Pubblicati 410 GB di dati sottratti a TeleMessage: sviluppa versioni modificate di Signal e WhatsApp

Il caso “SignalGate” esplode dopo la pubblicazione, da parte di DDoSecrets, di 410 GB di dati sottratti a TeleMessage, azienda israeliana che produce versioni modificate di app di messaggistica come Signal.
Michele Nasi
Pubblicato il 20 mag 2025
Pubblicati 410 GB di dati sottratti a TeleMessage: sviluppa versioni modificate di Signal e WhatsApp

Un nuovo scandalo sulla sorveglianza digitale esplode a livello globale dopo la pubblicazione, da parte di Distributed Denial of Secrets (DDoSecrets), di 410 GB di dati sottratti a TeleMessage, società israeliana che sviluppa versioni modificate di app di messaggistica cifrata come Signal, WhatsApp, Telegram e WeChat. A darne notizia è, ancora una volta, Micah Lee che già di recente aveva analizzato il funzionamento dell’app clone di Signal utilizzata dall’Amministrazione Trump per scambiare messaggi riservati.

Lee ha scoperto che TM SGNL, app derivata da Signal e usata da alti funzionari statunitensi, trasferiva e salvava i dati degli utenti in chiaro, senza quindi usare alcuna forma di cifratura dei dati.

TeleMessage: il contesto e il ruolo nell’apparato governativo

Eppure, TeleMessage – ovvero l’azienda israeliana specializzata in soluzioni di archiviazione centralizzata dei messaggi – si era conquistata il favore di enti governativi e imprese soggette a normative di compliance.

Come già spiegato in precedenza, i software TeleMessage sono di fatto fork delle più note app di messaggistica alle quali sono aggiunti meccanismi per il monitoraggio e la registrazione dei contenuti. Lee e altri ricercatori hanno tuttavia scoperto gravi vulnerabilità nelle app TeleMessage e una gestione a dir poco negligente in materia di sicurezza informatica.

Le soluzioni TeleMessage sono utilizzate, dal 2023, anche dalle agenzie federali statunitensi. L’interesse pubblico nei confronti dell’azienda è esploso nel 2025 dopo che è emerso che l’ex consigliere per la sicurezza nazionale, Mike Waltz, impiegava una versione modificata di Signal — TM SGNL, appunto — per comunicare con membri dell’amministrazione Trump, inclusi il vicepresidente JD Vance e la direttrice dell’intelligence nazionale Tulsi Gabbard.

Una cronologia di eventi davvero allarmante

Marzo 2025: Waltz aggiunge un giornalista a un gruppo Signal in cui si discutevano crimini di guerra, dando il via a un’inchiesta congressuale sull’uso di app cifrate per condividere informazioni strettamente riservate (“classificate”).

1° maggio 2025: Waltz è fotografato con il suo dispositivo personale aperto sull’app TM SGNL, mostrando conversazioni con figure politiche di alto profilo.

3 maggio: Il codice sorgente di TM SGNL appare su GitHub, rivelando un’architettura discutibile.

4 maggio: TeleMessage subisce una violazione iniziale, documentata da 404 Media.

5 maggio: Una seconda violazione indipendente viene riportata da NBC News.

6 maggio: Un’analisi dettagliata del codice e dei dati violati conferma che le dichiarazioni di TeleMessage sull’utilizzo della crittografia end-to-end erano fuorvianti.

18 maggio: Lee pubblica le prove di una vulnerabilità critica: un URL pubblico (archive.telemessage.com/management/heapdump) permetteva di scaricare Java heap dumps contenenti registri di chat in chiaro.

La pubblicazione di 410 GB di dati da parte di DDoSecrets

Il 20 maggio 2025, DDoSecrets ha pubblicato ben 410 GB di dati derivanti dagli heap dumps citati da Lee, rendendoli disponibili solo a giornalisti e ricercatori, in quanto contenenti informazioni personali (PII) e metadati sensibili. La pubblicazione rivela l’estensione della falla: messaggi in chiaro, metadati con timestamp, nomi dei gruppi, mittenti e destinatari.

DDoSecrets ha anche estratto e indicizzato i testi contenuti nei dump, facilitando l’analisi strutturata del materiale. Il contenuto di questi dati non solo smentisce le dichiarazioni di TeleMessage sull’uso della crittografia, ma solleva interrogativi cruciali sulla sicurezza delle infrastrutture utilizzate per la sorveglianza delle comunicazioni, in ambito pubblico e privato.

L’esposizione di dati appartenenti ad alti funzionari governativi statunitensi accentua il paradosso di un apparato di sorveglianza che finisce per compromettere se stesso.

L’utilizzo di app modificate come TM SGNL, sotto la presunta garanzia di “compliance”, rischia di diventare un cavallo di Troia che mina la fiducia nelle tecnologie di comunicazione sicura. In mancanza di trasparenza e verificabilità del codice, il confine tra sicurezza e sorveglianza forzata si fa sempre più labile.

Quando una falsa alternativa a Signal compromette le “comunicazioni di Stato”, in 20 minuti

Abbiamo detto che TM SGNL integra una funzionalità di archiviazione per la conservazione dei messaggi in formato leggibile sui propri server, al fine di soddisfare esigenze normative e legali (i.e. FINRA, SEC, GDPR). Pur basandosi sulla crittografia end-to-end di Signal e appoggiandosi al network di quest’ultima, TM SGNL integra alcune caratteristiche in più che – tuttavia – hanno portato alla “rottura” delle garanzie di riservatezza offerte proprio da Signal.

L’israeliana TeleMessage (poi acquisita dalla statunitense Smarsh, che ha da poco deciso di sospenderne le attività) ha continuato a pubblicizzare le sue soluzioni come “end-to-end encrypted“, omettendo il dettaglio fondamentale: i messaggi sono archiviati in chiaro su un server remoto.

Lee spiega che addirittura a inizio 2024 un hacker ha individuato una serie di gravi vulnerabilità nei domini secure.telemessage.com e archive.telemessage.com, sfruttando tecniche di “ricognizione” piuttosto basilari:

Feroxbuster, un tool open source, per eseguire brute forcing delle directory Web e individuare endpoint non documentati.

Come evidenziato in precedenza, il dominio archive.telemessage.com esponeva pubblicamente l’endpoint /heapdump, funzionalità diagnostica di Spring Boot Actuator, attraverso cui è possibile scaricare un dump completo della memoria JVM.

  • Analizzando il file da 150 MB ottenuto, l’attaccante ha rinvenuto:
  • Credenziali in chiaro (email, username, password)
  • Chiavi di cifratura
  • Log delle chat non cifrati
  • Metadati sensibili associati ad agenzie federali come US Customs and Border Protection (CBP)

Il tempo totale richiesto per compromettere il sistema? Circa 20 minuti.

Conclusioni: il caso SignalGate è solo l’inizio

L’affaire ormai battezzato come SignalGate (anche se Signal non c’entra assolutamente nulla con le vulnerabilità di TM SGNL) non è semplicemente uno scandalo tecnologico, ma un campanello d’allarme politico e istituzionale. Dimostra come la commistione tra tecnologia, sorveglianza e disinformazione possa degenerare rapidamente in una crisi di fiducia nei confronti di strumenti pensati per proteggere la riservatezza delle comunicazioni.

Con questa enorme fuga di dati, emergono interrogativi essenziali:

  • Quanto sono effettivamente sicuri gli strumenti adottati dalle istituzioni?
  • Esiste un controllo pubblico reale su software di archiviazione e sorveglianza modificati?
  • Chi tutela i diritti digitali degli utenti quando sicurezza e sorveglianza vengono affidate a fornitori privati opachi?

In attesa di ulteriori analisi sui contenuti pubblicati da DDoSecrets, una cosa è certa: la trasparenza e la sicurezza non sono opzionali — sono le fondamenta della fiducia digitale, oggi più che mai in discussione.

Credit immagine in apertura: iStock.com – D-Keine

Ti consigliamo anche

Samsung Galaxy e One UI 7: utenti segnalano problemi di batteria
Mobile

Samsung Galaxy e One UI 7: utenti segnalano problemi di batteria
Come passare al VoIP con MessageNet: sconto del 34% su tutti i servizi
Business

Come passare al VoIP con MessageNet: sconto del 34% su tutti i servizi
Trova il mio dispositivo di Google migliora la localizzazione di precisione
Mobile

Trova il mio dispositivo di Google migliora la localizzazione di precisione
Apple introduce l'AI per la gestione della batteria in iOS 19
Mobile

Apple introduce l'AI per la gestione della batteria in iOS 19
Link copiato negli appunti