上周末,Telegram创始人帕维尔·杜罗夫(Pavel Durov)最近接受采访的片段在X(前Twitter)上疯传。在视频中,杜罗夫告诉右翼人物塔克·卡尔森(Tucker Carlson),他是公司唯一的产品经理,而且他只雇佣了“大约30名工程师”。
安全专家表示,虽然杜罗夫吹嘘他位于迪拜的公司“效率超高”,但他所说的话实际上对用户来说是一个危险信号。
“没有端到端加密,大量易受攻击的目标,以及位于阿联酋的服务器?这似乎将是一场安全噩梦,”约翰霍普金斯大学密码学专家马修·格林(Matthew Green)表示。(Telegram发言人雷米·沃恩(Remi Vaughn)对此提出异议,称该公司在阿联酋没有数据中心。)可以确认的是,Telegram位于新加坡的数据中心DC5经常宕机。
格林指的是Telegram上的聊天默认情况下不像Signal或WhatsApp那样是端到端加密的。Telegram用户必须启动“秘密聊天”(Secret Chat)才能启用端到端加密,这样才可以让Telegram聊天对象以外的任何人都无法读取消息。此外,多年来,许多人对Telegram加密的质量表示怀疑,因为该公司使用的是杜罗夫兄弟创建的专有加密算法,杜罗夫在卡尔森访谈的加长版中如是说。
电子前沿基金会(Electronic Frontier Foundation)网络安全总监、长期从事高风险用户安全研究的专家伊娃·加尔佩林(Eva Galperin)表示,重要的是要记住,Telegram与Signal不同,它不仅仅是一款消息应用程序。就在上个月,杜罗夫还在发表文章抨击Signal受到美国政府的干预。
“Telegram的不同之处在于(而且更糟糕!)Telegram不仅仅是一个消息应用程序,它还是一个社交媒体平台。作为一个社交媒体平台,它拥有大量的用户数据。事实上,它掌握着所有非一对一信息的通信内容,这些信息都经过了专门的[端到端]加密,”加尔佩林称,“‘三十名工程师’意味着没有人来对抗法律要求,也没有处理滥用和内容审核问题的基础设施。”
“我甚至会说,这30名工程师的素质并不高,”加尔佩林继续说道。“此外,如果我是一名威胁行为者,我肯定会认为这是令人鼓舞的消息。每个攻击者都喜欢人手严重不足、工作过度的对手。”
换句话说,Telegram不太可能以如此少的员工来有效打击黑客,尤其是政府支持的黑客。
Telegram的发言人证实,该公司有30名开发人员在开发应用程序和基础设施,但声称其“核心团队”中还有另外30人。发言人没有回答该公司是否有首席安全官,以及有多少工程师全职负责平台安全。
上周,知名网络安全专家SwiftOnSecurity在X上写道:“运营一家拥有所有足够网络安全工具和员工的公司的成本绝对是惊人的。”
“很难描述我看到的数字。即使说这是一个灰色地带。但这是一个令人难以置信的员工人数和支出,”SwiftOnSecurity写道。
总而言之,即使是地球上最大的公司,也可能没有在保护自己方面投入足够的金钱、时间和精力。根据杜罗夫的说法,Telegram拥有近10亿用户。它是从事加密货币工作的人(他们转移数百万美元)、极端分子、黑客和造谣者最受欢迎的平台之一。
这使得它成为犯罪分子和政府黑客极为感兴趣的目标。而它最多只有少数人专门负责网络安全。
多年来,安全专家一直警告人们不要将Telegram视为真正安全的消息应用程序。考虑到杜罗夫最近所说的话,它可能比专家想象的还要糟糕。