Hackers blijven zoeken naar kwetsbaarheden in populaire compliance-app

Hackers blijven jagen op een ernstig beveiligingslek in de chatapp TeleMessage, ondanks dat het lek officieel is gedicht. De app wordt veel gebruikt door overheidsinstanties en cryptobedrijven, wat de dreiging extra gevoelig maakt.

Wat is het probleem?

De kwetsbaarheid – aangeduid als CVE-2025-48927 – zit in een onderdeel van de software genaamd Spring Boot Actuator. Dat is een tool die ontwikkelaars gebruiken om applicaties te monitoren. Via een onbeveiligd endpoint, genaamd /heapdump, konden hackers eenvoudig geheugendumps van de server opvragen, zonder in te loggen. Dat geeft toegang tot gevoelige data, zoals tokens, gebruikersinformatie of systeeminstellingen.

Volgens cyberbeveiliger GreyNoise hebben sinds april minstens 11 IP-adressen geprobeerd het lek actief te misbruiken. Daarnaast hebben meer dan 2.000 IP-adressen zogeheten reconnaissance-activiteiten uitgevoerd: ze scanden het internet op zoek naar kwetsbare systemen, onder andere via het /health-endpoint dat vaak verraadt of een systeem Spring Boot Actuator gebruikt.

Wie loopt risico?

TeleMessage wordt gebruikt door bedrijven die communicatie willen archiveren, bijvoorbeeld vanwege wet- en regelgeving. Denk aan:

• Amerikaanse overheidsinstanties zoals de US Customs and Border Protection
• Bekende oud-politici, zoals Mike Waltz
• Grote cryptobedrijven zoals Coinbase

De app lijkt op Signal, maar is ingericht op compliance en bewaarplicht. In 2024 werd het Israëlische TeleMessage overgenomen door het Amerikaanse Smarsh. In mei 2025 werd het platform tijdelijk offline gehaald na een hack waarbij bestanden werden gestolen.

Is het lek inmiddels opgelost?

TeleMessage heeft aangegeven dat het lek aan hun kant is gedicht. Toch blijft voorzichtigheid geboden. Veel organisaties draaien aangepaste versies van software of lopen achter met updates. Daardoor kunnen systemen onbewust nog steeds kwetsbaar zijn.

GreyNoise raadt aan om:

• verdachte IP-adressen te blokkeren
• toegang tot /heapdump volledig uit te schakelen
• alle Actuator-endpoints zoveel mogelijk af te schermen

Cyberaanvallen op crypto in de lift

De zaak rond TeleMessage past binnen een bredere trend: het aantal cryptodiefstallen loopt in 2025 snel op. Volgens Chainalysis is er dit jaar al meer dan $2,17 miljard buitgemaakt via hacks. Naast digitale aanvallen worden er zelfs fysieke overvallen gepleegd, zogenaamde wrench attacks, waarbij mensen in het echt worden bedreigd voor hun cryptosleutels.

Aanvallen gebeuren vaak via:

• Phishing (valse e-mails of websites)
• Malware (kwaadaardige software op je apparaat)
• Social engineering (misleiding via persoonlijke interactie)

Conclusie

De kwetsbaarheid in TeleMessage laat zien hoe belangrijk het is om software up-to-date te houden en kritieke endpoints af te schermen. Zeker in de cryptosector, waar veel op het spel staat, kunnen kleine beveiligingsfouten grote gevolgen hebben.

Gebruik je tools zoals TeleMessage binnen je organisatie? Laat je IT-afdeling dan controleren of alles goed is gepatcht en afgeschermd.

Veelgestelde vragen

Wat is Spring Boot Actuator?
Dat is een hulpmiddel voor ontwikkelaars om de gezondheid en prestaties van een applicatie te monitoren. Het bevat endpoints zoals /health, /metrics en /heapdump.

Wat is een heapdump?
Een heapdump is een momentopname van het geheugen van een applicatie. Daarin kunnen gevoelige gegevens zitten zoals tokens, sessies en interne configuraties.

Hoe kan ik mijn systemen beschermen tegen dit lek?
Zorg ervoor dat je alle software-updates uitvoert, sluit de toegang tot endpoints zoals /heapdump, en monitor verdachte IP-adressen actief.