DINUM erklärte am Montag, ein Bedrohungsakteur habe mithilfe eines kompromittierten Nutzerkontos auf Tchap zugegriffen. Zunächst nannte die Behörde kaum Details dazu, welche Daten betroffen waren und wie viele Personen der Vorfall betrifft. In einer späteren Mitteilung präzisierte DINUM, dass Informationen von rund 9 Prozent aller auf der Plattform registrierten Nutzer zugänglich gewesen sein könnten.

Konkret spricht die Behörde von 73.467 betroffenen Beschäftigten bei insgesamt mehr als 825.000 registrierten Nutzern. Wörtlich erklärte DINUM, dass diese Foren „systembedingt für alle Nutzer offen“ seien und ihre Nachrichten nicht verschlüsselt würden. Private Gespräche der Beschäftigten blieben dagegen geschützt.

Nach Angaben von DINUM wurde das hinter den bösartigen Anfragen stehende Konto identifiziert und umgehend gesperrt, um den dauerhaften Zugriff des Angreifers zu unterbinden und eine eingehende Analyse der eingesehenen Daten zu ermöglichen. Zu den potenziell offengelegten Kontodaten zählen laut Behörde mindestens Nachname, Vorname, E-Mail-Adresse, die Zugehörigkeit zu einer Organisation des öffentlichen Sektors sowie das Avatar-Bild.

Eine Zuschreibung des Angriffs hat DINUM bislang nicht vorgenommen. Über das Wochenende beanspruchte jedoch ein Bedrohungsakteur den Vorfall für sich und veröffentlichte ein Muster angeblich entwendeter Dateien. Der Akteur erklärte, der Zugang zur Plattform sei nach einem Social-Engineering-Angriff gelungen.

Nach dessen Darstellung wurden fast 650.000 Nachrichten und Informationen aus mehr als 73.000 Konten abgeschöpft. Dazu sollen E-Mail-Adressen, Besprechungslinks, Organisationsinformationen sowie Konto- und Gerätemetadaten gehören. Außerdem will der Angreifer nach eigenen Angaben mehr als 13,5 Gigabyte an Dokumenten und Mediendateien entwendet haben, die von Beschäftigten des öffentlichen Dienstes über Tchap geteilt wurden. Ebenfalls behauptet wurde der Diebstahl fest im Code hinterlegter LDAP-Zugangsdaten, die über ein PowerShell-Skript offengelegt worden seien.

Tchap wurde 2018 von DINUM in Zusammenarbeit mit ANSSI, der französischen Cybersicherheitsbehörde, entwickelt. Die Plattform ist ein dezentralisiertes Kollaborationswerkzeug und ein Messenger für den öffentlichen Sektor auf Basis des Matrix-Protokolls.

Seitdem Tchap Anfang August 2025 zur Standardanwendung für dienstliche Kommunikation aller Staatsbediensteten wurde, zählt der Dienst laut Quelltext mehr als 300.000 monatliche Nutzer und mehr als 500.000 Downloads im Play Store von Google.

Bereits im Mai hatten französische Behörden zudem einen 15-Jährigen festgenommen, der im Verdacht steht, Daten aus einem Cyberangriff im April auf ANTS verkauft zu haben. ANTS ist in Frankreich für die Ausstellung und Verwaltung offizieller Identitäts- und Registrierungsdokumente zuständig.