DDoSecrets, TeleMessage’ten hack’lenen 410GB heap dump verisini yayımladı

 (micahflee.com)
5 puan yazan GN⁺ 2025-05-21 | 1 yorum | WhatsApp'ta paylaş
  • Hacker grubu DDoSecrets, İsrailli şirket TeleMessage’ten ele geçirilen 410GB heap dump verisini yayımladı
  • TeleMessage, Signal, WhatsApp, Telegram, WeChat’in değiştirilmiş sürümlerini geliştirerek mesaj arşivleme hizmeti sunuyor
  • Söz konusu veriler düz metin mesajlar, metadata ve kişisel bilgiler içerdiği için yalnızca basın mensupları ve araştırmacılara sınırlı olarak dağıtılıyor
  • TeleMessage ürünü uçtan uca şifreleme desteklediğini iddia etse de, gerçekte bunu baypas eden bir yapıya sahip olduğu ortaya çıktı
  • ABD hükümeti ve yetkililerinin güvenlik açısından zayıf kanallar üzerinden hassas bilgi paylaştığına dair işaretler de ortaya çıktı

Genel Bakış

  • Mayıs 2025’te hacker kolektifi DDoSecrets, İsrailli şirket TeleMessage’ten elde ettiği 410GB heap dump verisini yayımladı
  • TeleMessage, Signal, WhatsApp, Telegram, WeChat gibi başlıca mesajlaşma uygulamaları için merkezi depolama (arşiv) çözümleri sunan bir şirket
  • Bu veri seti çok sayıda hassas bilgi ve kişisel olarak tanımlanabilir bilgi (PII) içerdiğinden, yalnızca gazeteciler ve araştırmacılarla sınırlı olarak paylaşılıyor

Olay Özeti Zaman Çizelgesi

  • Mart: Trump yönetimi döneminde Ulusal Güvenlik Danışmanı Mike Waltz, bir Signal grubunda savaş suçlarıyla ilgili konuşurken yanlışlıkla bir gazeteciyi davet etti. Bunun haberleştirilmesinin ardından kongre oturumları yapıldı
  • 1 Mayıs: Waltz’ın görevden düşürüldüğü gün, TeleMessage tarafından geliştirilen Signal’in değiştirilmiş bir sürümü olan TM SGNL kullandığı görüldü. Konuştuğu kişiler arasında Tulsi Gabbard, JD Vance ve Marco Rubio gibi üst düzey isimler vardı
  • 3 Mayıs: TM SGNL’nin kaynak kodu GitHub üzerinden yayımlandı
  • 4 Mayıs: TeleMessage hack’i gerçekleşti ve olay basına yansıdı
  • 5 Mayıs: Başka bir hacker TeleMessage’i yeniden hack’ledi ve hizmet kesintiye uğradı
  • 6 Mayıs: TM SGNL kaynak kodunun analizi sonucunda, TeleMessage’in iddia ettiği uçtan uca şifrelemenin gerçekte uygulanmadığı kanıtlandı. Ele geçirilen verilerin bir kısmında düz metin sohbet kayıtları doğrulandı
  • 18 Mayıs: Ek analizlerde TeleMessage’in arşiv sunucusundaki güvenlik açığı açıklandı. Belirli bir URL’ye (archive.telemessage.com/management/heapdump) erişen herkes Java heap dump dosyasını indirebiliyordu

Bu Sızıntının Ayrıntıları

  • Yayımlanan heap dump’ların 4 Mayıs 2025 tarihinde elde edildiği ve bunun TeleMessage’in sunduğu güvenli mesajlaşma çözümündeki bir zafiyetten kaynaklandığı belirtildi
  • Ürünün, ABD hükümeti dahil çeşitli kurumlarda 2023’ten beri kullanıldığı doğrulandı
  • Veriler arasında düz metin mesajlar, gönderen/alıcı bilgileri, zaman damgaları, grup adları gibi zengin metadata bulunuyor
  • DDoSecrets, araştırma amacıyla gerekli bilgileri ayıklayıp temizleyerek sunuyor

Etki ve Çıkarımlar

  • Bu olay, mesajlaşma çözümlerindeki güven eksikliğini ve operasyonel özensizliği yeniden gündeme getirdi
  • TeleMessage’in reklamını yaptığı güvenlik seviyesi ile gerçek çalışma biçimi arasındaki uyumsuzluk doğrulandı
  • ABD hükümetinin üst düzey yetkililerinin zafiyetli klon mesajlaşma uygulamaları üzerinden gizli bilgileri paylaştığının ortaya çıkması, ciddi güvenlik sorunlarını öne çıkardı
  • SignalGate olarak anılan bu kriz hâlâ sürüyor ve güvenlik topluluğunun ek analizleri ile müdahalelerinin devam etmesi bekleniyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-05-21
Hacker News görüşleri

  • Bir sunucuda /heapdump endpoint’i olduğu ve sunucunun heap dump’ını herkese açık biçimde sunduğu belirtiliyor; bu olayın kontrolden çıkmış gibi göründüğü söyleniyor. Bu grubun verileri gerçekten “yayınlamadığı”, erişim için gazetecilerin başvuru yapması gerektiği ifade ediliyor. Gerçekte ne kadar mesaj içeriği bulunduğunu açıklamadan sadece 410GB dump olduğunun vurgulanmasının meseleyi daha da büyüttüğüne dikkat çekiliyor.

    • Zaten güvenilmez bir yazılımı daha da kötü hale getirip üstüne bir de ücretli yaptığınızı hayal edin deniyor; bunun hem şirket hem de kullanıcı açısından utanç verici olduğu düşünülüyor.

    • Asıl önemli noktanın, heap dump içindeki gerçek veri miktarı açıklanmadan sadece 410GB sayısının söylenmesi olduğu düşünülüyor. Yorum sahibi yakın zamanda benzer büyüklükte bir dump incelediğini, bunun fiilen sadece OS paket güncelleme önbelleği ve loglardan ibaret olduğunu, önemli hiçbir veri içermediğini söylüyor. Heap dump boyutunun kolayca küçültülebileceği, buna rağmen her şeyin olduğu gibi verilmesinin şüpheli göründüğü belirtiliyor; tabii 512GB dump içinden önemli verilerin zaten ayıklanmış olabileceği de ekleniyor.

    • İsrailli yazılım şirketlerinin çoğunun eski Mossad personelinden oluşan çok yetenekli ekipler olduğu yönünde yaygın bir algı var, ancak gerçekte beklendiği kadar iyi olmadıkları düşünülüyor. Bu mesaj dump’ında ilginç şeyler çıkması umuluyor.

    • Birinin Java uygulaması kullanırken yanlışlıkla tüm JMX endpoint’lerini HTTP üzerinden açık hale getirmiş gibi göründüğü söyleniyor. Bunun varsayılan yapılandırma olmadığı, dolayısıyla basit bir dikkatsizlik hatası olduğu düşünülüyor.

    • Bunun sunucu heap dump’ı mı yoksa istemciye ait bir heap dump mı olduğu merak ediliyor. Eğer istemci tarafıysa, çökme sırasında log almak amacıyla kasıtlı olarak bırakılmış olabileceği söyleniyor.

  • TeleMessage CEO’sunun LinkedIn tanıtım yazısı, yapay zekayla özensizce otomatik üretilmiş bir metin gibi bulunuyor; stratejik inovasyon, etik değerler, SaaS, birleşme ve satın alma, sektör liderliği gibi klişe ifadelerle dolu olduğu söyleniyor.

    • Bunun gerçekten çok kötü bir LinkedIn tarzı yazı olduğu düşünülüyor.

    • Özetle “Ben CEO’yum. Şirketimiz SaaS. Ben CEO’yum.” diye tekrar eden bir metin gibi hissettirdiği söyleniyor.

  • TeleMessage olayı ortaya çıkalı haftalar olmuşken, Signal Foundation’ın resmi bir açıklama yapıp yapmadığı merak ediliyor. Signal adını kullanarak açık kaynak üçüncü taraf istemciler çıktığında ticari marka davası tehdidinde bulunurken, bir savunma yüklenicisinin aynı adı kullanmasına sessiz kalınmasının çifte standart olup olmadığı sorgulanıyor.

    • Bugün ABD’de birçok kuruluşun sessiz ve görünmez kalmasının nedeninin hükümetin saldırısından korkmaları olduğu görüşü dile getiriliyor. Ayrıca Signal Foundation’ın merkezindeki isim olan Moxie’nin artık organizasyondan ayrıldığı ve etkisinin kaybolduğu, bu yüzden bugünkü kurumun neyi hedeflediğinin belirsiz hale geldiği düşünülüyor.

    • Bu olayda Signal’ın hiçbir suçu olmadığı düşünülüyor; asıl sorumluluğun TeleMessage’ta ve onu seçip kullanan yetkililerde olduğu söyleniyor. Signal bir açıklama yapsa bile sadece eleştiri alacağı ve bunun anlamlı olmayacağı değerlendiriliyor.

    • Eskiden Signal FOSS fork’una yasal uyarı gönderildiği hatırlatılarak, bugün Molly’nin hâlâ çalışıp çalışmadığı ya da genel olarak kendi kendine barındırılabilir bir sunucu alternatifi olup olmadığı soruluyor.

    • moxie ile fdroid arasındaki anlaşmazlıktan hoşnutsuz olunsa da, bu olayın bunun ötesinde devlet gücü ve yolsuzluk boyutu taşıdığı, dolayısıyla tek bir kişi ya da şirket meselesini aşan önemli bir konu olduğu düşünülüyor. Başka bir ülke hükümeti adını bile duymadıkları yabancı bir yazılımı ulusal iletişim aracı olarak kullansaydı, muhtemelen bunu beceriksizlik diye eleştirecekleri de ekleniyor.

    • İsim ve marka koruması ihtiyacına katılındığı, açık kaynak bir proje fork’lansa bile orijinal üreticinin marka ve adının keyfi biçimde kullanılamayacağı anlatılıyor. Firefox veya VSCode’un açık kaynak sürümleri fork’lansa bile ticari marka nedeniyle kopyalara aynı adın verilemeyeceği vurgulanıyor.

  • Signal fork’u berbat olsa bile yine de yasaldı; ama bu şirketin kırılmış bir WhatsApp satıyor olması gerçekten şok edici bulunuyor. Bu tür ürünleri gerçekten kurumların ve hükümetlerin satın almış olmasına inanmakta zorlanıldığı, bağlantının da paylaşıldığı söyleniyor.

    • Bunun neden yasa dışı sayıldığı soruluyor. Beeper örneğinden farklı olarak, ABD Adalet Bakanlığı’nın özel istemcilerin yasaklanmasına her zaman olumlu bakmadığı, bu yüzden WhatsApp’ın neden farklı olduğu soruluyor. WhatsApp archiver’ın fiilen kullanıcının WhatsApp’ına patch yükleyerek çalışıyor gibi göründüğü, bunun güvenlik sorunları yaratabileceği ama ille de yasa dışı olmadığı görüşü paylaşılıyor.

    • Küresel finans piyasalarında Global Relay ve TeleMessage’ın uyumluluk amaçlı iletişim çözümlerinin başlıca sağlayıcıları olduğu yönünde deneyim aktarılıyor.

  • Kendi şirketlerinde çok daha az kritik işler yapılmasına rağmen yılda iki kez dış penetrasyon testi yaptırdıklarını, buna rağmen bu ölçekte sorumsuz bir hatanın nasıl yasal olarak mümkün olabildiğini anlamadıklarını söylüyorlar.

    • Bunun nedeninin yazılım mühendisliğinin gerçek bir mühendislik olarak ciddiye alınmaması olduğu düşünülüyor; örneğin bir kaza olduğunda doğan sorumluluk oldukça sınırlı kalıyor.

    • Gerçekte bunun yasal olmadığı, hatta SOC2’nin bile sahte hazırlanmış olabileceğine dair şeyler duyulduğu söyleniyor.

  • Heapdump teriminin 15 yıl önce Android uygulama debug ederken öğrenildiği, bunun bir Java süreci bellek anlık görüntüsü olduğu ve bu yüzden plaintext içermesinin kaçınılmaz olduğu söyleniyor. Asıl meselenin bu heap’lerin neden açık HTTP endpoint’i olarak sunulduğu olduğu belirtiliyor. Muhtemelen istemci koduna hardcode edilmişti ya da istek örüntüsünden keşfedildi deniyor. Bu bilgiyle backend mimarisi ya da mesajların nasıl saklandığını anlamanın kolay olmadığı, acaba kendisinin bir şeyi mi kaçırdığı diye soruluyor.

    • Spring Boot’un gözlemlenebilirlik endpoint’lerinin varsayılan yolları belli olduğundan, API yolu biliniyorsa heap dump endpoint yolunun da kolayca bulunabileceği belirtiliyor.

  • Prod ortamında kimlik doğrulamasız bir /heapdump endpoint’i açığa çıkarmanın acemice bir hata olduğu düşünülüyor; özellikle hassas devlet iletişimini işleyen bir servis için bunun çok daha ciddi olduğu söyleniyor. MD5 hash ve JSP gibi eski teknolojilerin kullanılmış olmasının da güvenlik anlayışının zayıf olduğuna işaret ettiği ifade ediliyor. Bunun, savunmacı güvenliğin ve düzenli denetimlerin neden şart olduğunu gösteren tipik bir vaka olduğu söyleniyor.

    • JSP’ye yalnızca olumsuz bakmamak gerektiği düşünülüyor. Java Server Pages’in artık Jakarta Server Pages olarak gelişmeye devam ettiği, yeni sürümünün de yakın zamanda çıktığı ve Spring Framework 7 gibi projelerin de buna dayandığı belirtiliyor. Java ekosisteminin büyümeyi sürdürdüğü, sürümler doğru tutulup güncellemeler düzgün yapılsaydı bunun eski teknoloji sayılmayacağı söyleniyor. Sadece popülerliğinin geçmişe göre azaldığı, ayrıca latest teknolojiyle de (next.js gibi) kimlik doğrulamasız zayıf endpoint’ler oluşturmanın mümkün olduğu ekleniyor.

  • Siyasetçilerin uçtan uca şifrelemeyi yasaklamak ya da arka kapı istemek için lobi yaptıkları durumlarda, bu olayın iyi bir gerçek dünya örneği olarak gösterilebileceği düşünülüyor.

  • Verilerin hassas ve çok sayıda PII içerdiği için DDoSecrets’ın bunları sadece gazeteciler ve araştırmacılarla paylaşmasına dair, normalde sorumlu açıklamayı desteklese de bu olayda daha acı verici ve yıkıcı bir sızıntının gerekebileceğini düşünen bir yorum var. Diktatörlerin ya da oligarkların hacklenmekten çok etkilenmeyeceği, benzer araçları kullanmaya devam edecekleri ve değişim ancak zarar gören halk öfkelendiğinde mümkün olacağı savunuluyor. Güvenlik başarısızlığı nedeniyle halkın muhakemesinin daha az korunur hale geldiği söyleniyor. Basın veya araştırmacılar haber yapmaya çalışsa bile otoriter toplumlarda kolayca susturulabilecekleri ve böylece kimsenin gerçekte neler olduğunu öğrenemeyeceği ifade ediliyor. Bu durumda iktidar sahiplerinin direnç ya da sonuçla karşılaşmadan baskıyı meşrulaştırmayı sürdürebileceği belirtiliyor. Bunun sıradan bir şirket güvenlik olayı olması halinde sorumlu açıklamanın tercih edileceği, ancak diktatörlüğü engellemek için durumun farklı değerlendirildiği söyleniyor.

    • Günümüzde gazetecileri susturmanın bile çok gerekli olmadığı, çünkü zaten birçok kişinin anonim sosyal medya hesaplarını ya da siyasi influencer’ları bilgi kaynağı olarak gördüğü, bu yüzden bir şey ifşa edilse bile bunun “fake news” denip geçilebildiği ve yeterince seçmen kandırılırsa pek anlamı kalmadığı söyleniyor.

    • Kötü yönetimin farkına varsınlar diye halkın zarar görmesini göze almanın tehlikeli bir düşünce olduğu söyleniyor. Bu mantığın uç noktasında daha büyük şiddet ve acının meşrulaştırılabileceği, insanların ancak daha ağır yara alırlarsa uyanacakları fikrine varmanın riskli olduğu konusunda uyarı yapılıyor.

    • Veriler gerçekten yayımlanırsa bunun bedelini liderlerin değil, içeriden bilgi sızdıran kişilerin ödeyebileceği belirtiliyor. Örneğin loglarda ajanlar gibi hassas bilgiler varsa insanların hayatı tehlikeye girebilir diye uyarılıyor.

    • Geçmişteki Avustralya Cabinet sızıntısına değinilerek, yayın kuruluşunun bilgilerin büyük bölümünü hükümete geri vermesiyle örtbas etmeye yardımcı olduğu anlatılıyor. Bu yaklaşımın, halkın bilmesi gereken önemli gerçeklerin gizlenmesine neden olduğu ve siyasi etkisinin büyük olmuş olabileceği söyleniyor; bu Signalgate olayının da benzer olduğu düşünülüyor. Parti fark etmeksizin halkın daha fazla bilgi edinme hakkının önemli olduğu vurgulanıyor.

  • Siyasetçilerin iletişim yazılımlarına arka kapı konulması için lobi yapıp sonra kendilerinin aynı tür hack’lere maruz kalmasının komik olduğu düşünülüyor. Ne yazık ki bunların bu olaylar zincirinin ne anlama geldiğini gerçekten kavrayacak kapasiteye ya da empatiye sahip görünmedikleri söyleniyor.

    • Aslında ne yaptıklarını gayet iyi bildikleri düşünülüyor. “Güvenlik sadece bana, sana değil” şeklindeki bir çifte standartla hareket ettikleri ve kullanıcıların “siyasetçiler bunu fazla aptal ya da umursamaz oldukları için yapıyor” diye düşünmesini sağlamanın da istedikleri stratejinin parçası olduğu belirtiliyor.