法國(guó)政府加密通訊平臺(tái)Tchap遭黑客入侵 個(gè)人數(shù)據(jù)或受波及

法國(guó)政府?dāng)?shù)字事務(wù)總署（DINUM）近日發(fā)布安全通報(bào)稱(chēng)，黑客通過(guò)劫持一名合法用戶(hù)賬號(hào)，成功侵入法國(guó)政府內(nèi)部加密通訊平臺(tái) Tchap，可能導(dǎo)致部分用戶(hù)在對(duì)話中分享的個(gè)人信息遭到未授權(quán)訪問(wèn)。

Tchap 由法國(guó)政府?dāng)?shù)字事務(wù)總署與法國(guó)國(guó)家信息系統(tǒng)安全局（ANSSI）于 2018 年聯(lián)合開(kāi)發(fā)，基于去中心化的 Matrix 協(xié)議，定位為服務(wù)法國(guó)公共部門(mén)的即時(shí)通訊和協(xié)同辦公工具，僅面向公務(wù)體系用戶(hù)開(kāi)放。 該應(yīng)用自推出以來(lái)持續(xù)推廣，目前在法國(guó)公共部門(mén)的月度活躍用戶(hù)已超過(guò) 30 萬(wàn)，在 Google Play 商店的下載量也已突破 50 萬(wàn)次。 2025 年 8 月初，法國(guó)總理弗朗索瓦·巴魯安（Fran?ois Bayrou）更發(fā)布通告，要求全體公務(wù)人員在公務(wù)溝通中必須使用 Tchap，并禁止使用外國(guó)廠商通訊應(yīng)用，從而顯著擴(kuò)大了該平臺(tái)的使用范圍和數(shù)據(jù)承載量。

DINUM 在周一發(fā)布的新聞通稿中披露，ANSSI 于周日首先檢測(cè)到 Tchap 平臺(tái)出現(xiàn)異常入侵行為，經(jīng)初步調(diào)查確認(rèn)，攻擊者是通過(guò)一名用戶(hù)被攻陷的賬號(hào)進(jìn)入系統(tǒng)，從而獲得對(duì)該加密通訊平臺(tái)的訪問(wèn)權(quán)限。 事件發(fā)生后，DINUM 已將此次安全事件上報(bào)給法國(guó)數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu) CNIL，原因是部分用戶(hù)在聊天中分享的個(gè)人數(shù)據(jù)可能已被攻擊者訪問(wèn)或?qū)С觥?同時(shí)，DINUM 也向所有 Tchap 用戶(hù)發(fā)出提醒，強(qiáng)調(diào)平臺(tái)中的公開(kāi)聊天室對(duì)任一注冊(cè)用戶(hù)均可開(kāi)放訪問(wèn)，且此類(lèi)公開(kāi)房間中的內(nèi)容并未啟用加密保護(hù)。

DINUM 表示，已經(jīng)鎖定了此次惡意請(qǐng)求所來(lái)源的具體賬號(hào)，并在發(fā)現(xiàn)問(wèn)題后立即對(duì)其進(jìn)行封禁，以切斷攻擊者的持續(xù)訪問(wèn)通道，為后續(xù)對(duì)其訪問(wèn)范圍和潛在數(shù)據(jù)外泄情況開(kāi)展深入分析創(chuàng)造條件。 當(dāng)前調(diào)查仍在進(jìn)行中，技術(shù)團(tuán)隊(duì)正在對(duì)事件日志進(jìn)行細(xì)致比對(duì)，以確定攻擊者具體訪問(wèn)了哪些會(huì)話，以及可能被外傳的數(shù)據(jù)類(lèi)型和范圍。 官方同時(shí)再次重申，在 Tchap 的公開(kāi)聊天室中，不應(yīng)分享任何個(gè)人、敏感或機(jī)密信息，這類(lèi)內(nèi)容必須僅限在私密聊天室中進(jìn)行交流，這是平臺(tái)使用條款中的明確要求。

盡管 DINUM 尚未公開(kāi)更多技術(shù)細(xì)節(jié)，但有攻擊者在周末主動(dòng)對(duì)外聲稱(chēng)對(duì)本次事件負(fù)責(zé)，并公布了一部分據(jù)稱(chēng)從 Tchap 中竊取的文件樣本，稱(chēng)其是在實(shí)施社會(huì)工程攻擊之后獲得了對(duì)該平臺(tái)的訪問(wèn)權(quán)。 該名攻擊者宣稱(chēng)，他們“通過(guò)社會(huì)工程方式拿到了教育分片（matrix.agent.education.tchap.gouv.fr）中一個(gè)有效賬號(hào)的訪問(wèn)權(quán)限”，并強(qiáng)調(diào)所曝光的數(shù)據(jù)只是該單一賬號(hào)可以訪問(wèn)的內(nèi)容，其他分片中還可能存在更多數(shù)據(jù)。

據(jù)其自述，此次攻擊中，他們獲取了疑似硬編碼在腳本中的 LDAP 憑證，這些憑證據(jù)稱(chēng)來(lái)自一名法國(guó)稅務(wù)部門(mén)地區(qū)負(fù)責(zé)人分享的 PowerShell 腳本。 此外，攻擊者聲稱(chēng)從 Tchap 平臺(tái)中導(dǎo)出了超過(guò) 13.5GB 的文檔與媒體文件，這些數(shù)據(jù)均由法國(guó)公務(wù)人員在日常使用中上傳和分享。 其進(jìn)一步表示，他們幾乎抓取了近 65 萬(wàn)條消息記錄以及超過(guò) 7.3 萬(wàn)個(gè)賬號(hào)的相關(guān)信息，其中包括用戶(hù)電子郵箱地址、所屬機(jī)構(gòu)信息、會(huì)議鏈接以及賬號(hào)與設(shè)備的元數(shù)據(jù)等敏感要素。

在技術(shù)細(xì)節(jié)方面，攻擊者還宣稱(chēng)，Tchap 的架構(gòu)存在嚴(yán)重缺陷——平臺(tái)中“任意分片上曾被分享過(guò)的所有文件，在無(wú)令牌的情況下均可被下載”。 按其說(shuō)法，一旦獲取到包含媒體 URL 的消息內(nèi)容，就可以利用媒體 ID 在無(wú)需認(rèn)證的情況下直接下載對(duì)應(yīng)文件，而不受其所處分片的限制。 目前，DINUM 尚未就上述具體技術(shù)漏洞與數(shù)據(jù)規(guī)模做出正式確認(rèn)，BleepingComputer 就此向 DINUM 發(fā)去詢(xún)問(wèn)，但截至發(fā)稿尚未收到回復(fù)。

值得注意的是，就在上個(gè)月，法國(guó)方面剛剛通報(bào)并逮捕了一名年僅 15 歲的青少年嫌疑人，該人被指控出售從法國(guó)國(guó)家安全證件機(jī)構(gòu) ANTS（負(fù)責(zé)簽發(fā)與管理官方身份及登記證件的國(guó)家機(jī)構(gòu)）竊取來(lái)的數(shù)據(jù)。 這起案件源于今年 4 月針對(duì) ANTS 的一次網(wǎng)絡(luò)攻擊，之后攻擊者在地下論壇上兜售被竊數(shù)據(jù)，引發(fā)社會(huì)廣泛關(guān)注。 當(dāng)前這起 Tchap 入侵事件，再次凸顯法國(guó)公共部門(mén)在數(shù)字化轉(zhuǎn)型進(jìn)程中面臨的復(fù)雜網(wǎng)絡(luò)安全挑戰(zhàn)，也對(duì)政府內(nèi)部通訊平臺(tái)的賬號(hào)安全管理、訪問(wèn)控制以及數(shù)據(jù)加密策略提出了更高要求。