TeleMessage firması tarafından geliştirilen ve “TM SGNL” olarak adlandırılan Signal mesajlaşma uygulamasının özelleştirilmiş bir versiyonunun, şifresi çözülmüş, düz metin sohbet kayıtlarını otomatik olarak arşivleyip TeleMessage sunucularına ilettiği bulundu. Bu olay, özellikle üst düzey Trump yönetimi yetkilileri tarafından kullanılması göz önüne alındığında ABD için ciddi güvenlik ve gizlilik sorunları yaratıyor.
Güvenlik araştırmacısı Micah Lee’nin yaptığı analizlere göre, TM SGNL, kullanıcı mesajlarını uçtan uca şifrelemek yerine, şifrelenmemiş (plaintext) olarak TeleMessage’ın arşiv sunucularına iletiyor. Yani şirketin pazarlama iddialarına karşın, kullanıcı gizliliğini tehlikeye atıyor.
Mayıs 2025’te gerçekleşen bir siber saldırı sonucunda, TM SGNL’nin arşiv sunucularından kullanıcı mesajları, kullanıcı adları, şifreler ve özel şifreleme anahtarları gibi hassas verilerin sızdırıldığı anlaşıldı. Bu olay, uygulamanın üstelik güvenlik açıklarını ve kullanıcı verilerinin korunmasındaki yetersizlikleri gösteriyor.
TM SGNL’nin güvenlik açıkları, ABD’de ulusal güvenlik açısından ciddi endişelere yol açtı. Uygulamanın, ABD hükümetinin Federal Risk and Authorization Management Program (FedRAMP) kapsamında onaylanmamış olması, resmi kullanımı daha da sorgulanır hale getirdi. Senatör Ron Wyden, TeleMessage’ın uygulamasının ulusal güvenlik için ciddi bir tehdit oluşturduğunu belirterek, Adalet Bakanlığı’ndan soruşturma talep etti.
Uçtan uca şifreleme vaat eden ancak bu güvenliği sağlayamayan uygulamalar, kullanıcı verilerini ve ulusal güvenliği riske atabilir. Bu nedenle kullanıcıların, resmi onaylı ve güvenliği kanıtlanmış iletişim uygulamalarını tercih etmeleri, hem kişisel gizliliklerini korumak hem de daha geniş güvenlik risklerini minimize etmek açısından önemlidir.
TM SGNL Nasıl Çalışır
Signal’ın açık kaynak koduna dayalı ancak finansal ve ABD hükümet kayıt tutma yasalarına (ör. SEC/FINRA) uymak için değiştirilmiş. Günümüzde bazı yazılımların içinde ya da sadece şirket içi haberleşme için mesaj uygulaması kullanmak isteyen firmalar için, bazı firmalar Signal altyapısını kullanarak buradaki TM SGNL gibi özelleştirilebilir mesajlaşma uygulamalar geliştirilebiliyor.
TM SNGL, kayıt tutmadan uçtan uca şifreleme kullanan standart Signal‘ın aksine, mesajları tamamen şifrelenmeden önce yakalıyor ve açık halini, TeleMessage’ın merkezi arşiv sunucusuna düz metin kopyaları yüklüyor. Meta verileri (zaman damgaları, katılımcılar, ekler) depoluyor.
Signal’ın temel şifreleme vaadini boşa çıkarıyor; mesajlar artık gerçekten uçtan uca şifrelenmiyor. Böylece bilgisayar korsanları için bir bal tuzağı yaratır; merkezi düz metin günlükleri ihlallere karşı savunmasızdır (2022 Twilio/Signal saldırısı gibi).
TM SGNL kendisini “Uyum için Signal” olarak pazarlıyor, ancak Signal’in gizlilik garantilerini bekleyen kullanıcıları yanıltıyor. Arşivlenen sohbetler mahkemeye çağrılırsa (örneğin, davalarda veya soruşturmalarda), kabul edilebilir delil haline geliyor. Trump yetkilileri “güvenli Signal” kullandıkları varsayımı ile görüşürken, sohbetleri arşivlenirse, bu gelecekteki yasal davaları etkileyebilir (örneğin, 6 Ocak soruşturmaları) diye düşünülüyor.
Karşılaştırma: Signal ve TM SGNL
| Signal (Standard) | TM SGNL (TeleMessage) | |
|---|---|---|
| Şifreleme | Uçtan uca (E2EE) | Uçtan uca kırılmış ve mesajlar loglanıyor |
| Logların Kaydı | Yok | Tüm mesajlar ve metadatalar |
| Sunucu Erişimi | Erişim yok | TeleMessage şifreleri açık logları saklıyor |
| Düzenleyici Kullanımı | Log tutmadığı için firmaların çoğu blokluyor | SEC/FINRA uyumluluk kullanıyor |
Kaynak : 