Dalam perkembangan yang mengkhawatirkan bagi keamanan siber pemerintah, TeleMessage telah menghentikan semua layanannya setelah laporan tentang pelanggaran keamanan signifikan yang mengekspos komunikasi sensitif dari berbagai lembaga pemerintah dan organisasi swasta. Perusahaan Israel ini, yang menyediakan versi modifikasi dari aplikasi pesan terenkripsi populer seperti Signal untuk tujuan pengarsipan, kini menghadapi pertanyaan serius tentang praktik keamanannya dan kerentanan yang melekat pada pendekatan pengarsipan pesannya.
Pelanggaran dan Penemuannya
Insiden keamanan ini terungkap melalui investigasi oleh 404 Media, yang mengungkapkan bahwa seorang peretas telah berhasil membobol sistem backend TeleMessage. Menurut laporan, penyerang mendapatkan akses ke pesan yang diarsipkan hanya dalam waktu 15 hingga 20 menit dengan memanfaatkan kredensial yang ditemukan dalam data yang diintersepsi. Hal ini memungkinkan mereka memasuki panel backend di mana nama pengguna, kata sandi, dan konten pesan terlihat. Server yang disusupi diidentifikasi sebagai endpoint Amazon Web Services yang berlokasi di Virginia Utara, fakta yang diverifikasi melalui analisis kode sumber aplikasi Signal yang dimodifikasi.
Penggunaan Profil Tinggi Terungkap
Kekhawatiran keamanan ini mendapat perhatian publik setelah Reuters memotret Mike Waltz, mantan Penasihat Keamanan Nasional untuk Donald Trump, menggunakan apa yang tampak sebagai klon Signal dari TeleMessage selama pertemuan kabinet. Pengungkapan ini menjadi sangat mengkhawatirkan setelah ditemukan bahwa Waltz telah membuat grup obrolan Signal untuk berbagi pembaruan langsung tentang operasi militer AS di Yaman, yang secara tidak sengaja dibagikan kepada seorang jurnalis. Foto Reuters menunjukkan bahwa pejabat profil tinggi lainnya, berpotensi termasuk Marco Rubio, Tulsi Gabbard, dan JD Vance, juga merupakan penerima dalam komunikasi Waltz melalui aplikasi tersebut.
 |
|---|
| Suasana pertemuan formal yang menggambarkan penggunaan aplikasi pesan seperti TeleMessage di kalangan pejabat pemerintah tingkat tinggi |
Adopsi Luas oleh Pemerintah dan Korporasi
Catatan pengadaan publik menunjukkan bahwa TeleMessage memiliki kontrak dengan beberapa lembaga pemerintah AS, termasuk Departemen Luar Negeri dan Pusat Pengendalian dan Pencegahan Penyakit. Kontrak-kontrak ini mencakup beberapa administrasi dan tidak terbatas pada era Trump. Salah satu kontrak aktif yang diberikan oleh Departemen Keamanan Dalam Negeri dan FEMA mengalokasikan 2,1 juta dolar untuk pengarsipan pesan elektronik seluler, berlangsung dari Februari 2023 hingga Agustus 2025. Di luar penggunaan pemerintah, pelanggaran tersebut juga mengekspos komunikasi dari US Customs and Border Protection, perusahaan mata uang kripto Coinbase, lembaga keuangan seperti Scotiabank, dan Cabang Intelijen Kepolisian Metropolitan Washington D.C.
Instansi Pemerintah yang Menggunakan TeleMessage:
- Departemen Luar Negeri
- Pusat Pengendalian dan Pencegahan Penyakit
- Departemen Keamanan Dalam Negeri
- FEMA
- Bea Cukai dan Perlindungan Perbatasan AS
Kerentanan Keamanan Mendasar
Para ahli keamanan telah menunjukkan kerentanan kritis dalam pendekatan TeleMessage: meskipun perusahaan mengklaim mempertahankan enkripsi Signal selama komunikasi, proses penangkapan dan penyimpanan pesan yang didekripsi untuk tujuan pengarsipan secara inheren memperkenalkan risiko keamanan baru. Setelah pesan-pesan ini meninggalkan perangkat pengguna dan diarsipkan di server TeleMessage, pesan-pesan tersebut tidak lagi dilindungi oleh enkripsi end-to-end, membuatnya rentan terhadap akses tidak sah jika sistem tersebut disusupi. Pelanggaran tersebut mengekspos tidak hanya pesan dari klon Signal TeleMessage tetapi juga dari versi modifikasi WhatsApp, Telegram, dan WeChat.
Aplikasi yang Dimodifikasi oleh TeleMessage:
- Signal
- Telegram
Respons Perusahaan dan Penghentian Layanan
Sebagai respons terhadap pelanggaran tersebut, TeleMessage telah mengambil tindakan drastis. TeleMessage sedang menyelidiki potensi insiden keamanan. Setelah deteksi, kami bertindak cepat untuk menahannya dan melibatkan perusahaan keamanan siber eksternal untuk mendukung investigasi kami, kata juru bicara dari Smarsh, perusahaan induk TeleMessage. Demi kehati-hatian, semua layanan TeleMessage telah ditangguhkan sementara. Perusahaan juga telah menghapus sebagian besar konten situsnya, termasuk detail layanan dan tautan unduhan aplikasi yang sebelumnya tersedia.
Pertanyaan Regulasi dan Kepatuhan
Perusahaan induk TeleMessage, Smarsh, yang saat ini melakukan rebranding aplikasi sebagai Capture Mobile, telah menekankan bahwa peran mereka adalah membantu klien mematuhi peraturan dengan menangkap dan menyimpan komunikasi. Tom Padgett, presiden bisnis perusahaan Smarsh, memberi tahu NBC News bahwa klien dapat memilih dari berbagai opsi pengarsipan, termasuk menyimpan pesan dalam arsip Smarsh atau meneruskannya ke alamat Gmail. Namun, Smarsh mengklaim bahwa mereka bukan arsip catatan untuk lembaga pemerintah mana pun. Yang penting, aplikasi-aplikasi ini tidak disetujui untuk digunakan di bawah Program Manajemen Otorisasi dan Risiko Federal AS (FedRAMP), menimbulkan pertanyaan tentang kesesuaiannya untuk komunikasi pemerintah.
Informasi Kontrak Utama:
- Kontrak DHS dan FEMA: $2,1 juta
- Periode kontrak: Februari 2023 hingga Agustus 2025
- Tujuan: Pengarsipan pesan elektronik seluler
Posisi Signal
Juru bicara Signal telah menjauhkan aplikasi asli dari TeleMessage, menekankan bahwa Signal tidak memiliki perjanjian dengan TeleMessage dan tidak mengetahui produk tersebut sebelum foto Reuters muncul. Signal tidak dapat menjamin privasi atau keamanan versi tidak resmi dari aplikasinya, menyoroti risiko yang terkait dengan versi yang dimodifikasi ini. Insiden ini menggarisbawahi ketegangan yang melekat antara desain aplikasi yang berfokus pada privasi seperti Signal dan persyaratan kepatuhan pemerintah dan industri yang diatur.
Implikasi Keamanan yang Lebih Luas
Pelanggaran ini menimbulkan kekhawatiran signifikan tentang keamanan komunikasi pemerintah tingkat tinggi dan trade-off antara persyaratan keamanan dan kepatuhan. Saat lembaga dan organisasi pemerintah terus bergulat dengan kebutuhan untuk mengarsipkan komunikasi sambil mempertahankan keamanan, insiden ini berfungsi sebagai pengingat keras bahwa setiap modifikasi pada protokol pesan yang aman memperkenalkan potensi kerentanan. Kemudahan dengan mana peretas mendapatkan akses ke informasi sensitif menunjukkan bahwa langkah-langkah keamanan yang lebih kuat diperlukan saat mengarsipkan komunikasi terenkripsi, terutama yang berisi informasi pemerintah yang sensitif.