Діджитал

Павло Дуров "викрив" месенджери у шпигунстві за людьми "за наказом уряду США"

Американські розробники спеціально залишають "лазівки", інакше можуть опинитися у в'язниці, запевняє творець Telegram. Але засновник Signal з ним не згоден.

Павло Дуров стверджує, що інші месенджери, включаючи WhatsApp та Signal, передають владі США інформацію про користувачів. Він розповів подробиці у своєму телеграм-каналі.

У своєму повідомленні Павло Дуров послався на розслідування видання The Record, яке отримало документи Федеральної служби розслідувань США про те, які урядові органи можуть отримати з месенджерів. Як виявилося, правоохоронці мають обмежений доступ до зашифрованих повідомлень iMessage, Line та WhatsApp. Деякі сервіси, такі як Signal, надають дані про час або дату останнього виходу користувача онлайн.

App	Legal process & additional details
Apple iMessage	Message content limited. Subpoena: can render basic subscriber information. 18 USC §2703(d): can render 25 days of iMessage lookups and from a target number. Pen Register: no capability. *Search Warrant: can render backups of a target device; if target uses iCloud backup, the encryption keys should also be provided with content return can also acquire iMessages from iCloud returns if target has enabled Messages in iCloud.
Line	Message content limited. Suspect’s and/or victim’s registered information (profile image, display name, email address, phone number, LINE ID, date of registration, etc.) Information on usage. Maximum of seven days worth of specified users’ text chats (Only when E2EE has not been elected and applied and only when receiving an effective warrant; however, video, picture, files, location, phone call audio and other such data will not be disclosed).
Signal	No message content. Date and time a user registered. *Last date of a user’s connectivity to the service.
Telegram	No message content. No contact information provided for law enforcement to pursue a court order. As per Telegram’s privacy statement, for confirmed terrorist investigations, Telegram may disclose IP and phone number to relevant authorities.
Threema	No message content. Hash of phone number and email address, if provided by user. Push Token, if push service is used. Public Key *Date (no time) of Threema ID creation. Date (no time) of last login.
Viber	No message content. Provides account (i.e. phone number)) registration data and IP address at time of creation. *Message history: time, date, source number, and destination number.
WeChat	No message content. Accepts account preservation letters and subpoenas, but cannot provide records for accounts created in China. *For non-China accounts, they can provide basic information (name, phone number, email, IP address), which is retained for as long as the account is active.
WhatsApp	Message content limited. Subpoena: can render basic subscriber records. Court order: Subpoena return as well as information like blocked users. Search warrant: Provides address book contacts and WhatsApp users who have the target in their address book contacts. Pen register: Sent every 15 minutes, provides source and destination for each message. If target is using an iPhone and iCloud backups enabled, iCloud returns may contain WhatsApp data, to include message content.
Wickr	No message content. Date and time account created. Type of device(s) app installed on. Date of last use. Number of messages. Number of external IDs (email addresses and phone numbers) connected to the account, bot not to plaintext external IDs themselves. Avatar image. Limited records of recent changes to account setting such as adding or suspending a device (does not include message content or routing and delivery information). *Wickr version number.

"Я не здивований. Більшість інших програм не могли гарантувати конфіденційність своїм користувачам, навіть якби вони цього хотіли. Оскільки програмісти проживають у США, вони повинні таємно впроваджувати "лазівки" у свої програми, коли їм наказує уряд США. Якщо програміст публічно скаже про це, то його можуть ув'язнити за порушення заборони", — зазначив Павло Дуров.

За його словами, держорганам найчастіше навіть не потрібно звертатися до суду для вилучення інформації з додатків, інакше розпорядження тримають у секреті. Деякі проєкти спочатку фінансувалися урядовими структурами, серед них Anom та Signal. Багато років Агентство національної безпеки домагалося того, щоб міжнародні стандарти шифрування ґрунтувалися на технологіях, які агенти можуть зламати, а тому закликала всіх відмовитись від незручних ним методів, запевняє Дуров.

документ, месенджери, ФБР, The Record — Документ ФБР про те, які дані уряд може отримати з месенджерів (The Record)

Фото: therecord.media

"Я чув, що наші американські конкуренти розчаровані тим, що вони не можуть зрівнятися зі зростанням Telegram, попри значні інвестиції в маркетинг (те, у що Telegram ніколи не доводилося інвестувати). Але для того, щоб відповідати нашому зростанню, вони повинні спочатку переконатися, що їхні дії відповідають їхнім маркетинговим заявам. До цього моменту витоки даних та проблеми з безпекою в їхніх додатках, на жаль, залишаться неминучими", — заявив Павло Дуров.

Минулого тижня засновник Signal Моксі Марлінспайк у Twitter розкритикував методи безпеки Telegram і назвав цю програму "найгіршим вибором" для конфіденційності або зберігання інформації. Він заявив, що месенджер Павла Дурова зберігає всі повідомлення та медіафайли на власних серверах у незашифрованому вигляді, а тому їх можна переглянути будь-якої миті.

"От простий тест: видаліть Telegram, встановіть його на новий телефон і зареєструйтесь, використовуючи свій номер. Ви відразу побачите всю свою історію розмов, усі свої контакти, усі медіафайли, якими ви поділилися, усі свої групи. Як? Усе це було на їхніх серверах у відкритому вигляді", — написав Моксі Марлінспайк.

Напередодні в роботі Telegram стався масштабний збій, який торкнувся користувачів України, Росії та деяких країн Європи. Надійшли тисячі скарг про проблеми з роботою програми, надсиланням повідомлень та з'єднанням із сервером.

Писали також, що користувачі Telegram отримали можливість розплачуватися одне з одним криптовалютою Toncoin. Сервіс Donate дозволяє використовувати криптовалюту для пожертвувань блогерам та оплати передплат.