法国政府即时通讯服务遭入侵，发生账户劫持攻击

法国政府数字事务局（DINUM）警告称，黑客利用被劫持的用户账户入侵了法国政府加密即时通讯平台 Tchap。

Tchap 由 DINUM 与 ANSSI（法国网络安全局）于 2018 年合作内部开发，是一款基于去中心化 Matrix 协议的即时通讯服务和协作工具，专为法国公共部门设计。

在法国总理 François Bayrou 于 2025 年 8 月初强制要求所有公务员使用 Tchap 并禁止使用外国应用进行工作通讯后，Tchap 现已拥有超过 30 万月活跃用户，在 Google Play Store 上的下载量超过 50 万次。

DINUM 周一透露，ANSSI 于周日检测到 Tchap 遭到入侵，并表示一名威胁行为者利用被入侵的用户账户访问了该安全即时通讯平台。

由于攻击者可能访问到部分用户在对话中共享的个人数据，法国数字事务局还向法国数据保护机构 CNIL 通报了该事件，并已向所有 Tchap 用户发出警报，提醒他们公共聊天室对任何用户都可见且未加密。

“现阶段，已识别出发起恶意请求的账户。该账户已被立即封禁，以消除攻击者的持久访问权限，并允许对其能够访问的数据进行彻底分析。调查仍在继续，包括对事件日志的研究，以确定攻击者能够访问的对话以及被窃取数据的性质，”DINUM 在周一的一份新闻稿中表示。

“已向所有 Tchap 用户发送消息，提醒他们公共聊天室可以被任何用户发现和加入，并且其内容未加密。根据 Tchap 的服务条款，任何个人、敏感或机密信息都不应在公共聊天室中交换：此类交流应保留在私人聊天室中进行。”

虽然 DINUM 尚未分享有关此次入侵的任何进一步细节，但一名威胁行为者上周末声称对此次事件负责，分享了被盗文件的样本，并表示他们是通过社会工程攻击获得平台访问权限的。

“我通过社会工程手段获取了教育分片（matrix.agent.education.tchap.gouv.fr）上的一个有效账户。以下是该账户能够触及的所有内容，其他分片会有更多，”该行为者表示。

他们声称窃取了硬编码的 LDAP 凭据（据称通过法国税务机构一名区域主管共享的 PowerShell 脚本泄露），以及公务员使用 Tchap 服务共享的超过 13.5GB 的文档和媒体文件。

该威胁行为者还声称抓取了近 65 万条消息以及超过 7.3 万个账户的信息，包括电子邮件地址、组织信息、会议链接以及账户和设备元数据。

“Tchap 上任何分片中曾经共享过的每个文件，无需令牌即可下载，”他们补充道。“媒体 ID 来自消息。一旦你获得了一条包含媒体 URL 的消息，无论该文件托管在哪个分片，你都可以自由下载。”

BleepingComputer 就此事联系了 DINUM，但尚未立即获得回复。

上个月，法国当局拘留了一名 15 岁少年，其涉嫌出售在 4 月份针对 ANTS（法国国家安全证件局）的网络攻击中窃取的数据。