Telegram, mobile icon app on the screen smartphone iPhone macro interface. Telegram - cross-platform messenger. Batumi, Georgia - March 1, 2023
В минувшие выходные в X (ранее Twitter) появилось видео из недавнего интервью с основателем Telegram Павлом Дуровым. В видео Дуров говорит Такеру Карлсону, что он единственный менеджер по продуктам в компании, и что у него работает лишь «около 30 инженеров».
Обновлено 26.06, 09:00 — добавлен комментарий представителя Telegram
Эксперты по безопасности говорят, что хотя Дуров хвастался своей компанией, которая является «сверхэффективной», то, что он сказал, на самом деле было красным флагом для пользователей.
«Без сквозного шифрования, огромное количество уязвимых целей и серверов, расположенных в ОАЭ? Кажется, это был бы кошмар безопасности», — сказал Мэтью Грин, эксперт по криптографии из Университета Джона Хопкинса.
Грин имел в виду тот факт, что по умолчанию чаты в Telegram не имеют сквозного шифрования, как в Signal или WhatsApp. Пользователь Telegram должен начать «Секретный чат», чтобы включить сквозное шифрование, что сделает сообщения нечитаемыми для Telegram или кого-либо, кроме целевого получателя. Также многие люди сомневаются в качестве шифрования Telegram, учитывая, что компания использует собственный алгоритм шифрования, созданный братом Дурова.
«Позвольте предположить, что ни один из этих 30 сотрудников не включает специалистов по обеспечению конфиденциальности или соответствию требованиям, и ни один сторонний аудит не проводится для проверки потенциальных мер безопасности, которые ограничивают доступ к данным пользователей. «Пожалуйста, доверьтесь нам» — безопасность так не работает.»
В то же время Ева Гальперин, директор по кибербезопасности Electronic Frontier Foundation, сказала, что важно помнить, что Telegram, в отличие от Signal, — это гораздо больше, чем просто программа для обмена сообщениями. Это также платформа социальных сетей, и она базируется на огромном количестве данных пользователей.
«Тридцать инженеров» означают, что некому бороться с юридическими запросами, нет инфраструктуры для борьбы со злоупотреблениями и проблемами модерации контента», ─ заявляет Ева Гальперин.
«Кроме того, если бы я была злоумышленником, я бы точно считала это обнадеживающей новостью. Каждый нападающий любит противника, у которого очень мало кадров и переутомление» ─ добавила она.
Другими словами, вряд ли Telegram будет очень эффективным в борьбе с хакерами, особенно с государственными, с таким небольшим штатом.
Telegram не ответила на запрос о том, есть ли у компании главный специалист по безопасности и сколько ее инженеров работают полный рабочий день над обеспечением безопасности платформы.
Представитель Telegram в комментарии для ITC.ua уточнил, что оригинальная статья TechCrunch «в значительной степени базируется на неправильном понимании того, что имел в виду господин Дуров»:
«У Telegram есть 30 разработчиков, которые создают программы и их инфраструктуру, но основная команда Telegram состоит из примерно 60 человек. Эта команда намеренно маленькая и наполнена экспертами в своих отраслях. В результате Telegram может реагировать гораздо быстрее, чем компании с огромными командами и длинной цепью командования».
В дополнение к этим 60 членам основной команды Telegram якобы имеет отдельные команды модерации и злоупотребления.
Также представитель Telegram уточнил, что «у них нет дата-центров в ОАЭ, и там не хранятся данные пользователей», а кто-либо сомневающийся в шифровании мессенджера может это проверить.
«Протоколы шифрования Telegram полностью задокументированы, а программы открыты. Любой исследователь может проверить цельность и реализацию шифрования Telegram. Сегодня ни один жизнеспособный способ сломать шифрование, которое использует Telegram, не найден».
Источник: techcrunch