Минулими вихідними в X (раніше Twitter) з’явилося відео із недавнього інтерв’ю із засновником Telegram Павлом Дуровим. У відео Дуров каже Такеру Карлсону, що він єдиний менеджер із продуктів в компанії, і що в нього працює лише «близько 30 інженерів».
Експерти з безпеки кажуть, що хоча Дуров вихвалявся своєю компанією, яка є «надефективною», те, що він сказав, насправді було червоним прапором для користувачів.
«Без наскрізного шифрування, величезна кількість вразливих цілей і серверів, розташованих в ОАЕ? Здається, це був би кошмар безпеки», – сказав Метью Грін, експерт з криптографії з Університету Джона Гопкінса.
Грін мав на увазі той факт, що за замовчуванням чати в Telegram не мають наскрізного шифрування, як у Signal або WhatsApp. Користувач Telegram має розпочати «Секретний чат», щоб увімкнути наскрізне шифрування, що зробить повідомлення нечитабельними для Telegram або будь-кого, крім цільового одержувача. Також багато людей сумніваються в якості шифрування Telegram, враховуючи, що компанія використовує власний алгоритм шифрування, створений братом Дурова.
Lemme guess, none of these 30 staff include privacy or compliance people, and zero third-party audit is ever done to review potential security controls restricting access to users’ data. “Please trust us” is not how security works. https://t.co/w7PBkU0TJR
— JP Aumasson (@veorq) June 22, 2024
“Дозвольте припустити, що жоден із цих 30 співробітників не включає спеціалістів із забезпечення конфіденційності чи відповідності вимогам, і жодного стороннього аудиту не проводиться для перевірки потенційних заходів безпеки, які обмежують доступ до даних користувачів. «Будь ласка, довіртеся нам» — безпека так не працює.”
Водночас Єва Гальперін, директор із кібербезпеки Electronic Frontier Foundation, сказала, що важливо пам’ятати, що Telegram, на відміну від Signal, — це набагато більше, ніж просто програма для обміну повідомленнями. Це також платформа соціальних мереж, і вона базується на величезній кількості даних користувачів.
«Тридцять інженерів» означають, що немає кому боротися з юридичними запитами, немає інфраструктури для боротьби зі зловживаннями та проблемами модерації контенту», ─ заявляє Єва Гальперін.
«Крім того, якби я була зловмисницею, я б точно вважала це обнадійливою новиною. Кожен нападаючий любить супротивника, який має дуже мало кадрів і перевтомлених» ─ додала вона.
Іншими словами, навряд чи Telegram буде дуже ефективним у боротьбі з хакерами, особливо з державними, з таким невеликим штатом.
Telegram не відповіла на запит щодо того, чи є у компанії головний спеціаліст із безпеки та скільки її інженерів працюють повний робочий день над забезпеченням безпеки платформи.
Джерело: techcrunch