整理丨诺亚
出品 | 51CTO技术栈(微信号:blog51cto)
在刚过去的周末,Telegram创始人帕维尔·杜罗夫在一次访谈中透露,自己是公司唯一的产品经理,团队仅有“约30名工程师”,此视频在X平台迅速走红。
安全专家警示,虽然杜罗夫标榜其位于迪拜的公司“超高效”,但是他的话透露出的信息对于用户而言实则是一个警示。
来自约翰斯·霍普金斯大学的密码学专家马修·格林对媒体表示:“没有端到端加密,存在大量易受攻击的目标,加之服务器设在阿联酋,听起来就像是一个安全噩梦。”(小插曲:Telegram的发言人雷米·沃恩随后反驳,否认在阿联酋设有数据中心)
格林强调,Telegram的默认聊天模式不如Signal或WhatsApp,不自动采用端对端加密,唯有启用“秘密聊天”模式,才能激活端到端加密,确保信息仅限收发双方可见。
此外,多年以来,Telegram采用杜罗夫兄弟自创的加密算法,因此很多人对Telegram加密质量持怀疑态度。
电子前沿基金会的网络安全总监、长期从事高风险用户安全研究的专家伊娃·加尔佩林更是直接提醒公众,与Signal不同,Telegram远不止是一款通讯应用那么简单。
“Telegram与众不同(而且糟糕得多!)的地方在于,Telegram不仅仅是一个消息应用,它还是一个社交媒体平台。作为一个社交媒体平台,它掌握了海量的用户数据。事实上,它保存了所有非一对一消息的通信内容,除非这些消息特别启用了[端到端]加密,”加尔佩林表示。“‘30名工程师’意味着没有人去应对法律请求,没有处理滥用和内容审核问题的基础设施。”
“我甚至会质疑说,这30名工程师的状态也不是很好,”加尔佩林直言不讳:“而且,如果我是一个威胁行为者,我肯定会认为这是一个令人心痒的消息。每一个攻击者都喜欢人员严重不足且过度劳累的对手。”
换句话说,凭借如此有限的员工数量,Telegram很难有效对抗黑客,尤其是政府支持的黑客。
图片
Telegram的发言人证实,公司有30名开发人员负责应用程序和基础设施的开发工作,但声称其“核心团队”另有30人。发言人没有就具体问题进行回应,包括公司是否有首席安全官,以及有多少工程师全职负责平台的安全保障工作。
不久前,著名网络安全专家SwiftOnSecurity在X平台发表观点,称“维持一家配备顶尖网络安全工具与专业团队的公司,其成本绝对是惊人的。”他写道:“数字之大难以言表,甚至提及此事都近乎敏感。但这确实是项巨大投资,涉及大量人力与巨额开支。”
总而言之,即使地球上最大的公司可能也没有在保护自身安全上投入足够的资金、时间和精力。据杜罗夫透露,Telegram的用户接近十亿。它是最受加密货币工作者、极端主义者、黑客和虚假信息传播者欢迎的平台之一。
这使得Telegram成为了犯罪分子和政府黑客都非常感兴趣的超高价值目标。而如今看来,它最多只有一小撮人专注于网络安全工作。
多年来,安全专家一直警告称,人们不应该将Telegram视为真正的安全消息应用。鉴于杜罗夫最近的言论,实际情况可能比专家预想的还要糟糕。
参考链接:https://techcrunch.com/2024/06/24/experts-say-telegrams-30-engineers-team-is-a-security-red-flag/