Tokom vikenda, isječak iz nedavnog intervjua sa osnivačem Telegrama, Pavelom Durovom, postao je viralan na društvenim mrežama. U videu, Durov govori desničarskom komentatoru Tuckeru Carlsonu da je on jedini produkt menadžer u kompaniji i da zapošljava samo “oko 30 inžinjera.”
Sigurnosni stručnjaci kažu da, iako se Durov hvalio efikasnošću svoje kompanije sa sjedištem u Dubaiju, ono što je rekao zapravo predstavlja ozbiljnu prijetnju za korisnike.
“Bez end-to-end enkripcije, s velikim brojem ranjivih ciljeva i serverima lociranim u UAE? Čini se da bi to bila sigurnosna noćna mora,” rekao je Matthew Green, stručnjak za kriptografiju sa Johns Hopkins Univerziteta.
Green se referirao na činjenicu da, po defaultu, chatovi na Telegramu nisu end-to-end enkriptirani kao što su na Signal ili WhatsApp platformama. Korisnici Telegrama moraju započeti “Tajni chat” da bi uključili end-to-end enkripciju, što čini poruke nečitljivim za Telegram ili bilo koga drugog osim za predviđenog primatelja. Također, godinama su mnogi dovodili u pitanje kvalitetu Telegramove enkripcije, s obzirom na to da kompanija koristi vlastiti, proprietarni algoritam enkripcije koji je kreirao Durovov brat, kao što je rekao u produženoj verziji intervjua sa Carlsonom.
Eva Galperin, direktorica za cyber sigurnost u Electronic Frontier Foundation i dugogodišnja zaposlenica u sektoru za sigurnost ugroženih korisnika, naglašava da je važno zapamtiti da Telegram, za razliku od Signala, nije samo aplikacija za slanje poruka.
“Ono što čini Telegram drugačijim (i mnogo gorim!) je činjenica da Telegram nije samo aplikacija za slanje poruka, već i društvena mreža. Kao društvena mreža, ona sadrži ogromnu količinu korisničkih podataka. Zapravo, tu je sadržaj svih komunikacija koje nisu enkriptovane i koje su posebno [end-to-end] enkriptovane,” rekla je Galperin. “‘Trideset inžinjera’ znači da nema nikoga ko bi se borio protiv pravnih zahtjeva, nema infrastrukture za rješavanje zloupotrebe i problema s moderacijom sadržaja.”
“I čak bih tvrdila da kvalitet tih 30 inžinjera nije baš najbolji,” nastavila je Galperin. “Također, da sam zlonamjerni akter, ovo bih smatrao ohrabrujućom vijesti. Svaki napadač voli suočiti se sa slabo kadrovski pokrivenim i preopterećenim protivnikom.”
Drugim riječima, malo je vjerovatno da se Telegram može efikasno boriti protiv hakera, posebno onih koje podržavaju vlade, sa tako malim timom.
Telegram nije odgovorio na zahtjev za komentar, koji je uključivao pitanja o tome da li kompanija ima šefa za sigurnost i koliko njihovih inžinjera radi puno radno vrijeme na osiguravanju platforme.
Prošle sedmice, poznati stručnjak za kibernetičku sigurnost SwiftOnSecurity napisao je na X da “troškovi vođenja kompanije koja ima sve prave alate i osoblje za cyber sigurnost su apsolutno ogromni.”
“Teško je opisati brojke koje sam vidio. Čak je i ovo reći sivo područje. Ali to je nevjerojatno velika brojka zaposlenih i potrošnje,” napisao je SwiftOnSecurity.
Sve u svemu, čak i najveće kompanije na planeti vjerojatno ne troše dovoljno novca, vremena i energije na osiguranje sebe. Telegram ima skoro milijardu korisnika, prema Durovu. To je jedna od najpopularnijih platformi za ljude koji rade u kripto svijetu (koji premještaju milione dolara), ekstremiste, hakere i širitelje dezinformacija.
To ga čini nevjerovatno zanimljivom metom za kriminalne i vladine hakere. A ima – u najboljem slučaju – samo nekoliko ljudi posvećenih cyber sigurnosti.
Godinama stručnjaci za cyber sigurnost upozoravaju da Telegram ne treba smatrati istinski sigurnom aplikacijom za slanje poruka. S obzirom na to što je Durov nedavno rekao, možda je čak i gore nego što su stručnjaci mislili.