TechCrunch: експерти з кібербезпеки критикують надійність телеграму
TechCrunch: експерти з кібербезпеки критикують надійність телеграму
На вихідних відеоролик з недавнього інтерв’ю засновника Telegram Павла Дурова Такеру Карлсона став напіввірусним у соцережі X. У відео Дуров каже, що він єдиний менеджер із продукції в компанії і що в нього працює лише «близько 30 інженерів». Експерти з кібербезпеки піддали сумніву привабливість цього твердження для користувачів гібридного месенджера-соцмережі, повідомило TechCrunch.
«Без наскрізного шифрування, з величезною кількістю вразливих цілей і серверів, розташованих в ОАЕ. Здається, це був би кошмар з погляду безпеки», — сказав виданню експерт з криптографії з Університету Джона Гопкінса Метью Грін.
Грін мав на увазі те, що за замовчуванням чати в телеграмі не мають наскрізного шифрування, як у сигналі або вотсапі. Користувач телеграму має запустити «Секретний чат», щоб увімкнути наскрізне шифрування, що зробить повідомлення нечитабельними для адміністрації телеграму та будь-кого, крім цільового одержувача. Також протягом років багато людей сумнівалися в якості шифрування телеграму, враховуючи, що компанія використовує власний алгоритм шифрування, створений братом Дурова, як він сказав у розширеній версії інтерв’ю Карлсону, додало TechCrunch.
Директорка з кібербезпеки Electronic Frontier Foundation і давня експертка з безпеки користувачів групи ризику Єва Гальперіна акцентувала, що важливо пам’ятати, що телеграм, на відміну від сигналу, — це набагато більше, ніж просто програма для обміну повідомленнями.
«Що відрізняє телеграм (і набагато гірше!), так це те, що це не просто програма для обміну повідомленнями, це також платформа соціальних мереж. Як платформа соціальних медіа, вона базується на величезній кількості даних користувачів. Дійсно, він сидить на вмісті всіх комунікацій, які не є приватними повідомленнями і не були спеціально [наскрізно] зашифровані», — сказала Гальперіна виданню.
За її словами, «тридцять інженерів означає те, що немає кому боротися з юридичними запитами, немає інфраструктури для боротьби зі зловживаннями та проблемами модерації контенту».
«Я б навіть стверджувала, що якість цих тридцяти інженерів не така вже й висока, — додала Гальперіна. — Крім того, якби я була хакером, я б точно вважала це обнадійливою новиною. Кожен нападник любить супротивника, який має дуже мало кадрів і які є перевтомленими».
Іншими словами, навряд чи телеграм може бути високоефективним у протидії хакерам з таким невеликим штатом, особливо державним.
«Дозвольте припустити, що жоден із цих 30 співробітників не є фахівцем із забезпечення конфіденційності чи дотримання нормативних вимог, й жодного зовнішнього аудиту не проводиться для перевірки потенційних заходів безпеки, які обмежують доступ до даних користувачів. “Будь ласка, довіртеся нам” — це не те, як працює безпека», — заявив у соцмережі Х фахівець з криптографії Жан-Філіпп Аумассон.
Минулого тижня відомий експерт з кібербезпеки SwiftOnSecurity написав в X, що «витрати на управління компанією, яка має всі необхідні інструменти кібербезпеки та персонал, є абсолютно непристойними».
«Важко описати цифри, які я бачив. Навіть сказати, що це сіра зона. Але це [] неймовірна кількість персоналу та витрати», — додав SwiftOnSecurity.
«Загалом, навіть найбільші компанії на планеті, ймовірно, не витрачають достатньо грошей, часу та енергії на свій захист. За словами Дурова, телеграм має майже мільярд користувачів. Це одна з найпопулярніших платформ для людей, які працюють з криптовалютою та перекидають мільйони доларів, екстремістів, хакерів і розповсюджувачів дезінформації, — сказано в публікації TechCrunch. — Це робить його неймовірно цікавою мішенню як для кіберзлочинців, так і для підтримуваних державами хакерів. І в ньому — щонайбільше — лише жменька людей, що займаються кібербезпекою».
Telegram не відповів на запит про коментарі TechCrunch щодо того, чи є в компанії головний спеціаліст з безпеки та скільки її інженерів працюють повний робочий день над забезпеченням безпеки платформи.
Фото: «Телеграм» / Getty Images
