Hacker claimt scrapen van 650.000 berichten uit Franse overheidschatapp Tchap

Een hacker zegt bijna 650.000 berichten van de Franse overheidschatapp Tchap te hebben gescrapet. De Franse overheid bevestigt dat er 'een veiligheidsincident' heeft plaatsgevonden. De aanvaller kreeg naar eigen zeggen toegang via social engineering.

De hacker zegt bijna 650.000 berichten van 73.500 accounts te hebben gescrapet, schrijft BleepingComputer. Het zou om zowel privé- als publieke chats gaan. De aanvaller stelt ook 13,51GB aan mediabestanden te hebben gedownload, ook van Tchap-delen waartoe het account geen toegang had moeten hebben.

Tchap is een chatdienst gebaseerd op het Matrix-protocol. De dienst is bedoeld voor Franse ambtenaren. De chatapp is al sinds 2019 beschikbaar. In 2023 verbood Frankrijk het gebruik van WhatsApp en Signal voor ambtenaren, waardoor zij vaker diensten als Tchap moesten gebruiken. De hacker kreeg naar eigen zeggen toegang tot Tchap via social engineering bij een regionaal directeur van een Frans belastingkantoor.

Dinum, het Franse orgaan dat verantwoordelijk is voor digitale zaken, bevestigt dat er een veiligheidsincident heeft plaatsgevonden. De organisatie zegt het incident nog te onderzoeken en deelt er nog niet veel details over.

Smartphone. Bron: Tim Robberts / Getty Images
Bron: Tim Robberts / Getty Images

Door Hayte Hugo

Redacteur

09-06-2026 • 17:22

19

Submitter: Cranberry

Reacties (19)

Sorteer op:

Weergave:

Waarom heeft de regionaal directeur van een Frans belastingkantoor toegang tot de chats van 73.500 accounts? Ik neem aan dat dat niet allemaal berichten tussen hem/haar en deze accounts waren.

Toevoeging: In de bron staat dat de hacker hard coded LDAP credentials (van medewerkers van de lokale bank?) heeft gevonden via het systeem van de directeur, dus ik gok hij/zij daarmee in heeft kunnen loggen op Tchap namens die medewerkers en zo hun berichten uit heeft kunnen lezen.
They claim to have stolen hardcoded LDAP credentials allegedly leaked via a PowerShell script shared by a French tax authority regional director
Aan de hand van de chats zijn ook de mediabestanden gedownload, aangezien je daarvoor alleen de ID nodig had:
"Every file ever shared on Tchap, on any shard, is downloadable without a token," they added. "The media IDs come from the messages. Once you have a message with a media URL you can pull the file freely regardless of which shard hosts it."

[Reactie gewijzigd door Skit3000 op 9 juni 2026 17:47]

:D sorry ik zag die kop en vond het toch wel hylarisch. Soms de arrogantie en dan ook nog de onkunde van sommige ontwikkelaars omdat ze dan weer bang zijn voor China, dan weer Rusland en dan de VS (afhankelijk politieke stroming).
Dat zou echt een ramp kunnen zijn. NAW van vermogende mensen op straat, terwijl er in Frankrijk al ontvoeringen plaatsvinden alsof het Mexico is. Vertrouwen in de overheid (helemaal) weg.

[Reactie gewijzigd door Sando op 9 juni 2026 17:29]

Ik snap niet wat NAW gegevens in een chat app te zoeken hebben?
"Tchap is an instant messaging service and collaboration tool based on the decentralized Matrix protocol, designed exclusively for the French public sector."

[Reactie gewijzigd door Jacco011 op 9 juni 2026 17:52]

Ik snap niet wat NAW gegevens in een chat app te zoeken hebben?

"Tchap is [a] collaboration tool"
Als je om een ruling vraagt, gecontroleerd wordt, bezwaar maakt tegen je aangifte, met justitie in aanraking komt, een complex zorgdossier met hulpvraag hebben uitstaan of bedenk maar wat, dan zullen verschillende collega's met jouw documenten, dossiers en aanvragen werken in een "collaboration tool" toch?

Denk je dat ze 650.000 berichten versturen over burgerzaken zonder het ooit over NAW te hebben?

Waarom denk je dat er naast de chatbestanden ook 13,51 GB aan "mediabestanden" is verzameld in de 2 jaar dat het gebruik van deze app voor ambtenaren verplicht is? Ze doen serieus werk hoor, dat zijn heus niet allemaal kattenplaatjes. Misschien maak je wel bezwaar tegen je aangifte en stuurt de inspecteur je aangifte + bezwaar door naar een collega die meer verstand heeft van aanmerkelijk belangen in box 2.

Denk even na. Denk bijvoorbeeld terug aan iedere keer dat onze eigen ambtenaren excelsheets met NAW gegevens hebben gelekt omdat ze iets naar een burger e-mailden wat eigenlijk voor een collega bedoeld was. Dan weet je met wat voor soort documenten ze werken.

nieuws: Ambtenaar stuurt Excelbestand met persoonsgegevens van 530 personen naar een privé-adres
nieuws: Gemeente Dantumadiel lekt jarenlang gevoelige informatie van inwoners
nieuws: Gemeente Eindhoven stuurde persoonsgegevens naar openbare AI-tools

/cc @Piggen
Dit heeft niets te maken met NAW (al dan niet van vermogende mensen), dus ik snap niet waarom je dit erbij sleept.

[Reactie gewijzigd door Piggen op 9 juni 2026 17:51]

Tchap is gewoon matrix+element overigens: https://element.io/en

Open-source software. Frankrijk heeft daar een eigen naampje aan gehangen. Ze betalen trouwens niet eens mee aan de ontwikkeling daarvan.

[Reactie gewijzigd door Llopigat op 9 juni 2026 22:44]

Het is een interessante case voor de vergelijking met Signal. Bij Signal is het absoluut onmogelijk om met één gehackt account verder te komen dan datgene wat in dat account is opgeslagen. Maar dat betekent niet dat Signal Tchap zou kunnen vervangen en even veilig zijn.

Het lijkt er op dat het backend wat gehackt is, niet de Tchap berichtenserver is, maar het archief wat voor transparantie wordt bijgehouden. Vergelijkbaar met de aangepaste Signal app die ministers en stafmedewerkers in de VS gebruikten. Deze stuurde Signal berichten door naar een dienst in Israel, waarvan het backend zo lek als een mandje bleek te zijn.

Alles wat als officieel communicatiemiddel voor een overheid gebruikt moet worden, moet te controleren zijn, en die eis is strijdig met het concept van end-to-end-encryption. Zodra er een archief moet worden bijgehouden, moet er een ouderwets systeem met ouderwetse rollen en rechten ouderwets worden beveiligd tegen inbraak, hoeveel encryptie er verder ook bij komt kijken.
Iemand heeft gewoon zijn credentials afgeven. Prima om te klagen dat iemand zo dom is geweest dat te doen!

Maar heeft werkelijk niks met de interne (EU) vs externe apps te maken, wat jij er nu van probeert te maken met deze opmerking:
Zelfs een interne chat app lukt ze niet.
Dat is gewoon zeuren om te zeuren, net als het erbij halen van die andere zaken...

[Reactie gewijzigd door watercoolertje op 9 juni 2026 17:36]

Aan de andere kant... de credentials weten te bemachtigen van één ambtenaar zou niet moeten leiden tot de diefstal van 650.000 berichten en 13GB aan data, zou je zeggen.
Die creds van die ambtenaar was maar het eerste stapje. Daarmee hebben ze waarschijnlijk toegang kunnen krijgen tot het onderliggende systeem via configuratie of andere fouten en dan een manier gevonden om via privilege escalation verder in het systeem door te dringen. Zoals eerder hierboven gezegd via een ldap enumeratie of een memory dump of iets in die richting.
13 Gigabyte vind ik niet veel, dat is minder dan de gemiddelde fotobibliotheek van 1 gebruiker.
Zowat elk lek, elke cryptolocker, bijna elke digitale inbraak begint de dag van vandaag met 1 fout van 1 gebruiker die ofwel credentials laat uitlekken, danwel op een link klikt in een email, misschien iets te positief aan de telefoon wilt meewerken met de andere kant, ... .

Je geraakt binnen in het account van 1 gebruiker en kunt van daaruit verder escaleren. Je leert meer over de omgeving, vindt meer manieren om meer data te lezen.

Vele systemen zijn daarnaast ook heel goed beveiligd aan de buitenkant, maar als een aanvaller eenmaal binnen is, dan zie je ze meestal veel minder weerstand tegen komen.
Ligt het aan mij of is 13GB eigenlijk weinig voor 650000 berichten/73500 accounts?

Sure, staat niet dat ze alle media gescraped hebben, maar als ik vergelijk met wat er in mijn prive WhatsApp staat, of mijn werk teams, aan fotos en screenshots, lijkt me dat echt weinig...
Dat is gewoon zeuren om te zeuren, net als het erbij halen van die andere zaken...
Hadden we het maar ik eigen beheer ipv Amerikaanse bigtech!

Oh wacht...
Ja zoiets als salesforce waar partijen als Shinyhunters bijna dagelijks grote kraken zetten en de hele database exporteren. Zoals odido maar internationaal zijn het er veel meer, er is echt elke week wel een slachtoffer alleen het komt hier niet meer in het nieuws.
Tja. Discord kan ook 70'000 paspoorten via 3rd party leaken. Net zoals Italiaanse hotels 100'000
Sony Pictures Hack 2024
Nintendo.
Het kan iedereen en elk bedrijf overkomen. Hackers hacken zelfs ziekenhuizen en laboratoriums. Zullen we dan maar stoppen met ziekenhuizen, scholen en universiteiten?

Op dit item kan niet meer gereageerd worden.