Savaitgalį „X“ (anksčiau „Twitter“) pasklido klipas iš neseniai duoto interviu su „Telegram“ įkūrėju Pavelu Durovu. Vaizdo įraše Durovas pasakoja dešiniojo sparno asmenybei Tuckeriui Carlsonui, kad jis yra vienintelis produktų vadovas įmonėje ir kad jame dirba tik „apie 30 inžinierių“.
Saugumo ekspertai teigia, kad nors Durovas gyrėsi, kad jo Dubajuje įsikūrusi įmonė yra „ypač efektyvi“, tai, jo teigimu, iš tikrųjų buvo raudona vėliava vartotojams.
„Be galutinio šifravimo, daugybės pažeidžiamų objektų ir JAE esančių serverių? Atrodo, kad tai būtų saugumo košmaras“, – „TechCrunch“ sakė Johnso Hopkinso universiteto kriptografijos ekspertas Matthew Greenas.
Green turėjo omenyje tai, kad pagal numatytuosius nustatymus „Telegram“ pokalbiai nėra visiškai užšifruoti, kaip jie yra „Signal“ ar „WhatsApp“. „Telegram“ vartotojas turi pradėti „slaptą pokalbį“, kad įjungtų tiesioginį šifravimą, todėl pranešimai tampa neįskaitomi „Telegram“ ar bet kam kitam, išskyrus numatytą gavėją. Be to, bėgant metams, daugelis žmonių suabejojo „Telegram“ šifravimo kokybe, atsižvelgiant į tai, kad įmonė naudoja savo patentuotą šifravimo algoritmą, kurį sukūrė Durovo brolis, kaip jis sakė išplėstinėje Carlsono interviu versijoje.
Eva Galperin, „Electronic Frontier Foundation“ kibernetinio saugumo direktorė ir ilgametė rizikos vartotojų saugumo ekspertė, sakė, kad svarbu atsiminti, kad „Telegram“, skirtingai nei „Signal“, yra daug daugiau nei tik pranešimų siuntimo programėlė.
„Telegram skiriasi (ir daug blogiau!) tuo, kad „Telegram“ yra ne tik pranešimų programa, bet ir socialinės žiniasklaidos platforma. Kaip socialinės žiniasklaidos platforma, ji sėdi ant didžiulio naudotojo duomenų kiekio. Iš tiesų, tai yra visų pranešimų turinys, kuris nėra vienas su vienu pranešimai, kurie buvo specialiai [end-to-end] užšifruotas“, – „TechCrunch“ pasakojo Galperinas. „Trisdešimt inžinierių“ reiškia, kad nėra kam kovoti su teisiniais prašymais, nėra infrastruktūros piktnaudžiavimo ir turinio moderavimo problemoms spręsti.
„Ir net ginčyčiau, kad tų 30 inžinierių kokybė nėra tokia puiki“, – tęsė Galperinas. „Be to, jei būčiau grėsmių veikėjas, tai tikrai manyčiau, kad tai yra padrąsinanti žinia. Kiekvienas puolėjas myli labai per mažai darbuotojų turintį ir pervargusį varžovą.
Kitaip tariant, mažai tikėtina, kad „Telegram“ būtų labai efektyvi kova su įsilaužėliais, ypač su vyriausybės remiamais, turėdama tokį mažą darbuotojų skaičių.
„Telegram“ neatsakė į prašymą pakomentuoti, kuriame buvo pateikti klausimai, ar įmonė turi vyriausiąjį apsaugos pareigūną ir kiek jos inžinierių dirba visą darbo dieną, kad apsaugotų platformą.
Praėjusią savaitę žinomas kibernetinio saugumo ekspertas „SwiftOnSecurity“ X parašė, kad „Įmonės, turinčios visus reikiamus kibernetinio saugumo įrankius ir personalą, valdymo išlaidos yra visiškai nepadorios“.
„Sunku apibūdinti skaičius, kuriuos mačiau. Net ir sakyti, kad tai pilka sritis. Bet tai yra [an] neįtikėtinas darbuotojų skaičius ir išlaidos“, – rašė „SwiftOnSecurity“.
Galima sakyti, kad net ir didžiausios planetos įmonės tikriausiai neskiria pakankamai pinigų, laiko ir energijos savo saugumui. Pasak Durovo, „Telegram“ turi beveik milijardą vartotojų. Tai viena populiariausių platformų žmonėms, dirbantiems kriptovaliuta (kurie perkelia milijonus dolerių), ekstremistams, įsilaužėliams ir dezinformacijos platintojams.
Dėl to jis yra nepaprastai įdomus nusikaltėlių ir vyriausybės įsilaužėlių taikinys. Ir joje yra – daugiausia – tik saujelė žmonių, pasišventusių kibernetiniam saugumui.
Jau daugelį metų saugumo ekspertai perspėjo, kad žmonės neturėtų matyti Telegram kaip tikrai saugios pranešimų programos. Atsižvelgiant į tai, ką neseniai pasakė Durovas, tai gali būti dar blogiau, nei manė ekspertai.