Üst düzey ABD hükümet yetkilileri tarafından kullanılan güvenli mesajlaşma uygulaması Signal'in özelleştirilmiş bir versiyonunun 20 dakikadan kısa sürede ele geçirildiği ortaya çıktı. Bu olay, hükümete ait dijital iletişimlerin güvenliği konusunda ciddi endişelere yol açmıştır.
Olay, ABD Ulusal Güvenlik Danışmanı Mike Waltz’ın telefonunu kullanırken çekilen masum gibi görünen bir fotoğrafla gün yüzüne çıktı. Fotoğrafta, Waltz’ın "TM SGNL PIN" isteyen bir uygulama ekranıyla etkileşimde bulunduğu görülüyor. Bu detay, İsrailli bir firma olan Telemessage tarafından geliştirilen resmi olmayan bir Signal uygulamasının kullanıldığını ortaya koydu. Söz konusu uygulama, kamuya açık Signal sürümünün aksine, yasal zorunluluklar doğrultusunda hükümet iletişimlerinin arşivlenmesini sağlamak amacıyla tasarlanmıştır. Bunu, her mesajın şifrelenmiş bir kopyasını bir arşiv sunucusuna göndererek gerçekleştirir.
Bu uygulama, Apple App Store veya Google Play Store gibi yaygın platformlardan indirilemez. Telemessage ve uygulaması, siber güvenlik dünyasında bile pek tanınmayan aktörlerdir. Ancak söz konusu fotoğrafın ortaya çıkmasının ardından, bilgi güvenliği topluluğu hızla uygulamayı mercek altına almıştır.
Çoğu güvenlik araştırmacısının amacı, uygulamanın güvenliğini analiz etmek ve varsa açıklarını ortaya çıkarmaktı. Ancak, “gri şapkalı” olarak tanımlanan bir hacker bu sınırları aşarak Telemessage tarafından işletilen bir sunucuyu ele geçirdi. Söz konusu hacker'a göre, bu işlem sadece 15-20 dakika sürdü ve çok az çaba gerektirdi. Güvenlik açığını doğrudan Telemessage’a bildirmek yerine, şirketin sorunu gizlemeye çalışacağından şüphelenerek bilgileri teknoloji haber platformu 404Media ile paylaştı.
404Media, güvenlik nedenleriyle teknik detayları açıklamaktan kaçınsa da, saldırının Amazon Web Services (AWS) üzerinde barındırılan bir Telemessage sunucusu üzerinden gerçekleştiğini doğrulamıştır. Bu sunucu üzerinden uygulamanın hata ayıklama ve arşivleme amacıyla gönderdiği veriler ele geçirilmiş, bunlar arasında mesaj içeriklerinin bir kısmı, kişi bilgileri ve isimler gibi şifrelenmemiş veriler yer almıştır.
Telemessage, kullanıcı cihazından arşive kadar uçtan uca şifreleme sağladığını iddia etmektedir. Ancak bu ihlal, bu iddiayı açıkça yalanlamaktadır. Olayın ardından, şirket web sitesindeki ilgili belgeleri kaldırmış ve uygulamanın nasıl çalıştığını gösteren videoları YouTube üzerinden gizli hale getirmiştir.
Durum daha da kötüleşmiştir; zira hacker, sunucudan ele geçirdiği hata ayıklama verileri içinde Telemessage'in yönetici paneline ait kullanıcı adı ve şifreleri de bulmuştur. Bu sayede sisteme yetkisiz erişim sağlamış ve kullanıcı listesini indirmiştir. Kullanıcıların büyük çoğunluğunun resmi ABD hükümeti e-posta adreslerine sahip olduğu görülmüştür.
Devlet destekli siber tehditlerin artmakta olduğu günümüzde, bu tür bir güvenlik açığının sonuçları oldukça ciddidir. Saldırganın yalnızca dakikalar içinde bu kadar kritik sistemlere erişim sağlaması, hükümet düzeyindeki üçüncü parti araçların seçimi ve güvenlik standartlarının sorgulanmasına neden olmuştur. Dahası, söz konusu hacker’ın bu sistemlere erişen ilk kişi olmayabileceği ihtimali, durumu daha da kaygı verici hale getirmektedir.