DINUM, die interministerielle Digitaldirektion der französischen Regierung und Betreiberin von Tchap, spricht in ihrer Mitteilung von einer Kompromittierung durch die Übernahme von Konten. Nach Behördenangaben sind von den mehr als 825.000 registrierten Nutzern 73.467 betroffen. In der Offenlegung des Vorfalls heißt es außerdem, die potenziell offengelegten Kontodaten umfassten mindestens Vor- und Nachname, E-Mail-Adresse, zugehörige Organisationseinheit und Avatar.

Der Akteur „misere“ ist öffentlich nicht bekannt. Nach einem Bericht der französischen OSINT-Community FrenchBreaches soll er die Verantwortung übernommen und den Diebstahl von mehr als 70.000 Konten behauptet haben. Diese Zahl deckt sich weitgehend mit den Angaben von DINUM. Darüber hinaus reklamierte der Akteur laut diesem Bericht 13,5 Gigabyte an Dateien aus mehr als 643.000 Nachrichten. Da die ursprüngliche Behauptung nicht mehr zugänglich ist, bleibt dieser Teil unbestätigt.

Tchap ist als „sicherer“ souveräner Messenger für Regierungsmitarbeiter konzipiert. Der Dienst bietet geschützte Chaträume mit Ende-zu-Ende-Verschlüsselung, daneben aber auch „öffentliche“ Chaträume ohne Verschlüsselung. Welche Teile des Systems oder welche Daten konkret betroffen waren, geht aus den bestätigten Angaben nicht hervor.

SecurityWeek sprach zu dem Fall mit Ilia Kolochenko, Jurist sowie CEO, Gründer und Chefarchitekt von ImmuniWeb. Kolochenko hält es für unwahrscheinlich, dass hinter dem Vorfall eine große staatliche Nachrichtendienstoperation steckt. „Weil es ein wenig trivial ist. Das ist zu klein, als dass sich Nachrichtendienste großer Mächte darum kümmern würden“, sagte er.

Auch die Angabe, die Kompromittierung sei durch eine Kontoübernahme erfolgt, hält Kolochenko nur begrenzt für aussagekräftig. Das könne schlicht auf Zugangsdaten aus Stealer-Protokollen zurückgehen; bei einem fortgeschrittenen Angreifer sei das aber nicht einmal nötig. Wörtlich sagte er: „In der heutigen Cloud- und KI-Welt müssen Sie keine Cookies mit Infostealern stehlen. Sie brauchen keine Zero-Days. Sie schicken einfach eine legitime Anfrage an eine API, und Sie erhalten alle Datensätze einer Regierungsbehörde oder eines privaten Unternehmens, und innerhalb weniger Stunden liegt alles auf Ihrer Festplatte.“ Nach seiner Einschätzung könnte das erklären, wie ein Akteur Daten noch am selben Tag exfiltrieren konnte, an dem der Vorfall entdeckt wurde.

Auch aus dem Namen „misere“ lasse sich nach Kolochenkos Einschätzung nichts Belastbares ableiten. „Der Name, den sich dieser Akteur gegeben hat, ist bedeutungslos“, sagte er. Manchmal nutzten Hacker oder Gruppen eine Wegwerf-Identität, manchmal gebe sich eine Gruppe als eine andere aus. Dass der Name unbekannt sei, bedeute nicht zwingend, dass der Akteur unbekannt sei.

Fest steht damit vor allem: Ein Regierungs-Chatdienst wurde kompromittiert, und nach DINUM könnten dabei mindestens Kontodaten von 73.467 Nutzern offengelegt worden sein. Falls zusätzlich tatsächlich Nachrichteninhalte abgeschöpft wurden, wie „misere“ laut FrenchBreaches behauptet, würde das den Informationsgehalt des Vorfalls deutlich erhöhen. Belegt ist dieser Teil bislang jedoch nicht.