ダークウェブのサイバー犯罪マーケットプレイス兼ハッカーフォーラム「DarkForums」に昨日投稿された内容によると、CamelliaBtwという別名を名乗るハッカーが、Max Messengerに関わる大規模なデータ侵害の責任を主張している。
「 Max Messenger – Full User Infrastructure & SQL Dump」と題されたスレッドでは、攻撃者が同メッセージングプラットフォームの一般公開からちょうど1年後に、本番システムへ完全にアクセスしたと主張している。投稿内容は、ユーザーデータ、バックエンド基盤、独自のソースコードが全面的に侵害されたことを意味するものだ。
Max Messengerとは
Maxは、テック企業VKが子会社のCommunication Platform LLCを通じて2025年3月26日にリリースした、クロスプラットフォームのメッセージング兼多機能アプリである。ロシア国内では、WhatsAppやTelegramなどの海外サービスに代わる「国民向けメッセンジャー」として大々的に宣伝されており、登録ユーザー数は増加し、ロシアおよび周辺国で数百万人規模に達したと報じられている。
同サービスは、メッセージング、音声・ビデオ通話、ファイル共有を提供し、政府および商取引向けのデジタルIDや各種サービス機能の統合を意図している。多くの場合、政府方針により、ロシアおよびベラルーシで販売される端末にはMaxがプリインストールされた状態で出荷することが求められている。
Maxは単なるチャットアプリ以上の位置づけで、中国のWeChatモデルに近い形で、メッセージングに国家サービスや追加ツールを組み合わせることを目指している。批評家や独立系アナリストは以前から、Maxがロシア政府のデジタル基盤と構造的に統合されていることを踏まえ、メタデータやユーザー情報への国家アクセスの可能性、プライバシー面の懸念について懸念を提起してきた
侵害主張の詳細
- 氏名、ユーザー名、認証済み電話番号を含む約1,540万件のユーザーレコード。
- 二要素認証を回避可能な有効な認証トークン。
- bcryptでハッシュ化されたパスワード。
- プラットフォーム開始時点まで遡る、タイムスタンプおよび送信者・受信者識別子を含む完全な通信メタデータ。
- SSH鍵、APIドキュメント、Amazon S3バケット設定などの内部インフラ資産。
- クラウドストレージに保存された暗号化されていないメディアファイル。
- バックエンドのソースコード(攻撃者が、プラットフォームの暗号化モジュール内にハードコードされたバックドアがあると主張するものを含む).
投稿では、Max Messengerのメディア処理エンジンに存在した、これまで未知だったリモートコード実行の脆弱性を通じてアクセスを得たと主張している。攻撃者によれば、ステッカーパックのメタデータに不正なペイロードを注入することで欠陥を誘発でき、バックエンドへの永続的なアクセスが可能になるという。ハッカーは、この脆弱性が2025年初頭のベータ段階から存在し、修正されなかったと述べている。
恐喝の脅し
投稿には、Max Messengerの開発者に対する直接的な最後通牒が含まれている。CamelliaBtwは、同社にはすでに非公開で通知したが、返答がないと主張している。また、初期の成長期にプラットフォームへ参加した政治家や企業幹部に属する認証済みアカウントを把握していると述べている。
「バグバウンティ」と称する金銭的和解が24時間以内に交渉されない場合、ハッカーは生のSQLデータベースファイルの最初の5GBを、10以上の公開トレントトラッカーで公開すると脅している。
現時点で確認なし
公開時点で、Max Messengerは侵害を認める、あるいは否定する公式声明を出していない。主張を独立に検証できるサンプルデータも、まだ公には公開されていない。サイバーセキュリティ専門家は、地下フォーラムでの侵害告知には誇張が含まれる場合がある一方で、この投稿で示された技術的詳細の水準は、主張を厳格に精査するに値すると指摘している。
確認されれば、この事件は近年で最も深刻なメッセージングプラットフォーム侵害の一つとなり、ユーザーのプライバシー、アカウントの安全性、暗号化通信サービスへの信頼に長期的な影響を及ぼす可能性がある。
翻訳元: https://hackread.com/hacker-max-messenger-breach-threaten-data-leak/
