Hafta sonu, Telegram’ın kurucusu Pavel Durov ile yakın zamanda yapılan bir röportajdan bir klip X’te (önceden Twitter) yarı viral oldu. VidyodaDurov, sağcı kişilik Tucker Carlson’a şirketteki tek ürün müdürü olduğunu ve yalnızca “yaklaşık 30 mühendis” çalıştırdığını söylüyor.
Güvenlik uzmanları, Durov’un Dubai merkezli şirketinin “süper verimli” olmakla övündüğünü ancak bunun aslında kullanıcılar için bir tehlike işareti olduğunu söylüyor.
“Uçtan uca şifreleme, çok sayıda savunmasız hedef ve BAE’de bulunan sunucular olmadan mı? Johns Hopkins Üniversitesi’nden kriptografi uzmanı Matthew Green, TechCrunch’a “Bu bir güvenlik kabusu gibi görünüyor” dedi.
Green, Telegram’daki sohbetlerin Signal veya WhatsApp’ta olduğu gibi varsayılan olarak uçtan uca şifrelenmediğinden bahsediyordu. Bir Telegram kullanıcısının, uçtan uca şifrelemeyi açmak için bir “Gizli Sohbet” başlatması gerekir; böylece mesajlar Telegram veya hedeflenen alıcı dışında herhangi biri tarafından okunamaz hale gelir. Ayrıca, Carlson röportajının genişletilmiş bir versiyonunda söylediği gibi, şirketin Durov’un erkek kardeşi tarafından oluşturulan kendi özel şifreleme algoritmasını kullandığı göz önüne alındığında, yıllar geçtikçe birçok kişi Telegram’ın şifrelemesinin kalitesi konusunda şüphe uyandırdı.
Electronic Frontier Foundation’ın siber güvenlik direktörü ve risk altındaki kullanıcıların güvenliği konusunda uzun süredir uzman olan Eva Galperin, Signal’in aksine Telegram’ın bir mesajlaşma uygulamasından çok daha fazlası olduğunu hatırlamanın önemli olduğunu söyledi.
“Telegram’ı farklı kılan (ve çok daha kötüsü!), Telegram’ın sadece bir mesajlaşma uygulaması değil, aynı zamanda bir sosyal medya platformu olmasıdır. Bir sosyal medya platformu olarak muazzam miktarda kullanıcı verisi üzerinde duruyor. Aslında birebir mesaj olmayan tüm iletişimlerin içeriğinde özel olarak yer almaktadır. [end-to-end] şifrelenmiş,” dedi Galperin TechCrunch’a. “‘Otuz mühendis’, yasal taleplerle mücadele edecek kimsenin olmadığı, kötüye kullanım ve içerik denetimi sorunlarıyla ilgilenecek bir altyapının olmadığı anlamına geliyor.”
Galperin, “Ayrıca bu 30 mühendisin kalitesinin o kadar da iyi olmadığını bile iddia edebilirim” diye devam etti. “Ayrıca eğer bir tehdit oyuncusu olsaydım, bunu kesinlikle cesaret verici bir haber olarak değerlendirirdim. Her saldırgan, son derece yetersiz personele sahip ve aşırı çalışan bir rakibi sever.
Başka bir deyişle Telegram’ın bu kadar küçük bir kadroyla bilgisayar korsanlarıyla, özellikle de devlet destekli olanlarla mücadelede çok etkili olması pek mümkün değil.
Telegram, şirketin bir güvenlik şefi olup olmadığı ve kaç mühendisinin platformun güvenliğini sağlamak için tam zamanlı çalıştığına ilişkin soruları içeren yorum talebine yanıt vermedi.
Geçen hafta tanınmış siber güvenlik uzmanı SwiftOnSecurity X’e yazdı “Tüm doğru siber güvenlik araçlarına ve personele sahip bir şirketi yönetmenin maliyeti kesinlikle müstehcen.”
“Gördüğüm rakamları anlatmak zor. Bunu söylemek bile gri bir alandır. Ama bu [an] inanılmaz personel sayısı ve harcama,” diye yazdı SwiftOnSecurity.
Söylemek gerekirse, gezegendeki en büyük şirketler bile muhtemelen kendilerini güvence altına almak için yeterli para, zaman ve enerji harcamamaktadır. Durov’a göre Telegram’ın neredeyse bir milyar kullanıcısı var. Kripto alanında çalışan (milyonlarca doları hareket ettiren), aşırılık yanlıları, bilgisayar korsanları ve dezenformasyon satıcıları için en popüler platformlardan biridir.
Bu da onu hem suçlu hem de devlet korsanları için inanılmaz derecede ilginç bir hedef haline getiriyor. Ve en fazla siber güvenliğe adanmış bir avuç insan var.
Yıllarca, güvenlik uzmanlar sahip olmak uyardı insanların Telegram’ı gerçekten güvenli bir mesajlaşma uygulaması olarak görmemesi gerektiğini. Durov’un yakın zamanda söyledikleri göz önüne alındığında durum uzmanların düşündüğünden daha da kötü olabilir.