Telegram, mobile icon app on the screen smartphone iPhone macro interface. Telegram - cross-platform messenger. Batumi, Georgia - March 1, 2023
Минулими вихідними в X (раніше Twitter) з’явилося відео із недавнього інтерв’ю із засновником Telegram Павлом Дуровим. У відео Дуров каже Такеру Карлсону, що він єдиний менеджер із продуктів в компанії, і що в нього працює лише «близько 30 інженерів».
Оновлено 26.06, 09:00 — додано коментар представника Telegram
Експерти з безпеки кажуть, що хоча Дуров вихвалявся своєю компанією, яка є «надефективною», те, що він сказав, насправді було червоним прапором для користувачів.
«Без наскрізного шифрування, величезна кількість вразливих цілей і серверів, розташованих в ОАЕ? Здається, це був би кошмар безпеки», – сказав Метью Грін, експерт з криптографії з Університету Джона Гопкінса.
Грін мав на увазі той факт, що за замовчуванням чати в Telegram не мають наскрізного шифрування, як у Signal або WhatsApp. Користувач Telegram має розпочати «Секретний чат», щоб увімкнути наскрізне шифрування, що зробить повідомлення нечитабельними для Telegram або будь-кого, крім цільового одержувача. Також багато людей сумніваються в якості шифрування Telegram, враховуючи, що компанія використовує власний алгоритм шифрування, створений братом Дурова.
“Дозвольте припустити, що жоден із цих 30 співробітників не включає спеціалістів із забезпечення конфіденційності чи відповідності вимогам, і жодного стороннього аудиту не проводиться для перевірки потенційних заходів безпеки, які обмежують доступ до даних користувачів. «Будь ласка, довіртеся нам» — безпека так не працює.”
Водночас Єва Гальперін, директор із кібербезпеки Electronic Frontier Foundation, сказала, що важливо пам’ятати, що Telegram, на відміну від Signal, — це набагато більше, ніж просто програма для обміну повідомленнями. Це також платформа соціальних мереж, і вона базується на величезній кількості даних користувачів.
«Тридцять інженерів» означають, що немає кому боротися з юридичними запитами, немає інфраструктури для боротьби зі зловживаннями та проблемами модерації контенту», ─ заявляє Єва Гальперін.
«Крім того, якби я була зловмисницею, я б точно вважала це обнадійливою новиною. Кожен нападаючий любить супротивника, який має дуже мало кадрів і перевтомлених» ─ додала вона.
Іншими словами, навряд чи Telegram буде дуже ефективним у боротьбі з хакерами, особливо з державними, з таким невеликим штатом.
Telegram не відповіла на запит щодо того, чи є у компанії головний спеціаліст із безпеки та скільки її інженерів працюють повний робочий день над забезпеченням безпеки платформи.
Представник Telegram у коментарі для ITC.ua уточнив, що оригінальна стаття TechCrunch «значною мірою базується на неправильному розумінні того, що мав на увазі пан Дуров»:
«У Telegram є 30 розробників, які створюють програми та їх інфраструктуру, але основна команда Telegram складається приблизно з 60 осіб. Ця команда навмисно маленька і наповнена експертами у своїх галузях. У результаті Telegram може реагувати набагато швидше, ніж компанії з величезними командами та довгим ланцюгом командування».
На додаток до цих 60 членів основної команди, Telegram нібито має окремі команди модерації та зловживання.
Також представник Telegram уточнив, що «у них немає дата-центрів в ОАЕ, і там не зберігаються дані користувачів», а будь-хто, хто має сумніви у шифруванні месенджера може це перевірити.
«Протоколи шифрування Telegram повністю задокументовані, а програми є відкритими. Будь-який дослідник може перевірити цілісність і реалізацію шифрування Telegram. Сьогодні жодного життєздатного способу зламати шифрування, яке використовує Telegram, не знайдено».
Джерело: techcrunch