TechCrunch: експерти з кібербезпеки критикують надійність «Телеграму»

На вихідних відеоролик із недавнього інтерв’ю засновника «Телеграму» Павла Дурова Такеру Карлсона став напіввірусним у соцережі X, що раніше називалася «твіттер». У відео Дуров, що він єдиний менеджер із продукції в компанії, і що в нього працює лише «близько 30 інженерів». Експерти з кібербезпеки піддали сумніву привабливість цього твердження для користувачів гібридного месенджера-соцмережі, повідомило TechCrunch.

«Без наскрізного шифрування, з величезною кількістю вразливих цілей і серверів, розташованих в ОАЕ.. Здається, це був би кошмар з погляду безпеки», — сказав виданню експерт з криптографії з Університету Джона Гопкінса Метью Грін.

Грін мав на увазі те, що за замовчуванням чати в телеграмі не мають наскрізного шифрування, як у «Сигналі» або «Вотсапі». Користувач телеграму має запустити «Секретний чат», щоб увімкнути наскрізне шифрування, що зробить повідомлення нечитабельними для адміністрації телеграму та будь-кого, крім цільового одержувача. Також протягом багатьох років багато людей сумнівалися в якості шифрування телеграму, враховуючи, що компанія використовує власний алгоритм шифрування, створений братом Дурова, як він сказав у розширеній версії інтерв’ю Карлсона, додало TechCrunch.

Директорка із кібербезпеки Electronic Frontier Foundation Єва Гальперін і давній експерт із безпеки користувачів групи ризику, сказала, що важливо пам’ятати, що телеграм, на відміну від сигналу, — це набагато більше, ніж просто програма для обміну повідомленнями.

«Те, що відрізняє телеграм (і набагато гірше!), так це те, що— це не просто програма для обміну повідомленнями, це також платформа соціальних мереж. Як платформа соціальних медіа, вона базується на величезній кількості даних користувачів. Дійсно, він сидить на вмісті всіх комунікацій, які не є повідомленнями один на один і були спеціально [наскрізно] зашифровані», — сказала Гальперін виданню.

За її словами, «тридцять інженерів вказує на те, що немає кому боротися з юридичними запитами, немає інфраструктури для боротьби зі зловживаннями та проблемами модерації контенту».

«Я б навіть стверджувала, що якість цих тридцяти інженерів не така вже й висока. — додала Гальперін. — Крім того, якби я була хакером, я б точно вважала це обнадійливою новиною. Кожен нападник любить супротивника, який має дуже мало кадрів і які є перевтомленими».

Іншими словами, навряд чи телеграм може бути високоефективним у протидії  хакерам з таким невеликим штатом, особливо державним.

«Дозвольте припустити, що жоден із цих 30 співробітників не є фахівцем із забезпечення конфіденційності чи дотримання нормативних вимог, й жодного зовнішнього аудиту не проводиться для перевірки потенційних заходів безпеки, які обмежують доступ до даних користувачів. «Будь ласка, довіртеся нам» — це не те, як працює безпека», — заявив у соцмережі Х фахівець з криптографії Жан-Філіпп Аумассон.

Минулого тижня відомий експерт з кібербезпеки SwiftOnSecurity написав на X, що «витрати на управління компанією, яка має всі необхідні інструменти кібербезпеки та персонал, є абсолютно непристойними».

«Важко описати цифри, які я бачив. Навіть сказати, що це сіра зона. Але це [] неймовірна кількість персоналу та витрати», — додав SwiftOnSecurity.

«Загалом, навіть найбільші компанії на планеті, ймовірно, не витрачають достатньо грошей, часу та енергії на свій захист. За словами Дурова, телеграм має майже мільярд користувачів. Це одна з найпопулярніших платформ для людей, які працюють з криптовалютою та перекидають мільйони доларів, екстремістів, хакерів і розповсюджувачів дезінформації. — сказано у публікації TechCrunch — Це робить його неймовірно цікавою мішенню як для кіберзлочинців, так і для підтримуваних державами хакерів. І в ньому — щонайбільше — лише жменька людей, що займаються кібербезпекою».

«Телеграм» не відповів на запит про коментарі TechCrunch відносно того, чи є у компанії головний спеціаліст із безпеки та скільки її інженерів працюють повний робочий день над забезпеченням безпеки платформи.

Нагадаємо, Павло Дуров в інтерв'ю Такеру Карлсону назвав повідомлення про співпрацю Tелеграму з російською владою «чутками, вигідними конкурентам».

Фото: «Телеграм» / Getty Images