Thought Leadership
Cyberkriminelle haben den Messenger der französischen Regierung kompromittiert. Über ein gekapertes Nutzerkonto wurden interne Daten exfiltriert.
Die französische Digitaldirektion DINUM hat über einen Sicherheitsvorfall bei der staatlichen Kommunikationsplattform Tchap berichtet. Die nationale Cybersicherheitsbehörde ANSSI entdeckte den Einbruch am Sonntag. Nach offiziellen Angaben erlangte ein Angreifer über ein kompromittiertes Nutzerkonto Zugriff auf das System. Die DINUM hat den Vorfall an die französische Datenschutzbehörde CNIL gemeldet, da potenziell personenbezogene Daten aus Nutzerkonversationen betroffen sein könnten. Das verantwortliche Konto wurde identifiziert und gesperrt, um den dauerhaften Zugriff zu unterbinden.
„Zum jetzigen Zeitpunkt wurde das Konto, von dem die bösartigen Anfragen stammten, identifiziert. Es wurde sofort blockiert, um den dauerhaften Zugriff des Angreifers zu entfernen und eine gründliche Analyse der Daten zu ermöglichen, auf die er zugreifen konnte. Die Untersuchung wird fortgesetzt, einschließlich der Untersuchung von Ereignisprotokollen, um die Konversationen zu identifizieren, auf die der Angreifer zugreifen konnte, und die Art der exfiltrierten Daten zu bestimmen.“
DINUM
Behauptungen der Angreifer und Ausmaß des Datenabflusses
Ein anonymer Akteur hat die Verantwortung für den Angriff übernommen und Stichproben der gestohlenen Daten veröffentlicht. Der Angreifer gab an, über Methoden des Social Engineering Zugriff auf ein gültiges Konto im Bereich des Bildungswesens erhalten zu haben. Der Akteur behauptet, mehr als 13,5 Gigabyte an Dokumenten und Mediendateien entwendet zu haben, die von Behördenmitarbeitern über den Dienst geteilt wurden.
Zudem sollen fast 650.000 Nachrichten sowie Informationen zu über 73.000 Konten abgeschöpft worden sein. Als weitere Ursache nennt der Angreifer fest codierte LDAP-Zugangsdaten, die fälschlicherweise über ein PowerShell-Skript eines Regionaldirektors der Steuerbehörde offengelegt worden seien. Der Angreifer behauptet zudem, dass jede auf Tchap geteilte Datei ohne Token heruntergeladen werden könne, sobald die entsprechende Medien-URL aus einer Nachricht bekannt ist. Der Datendiebstahl umfasst laut den Veröffentlichungen folgende Kategorien:
- E-Mail-Adressen und Informationen zur jeweiligen Organisation
- Links zu Besprechungen
- Metadaten von Konten und Endgeräten
Sicherheitswarnung von Frankreichs Regierungs-Messenger Tchap
Tchap wurde im Jahr 2018 von der DINUM in Zusammenarbeit mit der ANSSI entwickelt. Es handelt sich um einen Instant-Messaging-Dienst und ein Kollaborationswerkzeug, das auf dem dezentralen Matrix-Protokoll basiert und ausschließlich für den französischen öffentlichen Sektor bestimmt ist. Im August 2025 verpflichtete Premierminister François Bayrou alle Beamten zur Nutzung von Tchap für Dienstgespräche und untersagte die Verwendung ausländischer Anwendungen. Die Plattform verzeichnet mittlerweile mehr als 300.000 monatlich aktive Nutzer.
Die DINUM hat alle Anwender darauf hingewiesen, dass öffentliche Chaträume für jeden Nutzer innerhalb des Systems auffindbar und dortige Inhalte nicht verschlüsselt sind. In den Nutzungsbedingungen ist festgelegt, dass vertrauliche oder sensible Informationen ausschließlich in privaten Chaträumen ausgetauscht werden dürfen.
(red)
