🖥️較早收集於 7h

法國政府通訊軟體 Tchap 因人為疏失遭駭

法國政府通訊軟體 Tchap 因人為疏失遭駭
PostLinkedIn
🖥️閱讀原文: Computerworld

💡一個嚴厲的提醒:社交工程仍然是即使是最安全的通訊平台所面臨的最大威脅。

⚡ 30-Second TL;DR

有什麼變化

入侵是由社交工程引起,而非加密技術故障

為什麼重要

此事件凸顯即使是高度安全、主權級別的通訊系統,仍易受以人為中心的攻擊。這提醒了政府與企業環境必須強制執行嚴格的存取控制與使用者培訓。

下一步行動

審查您的內部通訊安全政策,並確保使用者了解在非加密頻道中分享敏感資訊的風險。

誰應關注:Enterprise & Security Teams

關鍵要點

  • 入侵是由社交工程引起,而非加密技術故障
  • 攻擊者存取了 876 個公開聊天室與超過 64 萬則訊息
  • DINUM 提醒使用者公開聊天室未加密,不應包含敏感資料

🧠 深度解析

Web-grounded analysis with 15 cited sources.

🔑 增強重點摘要

  • Tchap是基於開源的Matrix通訊協定開發,並且是安全聊天應用程式Riot(現為Element)的一個分支,專為法國公務員設計。
  • 此次於2026年6月7日偵測到的入侵事件,駭客「misere」在暗網論壇聲稱負責,並宣稱竊取了13.5GB的資料,包括文件、媒體檔案,以及超過73,000個帳戶的近650,000則訊息。
  • 攻擊者聲稱透過社交工程取得「教育分片」(matrix.agent.education.tchap.gouv.fr)中一個有效帳戶的存取權限,並指出Tchap架構存在嚴重缺陷,允許在已知媒體URL的情況下,無需身份驗證即可下載任何分片中曾分享過的所有文件。
  • 此次事件發生在法國總理François Bayrou於2025年8月強制所有公務員使用Tchap進行工作相關通訊,並禁止使用WhatsApp和Signal等外國應用程式之後不到一年。

🛠️ 技術深入

  • Tchap基於開源的Matrix通訊協定,是Riot(現為Element)應用程式的一個分支,並在GitHub上發布了部分原始碼。
  • 私人對話採用端對端加密保護,而公開聊天室則未加密且對所有使用者開放。
  • 註冊Tchap帳戶需要使用.gouv.fr或類似的政府電子郵件地址。
  • 平台部署在OpenStack雲端上,資料儲存集中化,並採用內部伺服器基礎設施。
  • Tchap實施了憑證釘選(certificate pinning)以增強身份驗證過程的安全性。
  • 該平台採用封閉式聯盟模式,但允許外部使用者(如私營部門)在受限條件下使用。
  • Tchap擁有17個獨立的家伺服器(homeservers),每個部會一個,另有一個用於地方當局和外部使用者。
  • 系統內建防毒功能,並透過電子郵件地址建立原生目錄。
  • 駭客聲稱存在一個技術漏洞,允許在已知媒體URL的情況下,無需身份驗證即可下載平台中任意分片上曾分享過的文件。

🔮 前景展望AI analysis grounded in cited sources

法國政府將加強對其內部通訊軟體的安全審查與投資。
此次重大資料外洩事件將促使政府重新評估現有安全措施,並可能投入更多資源於預防未來的社交工程攻擊及技術漏洞。
法國政府推動數位主權的政策將面臨更嚴峻的挑戰。
儘管Tchap旨在取代外國應用程式,但其安全漏洞可能削弱公眾和公務員對國產軟體的信任,並引發對其安全性的質疑。
Tchap的架構可能需要進行重大調整以解決潛在的技術缺陷。
駭客聲稱的未經身份驗證即可下載文件的漏洞,若經證實,將要求對Tchap的檔案處理機制進行根本性改革。

時間線

2018-04
法國政府宣布計劃開發基於Riot和Matrix協議的內部即時通訊工具Tchap。
2019-04-17
Tchap正式推出,供法國政府員工使用。
2019-04-18
法國駭客Robert Baptiste(fs0c131y)在Tchap推出當天發現一個重大安全漏洞,允許非政府郵箱註冊帳戶,該漏洞隨後被修復。
2025-08
法國總理François Bayrou強制所有公務員使用Tchap進行工作通訊,並禁止使用外國應用程式。
2026-06-07
法國國家網路安全局(ANSSI)偵測到Tchap發生安全事件,確認有未經授權的存取行為。
2026-06-09
駭客「misere」在暗網論壇聲稱對Tchap攻擊負責,並宣稱竊取了大量資料。

📎 來源 (15)

Factual claims are grounded in the sources below. Forward-looking analysis is AI-generated interpretation.

  1. teiss.co.uk
  2. nosec.org
  3. europa.eu
  4. europa.eu
  5. wikipedia.org
  6. github.com
  7. cybernews.com
  8. biggo.com.tw
  9. baptisterobert.com
  10. matrix.org
  11. 163.com
  12. pbsg.pl
  13. medium.com
  14. scworld.com
  15. techjacksolutions.com
📰

AI 週報

閱讀本週精選 AI 大事摘要 →

👉相關動態

AI 策展新聞聚合。所有內容版權歸原始發布者所有。
原始來源: Computerworld