+7 (812) 677-17-05

Как взломали Signal чиновников США?

#

После недавнего скандала со взломом форка Signal с телефонов чиновников США возник вопрос: как случайный исследователь вскрыл сервер за 20 минут? Ожидаемо, ответ оказался очень неловкий для разрабов: у них был открыт эндпоинт /heapdump. Классика развёртывания на Spring Boot, в общем.

Так что взломщику хватило пары сканов по серверу, чтобы выйти на эндпоинт и получить Java Heap Dump с учётками случайных пользователей, логами и ключами шифрования. Помимо этого, пароли юзеров кэшировались на клиентской стороне с помощью MD5, а на сайте был замечен старичок JSP.

Иными словами, форк оказался с подвохом и детскими уязвимостями. Штатовской администрации ещё сильно повезло, что сервер вскрыл относительно дружелюбный хакер вместо китайской апэтэшечки. А то опять бы сидели в Конгрессе с постными лицами, отвечая на очень неудобные вопросы.

23.05.2025 Новости
Читайте все свежие новости первыми. Подписывайтесь на нас в Telegram
Том Хантер Том Хантер Pentest Guru

Мистер Том Хантер, вдохновитель нашей компании по обеспечению кибербезопасности

Спасибо

Спасибо, что заполнили форму! Мы свяжемся с вами в ближайшее время по указанным контактным данным!

Обратный звонок

Заполните форму и наш специалист свяжется с вами в ближайшее время.

    Выражаю согласие на обработку моих персональных данных в соответствии с Политикой в отношении обработки персональных данных в ООО «Ти Хантер»