฎหมาย เพราะต่างจากกรณีของ Beeper กระทรวงยุติธรรมสหรัฐฯ บางครั้งกลับไม่เห็นด้วยกับการห้าม private client ด้วยซ้ำ เลยถามว่า WhatsApp ต่างกันอย่างไร มองว่า WhatsApp archiver ดูเหมือนเป็นการติดตั้งแพตช์ลงใน WhatsApp ของผู้ใช้จริง ซึ่งอาจมีปัญหาด้านความปลอดภัย แต่ไม่ถึงกับผิดกฎหมาย

    • แชร์ประสบการณ์ว่าจริง ๆ ในตลาดการเงินโลก Global Relay กับ TeleMessage ถือเป็นผู้ให้บริการหลักของโซลูชันสื่อสารเพื่อการทำ compliance

  • บริษัทของตัวเองทำงานที่สำคัญน้อยกว่านี้มาก แต่ก็ยังให้คนนอกเข้ามาทำ penetration test ปีละสองครั้ง เลยสงสัยว่าความสะเพร่าไร้ความรับผิดชอบระดับนี้เกิดขึ้นได้อย่างถูกกฎหมายได้อย่างไร

    • คิดว่าเป็นเพราะวิศวกรรมซอฟต์แวร์ยังไม่ถูกมองอย่างจริงจังว่าเป็นวิศวกรรมจริง ๆ เช่น ถ้าเกิดอุบัติเหตุขึ้น ความรับผิดที่ตามมาก็ยังมีจำกัด

    • ดูเหมือนว่าในความเป็นจริงมันอาจไม่ได้ถูกกฎหมายอยู่แล้ว ได้ยินมาด้วยว่าแม้แต่ SOC2 ก็มีพิรุธว่าอาจทำปลอมขึ้นมา

  • คำว่า 'Heapdump' เป็นคำที่ตัวเองรู้จักตั้งแต่ดีบักแอป Android เมื่อ 15 ปีก่อน มันคือ snapshot หน่วยความจำของโปรเซส Java จึงหลีกเลี่ยงไม่ได้ที่จะมี plaintext อยู่ในนั้น ประเด็นสำคัญคือทำไม heap พวกนั้นถึงเปิดไว้บน HTTP endpoint แบบสาธารณะ คาดว่าน่าจะมีการ hardcode ไว้ในโค้ดไคลเอนต์ หรือไม่ก็เดาได้จากรูปแบบของ request แต่ข้อมูลนี้อย่างเดียวคงยังไม่พอจะทำให้รู้โครงสร้าง backend หรือวิธีเก็บข้อความของระบบ เลยสงสัยว่าตัวเองพลาดอะไรไปหรือเปล่า

    • endpoint สำหรับ observability ของ Spring Boot มี path มาตรฐานอยู่แล้ว แค่รู้ path ของ API ก็หา path ของ heap dump endpoint ได้ไม่ยาก

  • คิดว่าการเปิด /heapdump endpoint แบบไม่มีการยืนยันตัวตนใน production เป็นความผิดพลาดระดับมือใหม่ ยิ่งร้ายแรงเข้าไปอีกเมื่อเป็นบริการที่จัดการการสื่อสารลับของภาครัฐ การที่ยังใช้เทคโนโลยีเก่าอย่าง MD5 hash และ JSP ก็สะท้อนว่าเข้าใจเรื่องความปลอดภัยไม่พอ เหตุการณ์นี้เป็นตัวอย่างคลาสสิกว่าทำไมต้องมี defensive security และการตรวจสอบเป็นประจำ

    • คิดว่าไม่ควรมอง JSP ในแง่ลบอย่างเดียว Java Server Pages ปัจจุบันยังพัฒนาต่อในชื่อ Jakarta Server Pages เวอร์ชันล่าสุดก็เพิ่งออกมาไม่นาน และ Spring Framework 7 ก็จะใช้เป็นพื้นฐานด้วย ecosystem ของ Java ยังเติบโตต่อเนื่อง ถ้าจับคู่เวอร์ชันและอัปเกรดให้ดี ก็ไม่จำเป็นต้องถือว่าเป็นเทคโนโลยีล้าสมัย แค่ความนิยมอาจลดลงจากแต่ก่อนเท่านั้น และจริง ๆ แล้วเทคโนโลยีใหม่อย่าง next.js ก็สร้าง endpoint เปราะบางแบบไม่มี auth ได้เหมือนกัน

  • คิดว่าเวลานักการเมืองพยายามผลักดันให้แบนการเข้ารหัสแบบ e2e หรือบังคับให้มี backdoor ก็ควรยกเหตุการณ์นี้เป็นกรณีศึกษาจากโลกจริงที่ดี

  • เนื่องจากข้อมูลนี้อ่อนไหวและมี PII จำนวนมาก DDoSecrets จึงแชร์ให้เฉพาะนักข่าวและนักวิจัย แต่แม้ปกติจะสนับสนุนการเปิดเผยอย่างมีความรับผิดชอบ ครั้งนี้กลับรู้สึกว่าอาจต้องมีการรั่วไหลที่เจ็บปวดและรุนแรงกว่านี้ พวกเผด็จการหรือกลุ่ม oligarch ต่อให้ถูกแฮ็กก็มักไม่ค่อยแคร์ และจะยังใช้เครื่องมือแบบเดิมต่อไป ต้องให้ประชาชนที่ได้รับผลกระทบโกรธจริง ๆ ถึงจะเกิดการเปลี่ยนแปลง นี่คือภาวะที่ความปลอดภัยล้มเหลวจนสติปัญญาของประชาชนได้รับการคุ้มครองน้อยลง แม้นักข่าวหรือนักวิจัยจะพยายามรายงาน ในสังคมอำนาจนิยมก็อาจถูกปิดปากได้ง่าย จนไม่มีใครรู้สภาพความจริง และผู้มีอำนาจก็เดินหน้าปราบปรามต่อไปโดยแทบไม่มีแรงต้านหรือผลลัพธ์ตามมา ถ้าเป็นแค่เหตุการณ์ความปลอดภัยของบริษัททั่วไปก็คงยังชอบการเปิดเผยอย่างมีความรับผิดชอบ แต่ถ้าจะหยุดยั้งเผด็จการก็ควรคิดต่างออกไป

    • ทุกวันนี้แทบไม่จำเป็นต้องปิดปากนักข่าวด้วยซ้ำ เพราะคนจำนวนมากเชื่อบัญชีโซเชียลนิรนามหรืออินฟลูเอนเซอร์การเมืองเป็นแหล่งข้อมูลอยู่แล้ว ต่อให้มีการเปิดโปงอะไร ก็อาจถูกปัดว่าเป็น “ข่าวปลอม” แบบผ่าน ๆ และถ้ามีผู้มีสิทธิเลือกตั้งมากพอหลงเชื่อ มันก็แทบไม่มีความหมาย

    • รู้สึกว่าความคิดที่ว่าต้องยอมให้ประชาชนเสียหายเพื่อปลุกให้ตื่นจากการปกครองที่ไม่เหมาะสมนั้นอันตราย ถ้าคิดสุดโต่งก็อาจกลายเป็นการให้เหตุผลรองรับความรุนแรงหรือความทุกข์ที่มากกว่าเดิมได้ การมองว่าต้องทำให้คนเจ็บมากขึ้นถึงจะตื่นตัวเป็นแนวคิดที่อันตราย

    • ถ้ามีการเปิดเผยจริง ความเสียหายอาจไม่ได้ตกที่ผู้นำ แต่อาจทำให้แหล่งข่าววงในตกอยู่ในอันตราย เช่น ถ้ามีข้อมูลลับอย่างตัวตนสายข่าวอยู่ใน log ก็อาจถึงขั้นเป็นภัยต่อชีวิตได้

    • มีการยกกรณีข้อมูลรั่วของ Cabinet ออสเตรเลียในอดีตขึ้นมา โดยอธิบายว่าสำนักข่าวมีส่วนช่วยปกปิดด้วยการส่งข้อมูลส่วนใหญ่กลับคืนให้รัฐบาล วิธีแบบนี้กลับทำให้ข้อเท็จจริงสำคัญที่ประชาชนควรรู้ถูกซ่อนไว้ และอาจส่งผลทางการเมืองอย่างมาก จึงมองว่า Signalgate ครั้งนี้ก็คล้ายกัน ไม่ว่าจะฝักฝ่ายการเมืองไหน สิทธิของประชาชนที่จะได้รับรู้ข้อมูลมากขึ้นเป็นเรื่องสำคัญ

  • รู้สึกขำที่นักการเมืองล็อบบี้ให้ทำซอฟต์แวร์สื่อสารให้มี backdoor แต่สุดท้ายกลับโดนแฮ็กในรูปแบบเดียวกันเสียเอง น่าเสียดายที่ดูเหมือนพวกเขาไม่มีทั้งความสามารถในการเข้าใจและความเห็นอกเห็นใจมากพอจะตระหนักว่าเหตุการณ์ต่อเนื่องเหล่านี้หมายความว่าอะไร

    • จริง ๆ คิดว่าพวกเขารู้ดีว่าตัวเองกำลังทำอะไรอยู่ พวกเขาเดินเกมบนมาตรฐานสองชั้นแบบ “ฉันต้องมีความปลอดภัย แต่เธอไม่ต้องมี” และยิ่งไปกว่านั้น การทำให้ผู้ใช้คิดว่า “นักการเมืองคงโง่หรือด้านชาจนทำแบบนี้” อาจเป็นกลยุทธ์ที่พวกเขาต้องการเสียด้วยซ้ำ