Washington, EUA — InkDesign News — Uma vulnerabilidade cibernética crítica foi explorada em TM SGNL, aplicativo de mensagens modificado pela empresa israelo-americana TeleMessage, utilizado por autoridades do governo dos Estados Unidos, resultando na exposição de mensagens arquivadas e dados sensíveis do backend, em maio de 2025.
Incidente e vulnerabilidade
O incidente envolveu um invasor que acessou a infraestrutura de backend do TM SGNL em cerca de “15-20 minutos,” destacando uma facilidade preocupante de exploração. O aplicativo, derivado do Signal com modificações para compliance governamental, adiciona funcionalidades de arquivamento de mensagens que, diferente da criptografia ponta a ponta original, armazenam comunicações descriptografadas em servidores em nuvem da Amazon Web Services (AWS). Essa prática expôs os dados a acessos não autorizados por meio de credenciais hardcoded no código-fonte do software.
Micah Lee, engenheiro de software que analisou o código-fonte, identificou a séria falha relacionada aos “hardcoded credentials” (credenciais fixas no código), que comprometem significativamente a segurança da aplicação. A modificação que possibilita o arquivamento em texto claro, sem proteção criptográfica contínua, é o vetor principal da vulnerabilidade explorada.
Impacto e resposta
A brecha resultou no vazamento de mensagens, informações de contato de funcionários governamentais, nomes de usuário e senhas do painel administrativo, além da exposição de dados de clientes como a Customs and Border Protection (CBP) e a empresa Coinbase. Apesar do envolvimento do aplicativo com autoridades americanas, não foram obtidas mensagens dos membros do gabinete de Trump ou do ex-Conselheiro de Segurança Nacional Mike Waltz.
Em resposta ao incidente, a TeleMessage suspendeu temporariamente as operações do TM SGNL e removeu todas as referências ao serviço e suas funcionalidades do website oficial, que permanece ativo. A empresa-mãe Smarsh planeja rebatizar o aplicativo como Capture Mobile, mas até o momento não anunciou medidas detalhadas de remediação.
“A empresa não pode garantir as propriedades de privacidade ou segurança das versões não oficiais do Signal.”
(“The company cannot guarantee the privacy or security properties of unofficial versions of Signal.”)— Porta-voz do Signal
Mitigações recomendadas
Para mitigar os riscos decorrentes da falha, recomenda-se a imediata remoção de credenciais hardcoded no código-fonte e a adoção de práticas padrão de segurança na gestão de credenciais, como uso de cofres digitais. Além disso, é essencial que o arquivamento das mensagens mantenha criptografia ponta a ponta ativa, evitando o armazenamento de dados em texto plano em servidores remotos.
Governos e organizações devem implementar auditorias regulares em suas soluções de comunicação, privilegiando softwares oficiais e canais devidamente certificados. Reforçar o monitoramento contínuo e a segmentação de acessos no ambiente de nuvem pode diminuir a superfície de ataque e evitar exposições futuras.
“A vulnerabilidade destacou a necessidade de reavaliar profundamente as ferramentas de comunicação usadas para informações sensíveis.”
(“The vulnerability highlighted the need for a thorough reassessment of communication tools used for sensitive information.”)— Micah Lee, Engenheiro de Software
O incidente evidencia riscos residuais persistentes em plataformas adaptadas sem rigorosas revisões de segurança, especialmente em ambientes governamentais críticos. A adoção de protocolos robustos, transparência nas modificações de software e atualizações rápidas são cruciais para fortalecer a defesa diante de ameaças cada vez mais sofisticadas.
Para mais detalhes técnicos e notícias recentes, consulte nossa seção sobre Segurança Cibernética.
Fonte: (Hack Read – Segurança Cibernética)
