फ्रांसीसी सरकार डिजिटल अफेयर्स एजेंसी (DINUM) ने हाल ही में एक सुरक्षा सलाह जारी की जिसमें कहा गया कि हैकर्स ने एक वैध उपयोगकर्ता खाते को हाईजैक करके फ्रांसीसी सरकार के आंतरिक एन्क्रिप्टेड संचार प्लेटफॉर्म Tchap पर सफलतापूर्वक आक्रमण किया, जिसके परिणामस्वरूप बातचीत में कुछ उपयोगकर्ताओं द्वारा साझा की गई व्यक्तिगत जानकारी तक अनधिकृत पहुंच हो सकती है।
Tchap को 2018 में फ्रांसीसी सरकार डिजिटल अफेयर्स एजेंसी और फ्रांसीसी राष्ट्रीय सूचना प्रणाली सुरक्षा एजेंसी (ANSSI) द्वारा संयुक्त रूप से विकसित किया गया था। यह विकेंद्रीकृत मैट्रिक्स प्रोटोकॉल पर आधारित है और फ्रांसीसी सार्वजनिक क्षेत्र की सेवा करने वाले एक त्वरित संदेश और सहयोगी कार्यालय उपकरण के रूप में तैनात है। यह केवल सार्वजनिक सेवा प्रणाली के उपयोगकर्ताओं के लिए खुला है। लॉन्च के बाद से ऐप लगातार बढ़ रहा है और अब फ्रांसीसी सार्वजनिक क्षेत्र में इसके 300,000 से अधिक मासिक सक्रिय उपयोगकर्ता हैं और Google Play Store पर इसे 500,000 से अधिक बार डाउनलोड किया गया है। अगस्त 2025 की शुरुआत में, फ्रांसीसी प्रधान मंत्री फ्रांस्वा बायरू ने एक नोटिस जारी कर सभी लोक सेवकों को आधिकारिक संचार में टीचैप का उपयोग करने की आवश्यकता बताई और विदेशी निर्माताओं से संचार अनुप्रयोगों के उपयोग पर प्रतिबंध लगा दिया, इस प्रकार मंच के उपयोग और डेटा ले जाने की क्षमता के दायरे में काफी विस्तार हुआ।
DINUM ने सोमवार को जारी एक प्रेस विज्ञप्ति में खुलासा किया कि ANSSI ने पहली बार रविवार को Tchap प्लेटफॉर्म पर असामान्य घुसपैठ व्यवहार का पता लगाया। प्रारंभिक जांच के बाद, यह पुष्टि की गई कि हमलावर ने उपयोगकर्ता के समझौता किए गए खाते के माध्यम से सिस्टम में प्रवेश किया, इस प्रकार एन्क्रिप्टेड संचार प्लेटफ़ॉर्म तक पहुंच प्राप्त की। घटना के बाद, DINUM ने सुरक्षा घटना की सूचना फ्रांसीसी डेटा सुरक्षा नियामक CNIL को दी क्योंकि चैट में कुछ उपयोगकर्ताओं द्वारा साझा किया गया व्यक्तिगत डेटा हमलावरों द्वारा एक्सेस या निर्यात किया गया हो सकता है। साथ ही, DINUM ने सभी Tchap उपयोगकर्ताओं को एक अनुस्मारक भी जारी किया, जिसमें इस बात पर जोर दिया गया कि प्लेटफ़ॉर्म पर सार्वजनिक चैट रूम किसी भी पंजीकृत उपयोगकर्ता के लिए खुले हैं, और ऐसे सार्वजनिक कमरों में सामग्री में एन्क्रिप्शन सुरक्षा सक्षम नहीं है।
DINUM ने कहा कि उसने उस विशिष्ट खाते को लॉक कर दिया है जिससे दुर्भावनापूर्ण अनुरोध उत्पन्न हुआ था और हमलावर के निरंतर एक्सेस चैनल को काटने और इसके एक्सेस स्कोप और संभावित डेटा रिसाव के बाद के गहन विश्लेषण के लिए स्थितियां बनाने के लिए समस्या का पता चलने के तुरंत बाद इसे प्रतिबंधित कर दिया। वर्तमान जांच अभी भी जारी है, और तकनीकी टीम यह निर्धारित करने के लिए इवेंट लॉग की विस्तृत तुलना कर रही है कि हमलावर ने किन सत्रों तक पहुंच बनाई है, साथ ही प्रसारित किए गए डेटा का प्रकार और दायरा भी निर्धारित किया जा सकता है। अधिकारियों ने यह भी दोहराया कि Tchap के सार्वजनिक चैट रूम में कोई भी व्यक्तिगत, संवेदनशील या गोपनीय जानकारी साझा नहीं की जानी चाहिए, और ऐसी सामग्री केवल निजी चैट रूम में ही संचारित की जानी चाहिए, जो कि प्लेटफ़ॉर्म के उपयोग की शर्तों में एक स्पष्ट आवश्यकता है।
हालाँकि DINUM ने अधिक तकनीकी विवरणों का खुलासा नहीं किया है, एक हमलावर ने सप्ताहांत में घटना की जिम्मेदारी लेने की पहल की और कथित तौर पर Tchap से चुराई गई फ़ाइलों का एक नमूना प्रकाशित किया, जिसमें दावा किया गया कि उसने सोशल इंजीनियरिंग हमले के बाद मंच तक पहुंच प्राप्त की। हमलावर ने दावा किया कि उन्होंने "सोशल इंजीनियरिंग के माध्यम से एजुकेशन शार्ड (matrix.agent.education.tchap.gouv.fr) में एक वैध खाते तक पहुंच प्राप्त की" और इस बात पर जोर दिया कि उजागर किया गया डेटा केवल इस एकल खाते के लिए पहुंच योग्य सामग्री थी, और अन्य शार्ड्स में अधिक डेटा हो सकता है।
उनके स्वयं के विवरण के अनुसार, इस हमले में, उन्होंने एलडीएपी क्रेडेंशियल प्राप्त किए जिनके स्क्रिप्ट में हार्ड-कोडित होने का संदेह था। ये क्रेडेंशियल कथित तौर पर एक फ्रांसीसी कर विभाग के क्षेत्रीय निदेशक द्वारा साझा की गई पावरशेल स्क्रिप्ट से थे। इसके अलावा, हमलावरों ने Tchap प्लेटफ़ॉर्म से 13.5GB से अधिक दस्तावेज़ और मीडिया फ़ाइलें निर्यात करने का दावा किया, जिन्हें फ्रांसीसी सार्वजनिक अधिकारियों द्वारा अपने दैनिक उपयोग में अपलोड और साझा किया गया था। इसमें आगे कहा गया है कि उन्होंने लगभग 650,000 संदेश रिकॉर्ड और 73,000 से अधिक खातों की संबंधित जानकारी पर कब्जा कर लिया है, जिसमें उपयोगकर्ता ईमेल पते, संबद्धता जानकारी, मीटिंग लिंक और खातों और उपकरणों के मेटाडेटा जैसे संवेदनशील तत्व शामिल हैं।
तकनीकी विवरण के संदर्भ में, हमलावरों ने यह भी दावा किया कि Tchap की वास्तुकला में एक गंभीर दोष है - "प्लेटफ़ॉर्म में किसी भी शार्ड पर साझा की गई सभी फ़ाइलें बिना टोकन के डाउनलोड की जा सकती हैं।" इसके अनुसार, एक बार जब मीडिया यूआरएल वाली संदेश सामग्री प्राप्त हो जाती है, तो मीडिया आईडी का उपयोग प्रमाणीकरण के बिना संबंधित फ़ाइल को सीधे डाउनलोड करने के लिए किया जा सकता है, बिना उस शार्ड द्वारा प्रतिबंधित किए जिसमें यह स्थित है। वर्तमान में, DINUM ने उपर्युक्त विशिष्ट तकनीकी कमजोरियों और डेटा पैमाने की आधिकारिक पुष्टि नहीं की है। ब्लीपिंगकंप्यूटर ने इस बारे में DINUM को एक पूछताछ भेजी, लेकिन प्रेस समय तक कोई उत्तर नहीं मिला है।
गौरतलब है कि पिछले महीने ही, फ्रांस ने एक 15 वर्षीय किशोर संदिग्ध को अधिसूचित किया और गिरफ्तार किया, जिस पर फ्रांसीसी राष्ट्रीय सुरक्षा दस्तावेज़ एजेंसी एएनटीएस (आधिकारिक पहचान और पंजीकरण दस्तावेजों को जारी करने और प्रबंधन के लिए जिम्मेदार राष्ट्रीय एजेंसी) से चुराए गए डेटा को बेचने का आरोप था। यह मामला इस साल अप्रैल में एएनटीएस पर साइबर हमले से उपजा था, जिसके बाद हमलावरों ने चोरी किए गए डेटा को भूमिगत मंचों पर बेच दिया, जिससे समाज में व्यापक चिंता पैदा हुई। मौजूदा टचैप घुसपैठ की घटना एक बार फिर डिजिटल परिवर्तन की प्रक्रिया में फ्रांसीसी सार्वजनिक क्षेत्र के सामने आने वाली जटिल नेटवर्क सुरक्षा चुनौतियों को उजागर करती है। यह सरकार के आंतरिक संचार मंच के लिए खाता सुरक्षा प्रबंधन, पहुंच नियंत्रण और डेटा एन्क्रिप्शन रणनीतियों पर भी उच्च आवश्यकताएं रखता है।