Violata la piattaforma di messaggistica usata dagli USA: coinvolti oltre 60 utenti governativi

Un attacco informatico ai danni della piattaforma di messaggistica TeleMessage, impiegata da funzionari governativi statunitensi, ha compromesso i dati di oltre 60 utenti istituzionali, secondo un’analisi condotta da Reuters basata su un archivio di dati trapelati. L’archivio è stato fornito da Distributed Denial of Secrets, un’organizzazione non-profit statunitense impegnata nella conservazione e diffusione di documenti hackerati e divulgati nell’interesse pubblico.

L’incidente coinvolge direttamente anche Mike Waltz, ex consigliere per la sicurezza nazionale del presidente Donald Trump, le cui comunicazioni sono state intercettate insieme a quelle di altri funzionari. La portata dell’attacco appare più estesa di quanto inizialmente ipotizzato, aumentando le preoccupazioni riguardo la protezione dei dati all’interno dell’amministrazione.

I messaggi intercettati, riferiti a un periodo di circa 24 ore terminato il 4 maggio, includevano contenuti provenienti da membri dello staff diplomatico, funzionari doganali, soccorritori in caso di catastrofi, almeno un componente dello staff della Casa Bianca e agenti del Secret Service. Nonostante molte conversazioni risultassero frammentarie, alcune trattavano aspetti logistici relativi a viaggi ufficiali. In particolare, un gruppo Signal intitolato “POTUS | ROME-VATICAN | PRESS GC” sembrava riferirsi a un evento in Vaticano, mentre un altro scambio riguardava una missione in Giordania.

La piattaforma TeleMessage, poco conosciuta al di fuori dei settori governativi e finanziari, consente l’archiviazione dei messaggi inviati tramite versioni modificate di app popolari, in conformità con le regole di gestione dei dati governativi. L’attenzione mediatica si è concentrata su di essa dopo che, il 30 aprile, una fotografia di Reuters aveva mostrato Waltz mentre utilizzava l’app durante una riunione di gabinetto.

Secondo quanto riferito dall’agenzia stampa, in oltre sei casi è stato possibile confermare che i numeri di telefono presenti nei dati trapelati corrispondevano ai veri proprietari. Un richiedente di aiuti della Federal Emergency Management Agency (FEMA) ha verificato l’autenticità di un messaggio a lui indirizzato. Anche una società di servizi finanziari coinvolta ha confermato che i messaggi intercettati erano reali.

Tuttavia, dalla revisione effettuata da Reuters, non sono emersi contenuti chiaramente sensibili né messaggi attribuibili direttamente a Waltz o ad altri funzionari di primo piano. Nonostante ciò, esperti in sicurezza avvertono che anche l’accesso ai soli metadati — come mittenti, destinatari e orari — rappresenta una minaccia significativa in ottica di controspionaggio. Jake Williams, ex specialista della National Security Agency, ha dichiarato che “anche senza i contenuti, si tratta di un accesso di intelligence di primo livello”.

A seguito dell’attacco, la piattaforma è stata messa offline il 5 maggio “per eccesso di cautela”, secondo quanto riportato. La società proprietaria, Smarsh, con sede a Portland, Oregon, non ha rilasciato commenti sui dati trapelati. La Casa Bianca ha confermato di essere “a conoscenza dell’incidente di sicurezza informatica presso Smarsh”, senza però fornire ulteriori dettagli sull’utilizzo della piattaforma da parte del governo. Il Secret Service ha riconosciuto l’uso di TeleMessage da parte di “un piccolo sottoinsieme di dipendenti”, specificando che sono in corso accertamenti.

La FEMA ha dichiarato via e-mail di non avere prove che i propri dati siano stati compromessi, ma non ha risposto quando le sono stati inviati esempi specifici dei messaggi trafugati. La Customs and Border Protection (CBP), invece, ha ribadito di aver disattivato l’uso della piattaforma e avviato un’indagine interna. Anche il Dipartimento di Stato e i Centers for Disease Control (CDC) risultano avere avuto contratti con TeleMessage. Il CDC ha dichiarato di aver testato il software nel 2024, riscontrando però che non soddisfaceva i requisiti richiesti.

Una settimana dopo l’attacco, la Cybersecurity and Infrastructure Security Agency (CISA) ha raccomandato agli utenti di interrompere l’utilizzo del servizio, in assenza di istruzioni tecniche da parte di Smarsh su come mitigare le vulnerabilità.