黑客闯入法国政府新的安全消息应用程序

被称为“_其他组织者“由于担心外国机构可能会利用其他服务监视他们的通信，法国政府创建了一款端到端加密、开源的消息应用程序，旨在将他们的官员、议员和部长的数据保存在国内的服务器上。

Tchap应用程序是使用Riot客户端构建的，Riot客户端是一款开源即时消息软件，可实现端到端加密通信的自托管矩阵协议。

是的，是一样的“暴乱与黑客帝国“本周早些时候，一名未知黑客闯入其服务器，成功窃取了未加密的私人消息、密码散列、访问令牌和项目维护人员用于签署软件包的GPG密钥后，这一消息成为了新闻。

黑客对Matrix的网络攻击非常严重，最终迫使其维护人员关闭该服务的整个生产基础设施几个小时，并将所有用户从Matrix中注销组织。

尽管Tchap应用程序在谷歌Play Store上可用，任何人都可以下载，但拥有政府发行的电子邮件帐户的用户，例如@gouv.fr或@elysee。fr是唯一可以注册并访问它的人。

然而，法国安全研究人员罗伯特·巴普蒂斯特（Robert Baptiste）发现了一个安全漏洞，任何人都可以在不需要官方电子邮件地址的情况下使用Tchap应用程序注册帐户，访问群组和频道。巴普蒂斯特的Twitter用户名埃利奥特·奥尔德森（Elliot Alderson）更为人所知。
在今天发布的一篇博客文章中，罗伯特展示了他如何利用Tchap Android应用程序中潜在的电子邮件验证漏洞，使用常规电子邮件ID创建该服务的帐户。

“我把邮件改成了fs0c131y@protonmail.com@presidence@elysee.fr.答对 了我收到了一封来自Tchap的电子邮件，我能够验证我的帐户！“罗伯特说。

“我是爱丽舍宫的员工，我可以进入公共房间”。

Robert将他的发现通知了Matrix团队，该团队迅速发布了补丁更新以解决该问题，该团队称，该问题仅针对DINSIC Matrix部署。