هشدار کارشناسان امنیتی نسبت به تعداد(کم) مهندسین تلگرام
هشدار کارشناسان امنیتی نسبت به تعداد(کم) مهندسین تلگرام
کارشناسان امنیتی میگویند در حالی که دوروف به شرکت مستقر در دبی خود افتخار میکند که «فوق العاده کارآمد» است، اما آنچه او گفت در واقع یک هشدار برای کاربران بود.
متیو گرین، کارشناس رمزنگاری در دانشگاه جان هاپکینز گفت:« بدون رمزگذاری سرتاسر، تعداد زیادی از اهداف و سرورها در امارات آسیبپذیرند و بنظر میرسد که این یک کابوس امنیتی است.» هرچند که سخنگوی تلگرام، رمی وان، این موضوع را رد کرد و گفت که هیچ مرکز دادهای در امارات وجود ندارد.
منظور گرین این بود که به طور پیشفرض، چتهای تلگرام مانند پلتفرم سیگنال یا واتساپ رمزگذاری نشدهاند. یک کاربر تلگرام باید یک «چت مخفی» را راهاندازی کند تا رمزگذاری سرتاسر را فعال کند و پیامها را برای تلگرام یا هر کسی غیر از گیرنده مورد نظر غیرقابل خواندن کند. همچنین، در طول سالهای فعالیت این پلتفرم، بسیاری از مردم در مورد کیفیت رمزگذاری تلگرام تردید کردهاند، زیرا این شرکت از الگوریتم رمزگذاری اختصاصی خود استفاده میکند که توسط برادر دوروف ایجاد شده است.
اوا گالپرین، مدیر امنیت سایبری در بنیاد Electronic Frontier و کارشناس قدیمی امنیت کاربران، بیان کرد که مهم است به خاطر داشته باشید که تلگرام، برخلاف سیگنال، چیزی فراتر از یک برنامه پیامرسان است. چیزی که تلگرام را متفاوت میکند این است که تلگرام فقط یک برنامه پیامرسان نیست، بلکه یک پلتفرم رسانه اجتماعی نیز هست. به عنوان یک پلتفرم رسانه اجتماعی، دارای حجم عظیمی از دادههای کاربران هست. داشتن ۳۰ مهندس به این معناست که نه کسی برای مبارزه با درخواستهای قانونی وجود دارد و نه زیرساختی برای رسیدگی به موارد سوء استفاده و تعدیل محتوا وجود دارد.»
گالپرین ادامه داد: « حتی میتوانم استدلال کنم که کیفیت آن ۳۰ مهندس آنقدرها هم عالی نیست. همچنین، اگر من یک هکر بودم، قطعاً این را یک خبر دلگرم کننده میدانستم. هر مهاجمی عاشق حریفی است که دارای نیروی کاری کم است.»به عبارت دیگر، بعید است که تلگرام با این تعداد پرسنل کم، در مبارزه با هکرها، به ویژه هکرهای تحت حمایت دولت، مؤثر باشد.
سخنگوی تلگرام تایید کرد که این شرکت ۳۰ توسعهدهنده دارد که روی برنامهها و زیرساختها کار میکنند، اما ادعا میکند که ۳۰ نفر دیگر در “تیم اصلی” خود دارد. این سخنگو به سؤالات خاص پاسخ نداد، از جمله اینکه آیا این شرکت یک افسر ارشد امنیتی دارد و چه تعداد از مهندسان آن به طور تمام وقت برای ایمنسازی پلتفرم کار میکنند.
هفته گذشته، کارشناس معروف امنیت سایبری SwiftOnSecurity در ایکس نوشت: «هزینه اداره شرکتی که همه ابزارها و کارکنان امنیت سایبری مناسب را دارد، نامتناسب است. توصیف اعدادی که دیدهام (۳۰ مهندس تلگرام) سخت است. حتی میتوان گفتاین یک منطقه خاکستری است.»
حتی بزرگترین شرکتهای بینالمللی نیز احتمالاً پول، زمان و انرژی کافی را برای تامین امنیت خود صرف نمیکنند. به گفته دوروف، تلگرام تقریبا یک میلیارد کاربر دارد. این یکی از محبوبترین پلتفرمها برای افراطگرایان، هکرها، و افرادی است که در حوزه کریپتو کار میکنند (که میلیونها دلار جابهجا میکنند). و همین امر تلگرام را به یک هدف فوق العاده جالب برای هکرها و خرابکاران سایبری و دولتی تبدیل میکند.
برای سالها، کارشناسان امنیتی هشدار دادهاند که کاربران نباید تلگرام را مانند یک برنامه پیامرسانی کاملا امن ببینند. با توجه به آنچه دوروف اخیراً گفت، ممکن است وضعیت امنیتی آن حتی از آن چیزی باشد که کارشناسان فکر می کردند بدتر باشد.