Служба TeleMessage до 05.05.2025 реализует аутентификацию через долгоживущий учетные данные (например, не токен с коротким временем истечен…

Служба TeleMessage до 05.05.2025 реализует аутентификацию через долгоживущий учетные данные (например, не токен с коротким временем истечения срока действия), которые могут быть повторно использованы позже, если обнаружены злоумышленником, как это было использовано в мае 2025 года. Уязвимость TeleMessage заключалась в том, что административная панель использовала хеширование паролей MD5 на стороне клиента, что фактически делало хеш паролем [1]. Злоумышленник смог получить доступ к конфиденциальным данным, включая имена пользователей, пароли и незашифрованные журналы чатов, используя неправильно настроенный endpoint heap dump в Spring Boot Actuator. Эта уязвимость позволила злоумышленнику получить доступ к конфиденциальным данным пользователей, включая федеральные правительственные агентства и крупные криптовалютные биржи. TeleMessage не обеспечила надлежащую безопасность своих продуктов, что привело к компрометации данных пользователей. Источники: - [1] https://www.wired.com/story/how-the-signal-knock-off-app-telemessage-got-hacked-in-20-minutes/