"Кошмар у плані безпеки": Дуров ненавмисно розкрив скандальну деталь про Telegram (Оновлено)
Компанія зберігає на своїх серверах повідомлення користувачів, але при цьому не має достатньо фахівців для відбиття хакерських атак, вважають експерти. У Telegram такі заяви спростовують.
Творець месенджера Telegram Павло Дуров в інтерв'ю американському журналісту Такеру Карлсону заявив, що він єдиний менеджер із продукту в компанії, а загалом у компанії працює близько 30 інженерів. Про те, чому такий невеликий штат фахівців несе ризики для користувачів, експерти з кібербезпеки розповіли порталу TechCrunch.
Як зазначають у виданні, Telegram не використовує наскрізне шифрування за замовчуванням, як месенджери Signal або WhatsApp. Щоб повідомлення були нечитабельними для Telegram або будь-кого, крім одержувача, необхідно запустити "Секретний чат". Крім того, якість шифрування Telegram, алгоритм якого створив брат Павла Дурова, вже давно піддається сумніву.
"Без наскрізного шифрування, величезної кількості вразливих цілей і серверів, розташованих в ОАЕ? Здається, це буде кошмар у плані безпеки", — сказав журналістам Метью Грін, експерт із криптографії з Університету Джонса Гопкінса.
Зі свого боку Єва Гальперін, директор з кібербезпеки Electronic Frontier Foundation, вказала на те, що Telegram — це набагато більше, ніж просто програма для обміну повідомленнями. Він працює як соціальна мережа, використовує величезну кількість особистих даних користувачів, а також зберігає всі повідомлення, які не були відправлені через "Секретний чат". При цьому, на думку експерта, у Telegram недостатньо фахівців, щоб ефективно протистояти хакерам.
"Тридцять інженерів" означає, що нікому боротися з юридичними запитами, немає інфраструктури для вирішення проблем зі зловживаннями та модерації контенту, — вважає Єва Гальперін. — Якби я була зловмисником, я б безумовно вважала цю новину обнадійливою. Кожен нападник любить сильно недоукомплектованого і перевтомленого противника".
Експерт з кібербезпеки SwiftOnSecurity на своїй сторінці в X також додав, що кількість ресурсів для забезпечення компанії, яка має всі необхідні засоби кібербезпеки і персонал, "абсолютно непристойна". Однак, за словами авторів статті, навіть найбільші компанії на планеті, схоже, не витрачають достатньо грошей, часу та енергії на свою безпеку.
Наразі Telegram є однією з найпопулярніших платформ для людей, що працюють у сфері криптовалюти, які переміщують мільйони доларів, екстремістів, хакерів і торговців дезінформацією. Загалом додаток налічує майже мільярд користувачів. Згадані особливості роблять месенджер цікавою ціллю як для злочинців, так і для урядових хакерів.
"Протягом багатьох років експерти з безпеки попереджали, що люди не повинні розглядати Telegram як дійсно безпечний додаток для обміну повідомленнями. З огляду на те, що нещодавно сказав Дуров, ситуація може бути навіть гіршою, ніж припускали експерти", — підсумували у виданні.
Представник Telegram Ремі Вон зв'язався з Фокусом і заявив про деякі неточності в матеріалі TechCrunch. За його словами, говорячи про "близько 30 розробників", Павло Дуров мав на увазі людей, які створюють додатки та інфраструктуру, а основна команда Telegram налічує близько 60 осіб. Вона спеціально залишається нечисленною, щоб реагувати на загрози швидше, ніж компанії з довгими ланцюжками підпорядкування. Крім цих 60 членів основної команди, у Telegram також є окремі команди для модерації та боротьби з порушеннями.
Ремі Вон також спростував слова Метью Гріна, заявивши, що Telegram не має дата-центрів у цій ОАЕ, і жодні дані користувачів там не зберігаються.
Щодо шифрування, представник Telegram зазначив, що його протоколи повністю задокументовані, а його застосунки мають відкритий вихідний код. За бажання будь-який дослідник може перевірити надійність шифрування, зокрема, як це зробили вчені з Університету Удіне.
"На сьогоднішній день не знайдено жодного дієвого засобу для злому шифрування, використовуваного Telegram. Крім того, Telegram — єдиний популярний месенджер, що підтримує відтворювані збірки як на iOS, так і на Android, що дає змогу дослідникам переконатися в тому, що додатки, які ми публікуємо, створені на основі того самого коду", — сказав Ремі Вон Фокусу.
З подібним зауваженням представник Telegram звернувся і до TechCrunch. У виданні зазначили, що Ремі Вон не відповів на запитання щодо наявності головного спеціаліста з безпеки та кількості інженерів, які працюють над безпекою платформи повний робочий день.
Нагадаємо, 24 травня експерт із кібербезпеки Костянтин Корсун заявив, що чат-бот для військовослужбовців та їхніх родин "Армія+" може стати джерелом витоку особистих даних військових, адже створений на базі месенджера Telegram, який не використовує наскрізне шифрування і зберігає повідомлення користувачів на своїх серверах.
Українські волонтери, які створили застосунок для перевірки конфіденційності в месенджері Telegram, також запропонували створити захищений сервіс комунікацій на базі застосунку "Дія".