Experten sagen, dass Telegrams '30 Ingenieur' Team ein Sicherheitsrisiko darstellt
Übers Wochenende wurde ein Ausschnitt aus einem kürzlich geführten Interview mit dem Gründer von Telegram, Pavel Durov, halb viral auf X (früher Twitter). In dem Video erzählt Durov dem rechtsgerichteten Persönlichkeit Tucker Carlson, dass er der einzige Produktmanager des Unternehmens ist und dass er nur 'etwa 30 Ingenieure' beschäftigt.
Sicherheitsexperten sagen, dass Durov, während er damit angegeben hat, dass sein in Dubai ansässiges Unternehmen 'super effizient' ist, was er sagte, tatsächlich ein Warnsignal für die Benutzer darstellt.
'Ohne Ende-zu-Ende-Verschlüsselung, einer großen Anzahl gefährdeter Ziele und Servern in den VAE? Das scheint wie ein Sicherheitsalbtraum zu sein', sagte Matthew Green, ein Kryptographie-Experte an der Johns Hopkins University, zu TechCrunch.
Green bezog sich darauf, dass Chats auf Telegram standardmäßig nicht Ende-zu-Ende verschlüsselt sind wie auf Signal oder WhatsApp. Ein Telegram-Benutzer muss einen 'Secret Chat' starten, um die Ende-zu-Ende-Verschlüsselung zu aktivieren, damit die Nachrichten für Telegram oder andere als den beabsichtigten Empfänger nicht lesbar sind. Außerdem haben im Laufe der Jahre viele Menschen die Qualität der Verschlüsselung von Telegram in Frage gestellt, da das Unternehmen seinen eigenen proprietären Verschlüsselungsalgorithmus verwendet, der von Durovs Bruder erstellt wurde, wie er in einer erweiterten Version des Carlson-Interviews sagte.
Eva Galperin, die Leiterin für Cybersicherheit bei der Electronic Frontier Foundation und eine langjährige Expertin für die Sicherheit gefährdeter Benutzer, sagte, dass es wichtig ist zu bedenken, dass Telegram im Gegensatz zu Signal weit mehr ist als nur eine Messaging-App.
'Was Telegram anders macht (und viel schlimmer!), ist, dass Telegram nicht nur eine Messaging-App ist, sondern auch eine Social-Media-Plattform. Als Social-Media-Plattform sitzt es auf einer enormen Menge an Benutzerdaten. Tatsächlich sitzt es auf den Inhalten aller Kommunikationen, die nicht Eins-zu-Eins-Nachrichten sind, die speziell [Ende-zu-Ende] verschlüsselt wurden', sagte Galperin zu TechCrunch. ''30 Ingenieure' bedeutet, dass es niemanden gibt, der rechtliche Anfragen bearbeitet, keine Infrastruktur für den Umgang mit Missbrauch und Inhaltsmoderationsproblemen.''
'Und ich würde sogar argumentieren, dass die Qualität dieser 30 Ingenieure nicht so toll ist', fuhr Galperin fort. 'Wenn ich ein Bedrohungsakteur wäre, würde ich dies definitiv als ermutigende Nachricht betrachten. Jeder Angreifer liebt einen zutiefst unterbesetzten und überlasteten Gegner.'
Mit anderen Worten, es ist unwahrscheinlich, dass Telegram mit einem so kleinen Personal Hacker bekämpfen kann, insbesondere staatlich unterstützte Hacker.
Lemme raten, es sind keine dieser 30 Mitarbeiter enthalten Datenschutz- oder Compliance-Personen, und es wird niemals eine Drittanbieterüberprüfung durchgeführt, um potenzielle Sicherheitskontrollen zur Beschränkung des Zugriffs auf Benutzerdaten zu überprüfen. 'Bitte vertrauen Sie uns' ist nicht das, wie Sicherheit funktioniert. https://t.co/w7PBkU0TJR— JP Aumasson (@veorq) 22. Juni 2024
Telegram hat nicht auf eine Anfrage nach Kommentaren geantwortet, die Fragen enthielt, ob das Unternehmen einen Chief Security Officer hat und wie viele seiner Ingenieure Vollzeit an der Sicherung der Plattform arbeiten.
Letzte Woche schrieb der bekannte Cybersicherheitsexperte SwiftOnSecurity auf X, dass 'Die Kosten für den Betrieb eines Unternehmens, das über alle richtigen Cybersicherheitstools und Mitarbeiter verfügt, absolut obszön sind'.
'Es ist schwierig, die Zahlen zu beschreiben, die ich gesehen habe. Selbst dies zu sagen, ist ein Graubereich. Aber es ist [eine] unglaubliche Personalstärke und Ausgaben', schrieb SwiftOnSecurity.
Das alles soll bedeuten, dass selbst die größten Unternehmen auf dem Planeten wahrscheinlich nicht genug Geld, Zeit und Energie in ihre Sicherheit investieren. Telegram hat laut Durov fast eine Milliarde Benutzer. Es ist eine der beliebtesten Plattformen für Menschen, die in der Kryptoindustrie arbeiten (die Millionen von Dollar bewegen), Extremisten, Hacker und Verbreiter von Fehlinformationen.
Das macht es zu einem äußerst interessanten Ziel für kriminelle und staatliche Hacker. Und es hat - höchstens - nur eine Handvoll Personen, die der Cybersicherheit gewidmet sind.
Jahrelang haben Sicherheitsexperten davor gewarnt, Telegram nicht wie eine wirklich sichere Messaging-App zu betrachten. Angesichts dessen, was Durov kürzlich sagte, könnte es noch schlimmer sein, als Experten dachten.
