Mereka mencoba masuk ke secure.telemessage.com menggunakan sepasang kredensial ini dan menemukan bahwa mereka baru saja membobol pengguna dengan alamat email yang terkait dengan Bea Cukai dan Perlindungan Perbatasan AS, salah satu agensi yang menerapkan kebijakan imigrasi Trump yang keras. CBP sejak itu mengonfirmasi bahwa mereka adalah pelanggan TeleMessage. Setelah menghabiskan beberapa menit lagi menggali tumpukan sampah, peretas juga menemukan log obrolan teks biasa. “Saya bisa membaca obrolan internal Coinbase, ini luar biasa,” kata peretas. Pada titik ini, peretas mengatakan bahwa mereka telah menghabiskan 15 hingga 20 menit menyelusuri server TeleMessage, dan sudah berhasil meretas salah satu pelanggan pemerintah federal mereka, bersama dengan salah satu bursa kripto terbesar di dunia. Dari menganalisis kode sumber TM SGNL, aplikasi TeleMessage—seperti yang berjalan di ponsel Mike Waltz—mengunggah pesan yang tidak terenkripsi ke archive.telemessage.com (saya menyebut ini sebagai server arsip), yang kemudian meneruskan pesan ke tujuan akhir pelanggan. Hal ini bertentangan dengan materi pemasaran publik TeleMessage, di mana mereka mengklaim bahwa TM SNGL menggunakan “enkripsi ujung ke ujung dari ponsel ke arsip perusahaan.” Server arsip diprogram dalam Java dan dibangun menggunakan Spring Boot, kerangka kerja sumber terbuka untuk membuat aplikasi Java. Spring Boot mencakup serangkaian fitur yang disebut Actuator yang membantu pengembang memantau dan mendepurasi aplikasi mereka. Salah satu fitur ini adalah endpoint heap dump, yang merupakan URL yang digunakan peretas untuk mengunduh dump heap. Menurut dokumentasi Spring Boot Actuator: “Karena Endpoints dapat berisi informasi sensitif, pertimbangan yang cermat harus diberikan tentang kapan untuk mengeksposnya.” Dalam kasus server arsip TeleMessage, dump heap berisi nama pengguna, kata sandi, log obrolan tidak terenkripsi, kunci enkripsi, dan informasi sensitif lainnya. Jika seseorang di internet telah memuat URL dump heap tepat saat Mike Waltz mengirim pesan menggunakan aplikasi TM SGNL, file dump heap akan berisi pesan Signal tidak terenkripsi miliknya juga. Posting tahun 2024 di blog perusahaan keamanan awan Wiz mencantumkan “File HeapDump Terbuka” sebagai miskonfigurasi umum nomor satu dalam Spring Boot Actuator. “Hingga versi 1.5 (dirilis pada 2017), /endpoint heapdump dikonfigurasi sebagai terbuka secara publik dan dapat diakses tanpa otentikasi secara default. Sejak itu, dalam versi-versi yang lebih baru, Spring Boot Actuator telah mengubah konfigurasi defaultnya untuk hanya mengekspos /endpoint kesehatan dan /info tanpa otentikasi (ini kurang menarik bagi penyerang),” tulis penulis. “Meskipun ada peningkatan ini, pengembang sering menonaktifkan langkah-langkah keamanan ini untuk tujuan diagnostik saat mendeploy aplikasi ke lingkungan pengujian, dan perubahan konfigurasi yang tampaknya kecil ini mungkin tetap tidak terdeteksi dan dengan demikian bertahan ketika aplikasi didorong ke produksi, tanpa sengaja memungkinkan penyerang untuk mendapatkan akses tidak sah ke data penting.” Dalam posting tahun 2020 di Blog Teknologi Global Walmart, seorang pengembang lain memberi peringatan serupa. “Selain /kesehatan dan /info, semua endpoint aktuator berisiko untuk dibuka kepada pengguna akhir karena mereka dapat mengekspos dump aplikasi, log, data konfigurasi dan kontrol,” tulis penulis. “Endpoint aktuator memiliki implikasi keamanan dan SEHARUSNYA TIDAK PERNAH DIPAPARKAN di lingkungan produksi.” Eksploitasi cepat peretas terhadap TeleMessage menunjukkan bahwa server arsip secara buruk dikonfigurasi. Ini entah sedang menjalankan versi Spring Boot delapan tahun lalu, atau seseorang secara manual mengonfigurasi untuk mengekspos endpoint dump heap ke internet publik. Inilah mengapa seorang peretas butuh sekitar 20 menit untuk membukanya, dengan data sensitif tumpah keluar. Meskipun kerentanan kritis ini dan masalah keamanan lain dengan produk TeleMessage—terutama, bahwa perusahaan Israel yang membangun produk dapat mengakses semua log obrolan pelanggannya dalam teks biasa—seseorang di pemerintahan Trump menerapkannya ke ponsel Mike Waltz saat dia menjabat sebagai penasihat keamanan nasional.