Violação expõe dados no Tchap
O governo francês confirmou uma violação na plataforma de mensagens criptografadas Tchap que expôs dados de 73.467 funcionários do setor público, equivalente a 9% dos usuários registrados. O ataque, revelado em junho de 2026, permitiu que um invasor acessasse salas de chat públicas, extraindo nomes, endereços de e-mail, metadados de contas e 13,5 GB de documentos e arquivos compartilhados ao longo de quase três anos. O caso se soma a uma série recente de vazamentos de dados governamentais e corporativos em escala global.
Como ocorreu o ataque
Segundo a DINUM, a diretoria de assuntos digitais do governo francês, o invasor obteve acesso ao Tchap por meio de uma conta de usuário comprometida, possivelmente via engenharia social. Um ator de ameaças que se identificou como “Misère” reivindicou a autoria do ataque e divulgou amostras dos dados roubados em canais de inteligência de ameaças. Ao contrário das conversas privadas — protegidas por criptografia de ponta a ponta —, as salas de chat públicas no Tchap não possuem criptografia, permitindo que o invasor coletasse informações livremente após conseguir acesso.
O ator de ameaças alegou ter extraído aproximadamente 643.000 mensagens, dados de mais de 73.000 contas, centenas de salas de chat e cerca de 90 itens relacionados a canais de “Diffusion” — canais de broadcast internos do governo usados para comunicações oficiais. Também teria obtido credenciais LDAP hardcoded vazadas via script PowerShell, o que representa risco adicional para a infraestrutura governamental e pode facilitar movimentação lateral em sistemas conectados.
O que o Tchap revela
Desenvolvido em 2018 pela DINUM em colaboração com a ANSSI (Agência Nacional de Segurança Cibernética da França), o Tchap é baseado no protocolo de código aberto Matrix e se tornou o aplicativo padrão de comunicação para todos os funcionários públicos franceses desde agosto de 2025. A plataforma conta com mais de 825.000 usuários registrados e mais de 300.000 usuários mensais ativos, sendo considerada uma ferramenta soberana de comunicação governamental.
| Aspecto | Detalhe |
|---|---|
| Usuários registrados | Mais de 825.000 |
| Contas afetadas | 73.467 (~9%) |
| Mensagens extraídas | ~643.000 |
| Volume de dados roubados | 13,5 GB |
| Dados expostos | Nomes, e-mails, unidade organizacional, avatares |
| Protocolo base | Matrix (decentralizado) |
| Conversas privadas | Protegidas por criptografia E2EE |
| Salas públicas | Não criptografadas (alvo do ataque) |
Lições e recomendações
O incidente evidencia a necessidade de criptografar também canais de comunicação considerados “internos” ou “públicos” dentro de organizações governamentais. A presença de credenciais LDAP hardcoded em scripts indica falhas significativas no gerenciamento de segredos, problema que também apareceu em outros incidentes recentes envolvendo plataformas de dados governamentais. Equipes de segurança devem auditar permissões de acesso em plataformas de mensagens corporativas, implementar autenticação multifator obrigatória, monitorar acessos anômalos em larga escala, remover credenciais hardcoded de scripts e repositórios, e revisar políticas de retenção de dados em canais públicos. A DINUM afirmou que a conta maliciosa foi identificada e bloqueada, mas a avaliação completa do impacto continua em andamento, e a CNIL (autoridade de proteção de dados francesa) foi notificada.