Uzmanlar, Telegram’ın ’30 mühendis’ ekibinin güvenlik konusunda kırmızı bayrak olduğunu söylüyor

Hafta sonu, Telegram’ın kurucusu Pavel Durov ile yakın zamanda yapılan bir röportajdan bir klip X’te (önceden Twitter) yarı viral oldu. Videoda Durov, sağcı Tucker Carlson’a şirketteki tek ürün müdürü olduğunu ve yalnızca “yaklaşık 30 mühendis” çalıştırdığını söylüyor.

Güvenlik uzmanları, Durov’un Dubai merkezli şirketinin “süper verimli” olmakla övündüğünü ancak bunun aslında kullanıcılar için bir tehlike işareti olduğunu söylüyor.

“Uçtan uca şifreleme, çok sayıda savunmasız hedef ve BAE’de bulunan sunucular olmadan mı? Johns Hopkins Üniversitesi’nden kriptografi uzmanı Matthew Green, TechCrunch’a “Bu bir güvenlik kabusu gibi görünüyor” dedi.

Green, Telegram’daki sohbetlerin Signal veya WhatsApp’ta olduğu gibi varsayılan olarak uçtan uca şifrelenmediğinden bahsediyordu. Bir Telegram kullanıcısının, uçtan uca şifrelemeyi açmak için bir “Gizli Sohbet” başlatması gerekir; bu da mesajların Telegram veya amaçlanan alıcı dışında herhangi biri tarafından okunamamasına neden olur. Ayrıca, Carlson röportajının genişletilmiş bir versiyonunda söylediği gibi, şirketin Durov’un erkek kardeşi tarafından oluşturulan kendi özel şifreleme algoritmasını kullandığı göz önüne alındığında, yıllar geçtikçe birçok kişi Telegram’ın şifrelemesinin kalitesi konusunda şüphe uyandırdı.

Electronic Frontier Foundation’ın siber güvenlik direktörü ve risk altındaki kullanıcıların güvenliği konusunda uzun süredir uzman olan Eva Galperin, Signal’in aksine Telegram’ın bir mesajlaşma uygulamasından çok daha fazlası olduğunu hatırlamanın önemli olduğunu söyledi.

“Telegram’ı farklı kılan (ve çok daha kötüsü!), Telegram’ın sadece bir mesajlaşma uygulaması değil, aynı zamanda bir sosyal medya platformu olmasıdır. Bir sosyal medya platformu olarak muazzam miktarda kullanıcı verisi üzerinde duruyor. Aslında birebir mesaj olmayan tüm iletişimlerin içeriğinde özel olarak yer almaktadır. [end-to-end] şifrelenmiş,” dedi Galperin TechCrunch’a. “‘Otuz mühendis’, yasal taleplerle mücadele edecek kimsenin olmadığı, kötüye kullanım ve içerik denetimi sorunlarıyla ilgilenecek bir altyapının olmadığı anlamına geliyor.”

Galperin, “Ayrıca bu 30 mühendisin kalitesinin o kadar da iyi olmadığını bile iddia edebilirim” diye devam etti. “Ayrıca eğer bir tehdit oyuncusu olsaydım, bunu kesinlikle cesaret verici bir haber olarak değerlendirirdim. Her saldırgan, son derece yetersiz personele sahip ve aşırı çalışan bir rakibi sever.

Başka bir deyişle Telegram’ın bu kadar küçük bir kadroyla bilgisayar korsanlarıyla, özellikle de devlet destekli olanlarla mücadelede çok etkili olması pek mümkün değil.

Tahmin edin, bu 30 personelin hiçbiri gizlilik veya uyumlulukla ilgili kişileri içermiyor ve kullanıcıların verilerine erişimi kısıtlayan potansiyel güvenlik kontrollerini incelemek için hiçbir zaman sıfır üçüncü taraf denetimi yapılıyor. “Lütfen bize güvenin” güvenliğin çalışma şekli değildir. https://t.co/w7PBkU0TJR

— JP Aumasson (@veorq) 22 Haziran 2024

Telegram, şirketin bir güvenlik şefi olup olmadığı ve kaç mühendisinin platformun güvenliğini sağlamak için tam zamanlı çalıştığına ilişkin soruları içeren yorum talebine yanıt vermedi.

Geçtiğimiz hafta tanınmış siber güvenlik uzmanı SwiftOnSecurity, X’te “tüm doğru siber güvenlik araçlarına ve personele sahip bir şirketi yönetmenin maliyetinin kesinlikle müstehcen olduğunu” yazdı.

“Gördüğüm rakamları anlatmak zor. Bunu söylemek bile gri bir alandır. Ama bu [an] inanılmaz personel sayısı ve harcama,” diye yazdı SwiftOnSecurity.

Söylemek gerekirse, gezegendeki en büyük şirketler bile muhtemelen kendilerini güvence altına almak için yeterli para, zaman ve enerji harcamamaktadır. Durov’a göre Telegram’ın neredeyse bir milyar kullanıcısı var. Kripto alanında çalışan (milyonlarca doları hareket ettiren), aşırılık yanlıları, bilgisayar korsanları ve dezenformasyon satıcıları için en popüler platformlardan biridir.

Bu da onu hem suçlu hem de devlet korsanları için inanılmaz derecede ilginç bir hedef haline getiriyor. Ve en fazla siber güvenliğe adanmış bir avuç insan var.

Güvenlik uzmanları yıllardır insanların Telegram’ı gerçekten güvenli bir mesajlaşma uygulaması olarak görmemesi gerektiği konusunda uyarıyordu. Durov’un yakın zamanda söyledikleri göz önüne alındığında durum uzmanların düşündüğünden daha da kötü olabilir.