"Кошмар в плане безопасности": Дуров нечаянно раскрыл скандальную деталь о Telegram (Обновлено)
Компания хранит на своих серверах сообщения пользователей, но при этом не имеет достаточно специалистов для отражений хакерских атак, считают эксперты. В Telegram такие заявления опровергают.
Создатель мессенджера Telegram Павел Дуров в интервью американскому журналисту Такеру Карлсону заявил, что он единственный менеджер по продукту в компании, а всего в компании работает около 30 инженеров. О том, почему такой небольшой штат специалистов несет риски для пользователей, эксперты по кибербазопасности рассказали порталу TechCrunch.
Как отмечают в издании, Telegram не использует сквозное шифрование по умолчанию, как мессенджеры Signal или WhatsApp. Чтобы сообщения были нечитаемыми для Telegram или кого-либо, кроме получателя, необходимо запустить "Секретный чат". Кроме того, качество шифрования Telegram, алгоритм которого создал брат Павла Дурова, уже давно подвергается сомнению.
"Без сквозного шифрования, огромного количества уязвимых целей и серверов, расположенных в ОАЭ? Кажется, это будет кошмар в плане безопасности", — сказал журналистам Мэтью Грин, эксперт по криптографии из Университета Джонса Хопкинса.
В свою очередь Ева Гальперин, директор по кибербезопасности Electronic Frontier Foundation, указала на то, что Telegram — это намного больше, чем просто программа для обмена сообщениями. Он работает как социальная сеть, использует огромное количество личных данных пользователей, а также хранит все сообщения, которые не были отправлены через "Секретный чат". При этом, по мнению эксперта, у Telegram недостаточно специалистов, чтобы эффективно противостоять хакерам.
"Тридцать инженеров" означает, что некому бороться с юридическими запросами, нет инфраструктуры для решения проблем со злоупотреблениями и модерации контента, — считает Ева Гальперин. — Если бы я была злоумышленником, я бы определенно посчитала эту новость обнадеживающей. Каждый нападающий любит сильно недоукомплектованного и переутомленного противника".
Эксперт по кибербезопасности SwiftOnSecurity на своей странице в X также добавил, что количество ресурсов для содержания компании, которая имеет все необходимые средства кибербезопасности и персонал, "совершенно неприлична". Однако, по словам авторов статьи даже самые крупные компании на планете, похоже, не тратят достаточно денег, времени и энергии на свою безопасность.
На данный момент Telegram является одной из самых популярных платформ для людей, работающих в сфере криптовалют, которые перемещают миллионы долларов, экстремистов, хакеров и торговцев дезинформацией. Всего приложение насчитывает почти миллиард пользователей. Упомянутые особенности делают мессенджер интересной целью как для преступников, так и для правительственных хакеров.
"В течение многих лет эксперты по безопасности предупреждали, что люди не должны рассматривать Telegram как действительно безопасное приложение для обмена сообщениями. Учитывая то, что недавно сказал Дуров, ситуация может быть даже хуже, чем предполагали эксперты", — заключили в издании.
Представитель Telegram Реми Вон связался с Фокусом и заявил о некоторых неточностях в материале TechCrunch. По его словам, говоря об "около 30 разработчиках", Павел Дуров имел в виду людей, создающих приложения и инфраструктуру, а основная команда Telegram насчитывает около 60 человек. Она специально остается немногочисленной, чтобы реагировать на угрозы быстрее, чем компании с длинными цепочками подчинения. Кроме этих 60 членов основной команды, в Telegram также есть отдельные команды для модерации и борьбы с нарушениями.
Реми Вон также опроверг слова Мэтью Грина, заявив, что Telegram нет дата-центров в этой ОАЭ, и никакие данные пользователей там не хранятся.
Что касается шифрования, представитель Telegram отметил, что его протоколы полностью задокументированы, а его приложения имеют открытый исходный код. При желании любой исследователь может проверить надежность шифрования, в частности, как это сделали ученые из Университета Удине.
"На сегодняшний день не найдено ни одного действенного средства для взлома шифрования, используемого Telegram. Кроме того, Telegram — единственный популярный мессенджер, поддерживающий воспроизводимые сборки как на iOS, так и на Android, что позволяет исследователям убедиться в том, что публикуемые нами приложения созданы на основе того же кода", — сказал Реми Вон Фокусу.
С подобным замечанием представитель Telegram обратился и к TechCrunch. В издании отметили, что Реми Вон не ответил на вопросы о наличии главного специалиста по безопасности и количества инженеров, которые работают над безопасностью платформы полный рабочий день.
Напомним, 24 мая эксперт по кибербезопасности Константин Корсун заявил, что чат-бот для военнослужащих и их семей "Армія+" может стать источником утечки личных данные военных, так как создан на базе мессенджера Telegram, который не использует сквозное шифрование и хранит сообщения пользователей на своих серверах.
Украинские волонтеры, которые создали приложение для проверки конфиденциальности в мессенджере Telegram, также предложили создать защищенный сервис коммуникаций на базе приложения "Дія".