整理丨諾亞

出品 | 51CTO技術(shù)棧（微信號：blog51cto）

在剛過去的周末，Telegram創(chuàng)始人帕維爾·杜羅夫在一次訪談中透露，自己是公司唯一的產(chǎn)品經(jīng)理，團隊僅有“約30名工程師”，此視頻在X平臺迅速走紅。

安全專家警示，雖然杜羅夫標榜其位于迪拜的公司“超高效”，但是他的話透露出的信息對于用戶而言實則是一個警示。

來自約翰斯·霍普金斯大學(xué)的密碼學(xué)專家馬修·格林對媒體表示：“沒有端到端加密，存在大量易受攻擊的目標，加之服務(wù)器設(shè)在阿聯(lián)酋，聽起來就像是一個安全噩夢。”（小插曲：Telegram的發(fā)言人雷米·沃恩隨后反駁，否認在阿聯(lián)酋設(shè)有數(shù)據(jù)中心）

格林強調(diào)，Telegram的默認聊天模式不如Signal或WhatsApp，不自動采用端對端加密，唯有啟用“秘密聊天”模式，才能激活端到端加密，確保信息僅限收發(fā)雙方可見。

此外，多年以來，Telegram采用杜羅夫兄弟自創(chuàng)的加密算法，因此很多人對Telegram加密質(zhì)量持懷疑態(tài)度。

電子前沿基金會的網(wǎng)絡(luò)安全總監(jiān)、長期從事高風險用戶安全研究的專家伊娃·加爾佩林更是直接提醒公眾，與Signal不同，Telegram遠不止是一款通訊應(yīng)用那么簡單。

“Telegram與眾不同（而且糟糕得多！）的地方在于，Telegram不僅僅是一個消息應(yīng)用，它還是一個社交媒體平臺。作為一個社交媒體平臺，它掌握了海量的用戶數(shù)據(jù)。事實上，它保存了所有非一對一消息的通信內(nèi)容，除非這些消息特別啟用了[端到端]加密，”加爾佩林表示。“‘30名工程師’意味著沒有人去應(yīng)對法律請求，沒有處理濫用和內(nèi)容審核問題的基礎(chǔ)設(shè)施。”

“我甚至會質(zhì)疑說，這30名工程師的狀態(tài)也不是很好，”加爾佩林直言不諱：“而且，如果我是一個威脅行為者，我肯定會認為這是一個令人心癢的消息。每一個攻擊者都喜歡人員嚴重不足且過度勞累的對手。”

換句話說，憑借如此有限的員工數(shù)量，Telegram很難有效對抗黑客，尤其是政府支持的黑客。

圖片

Telegram的發(fā)言人證實，公司有30名開發(fā)人員負責應(yīng)用程序和基礎(chǔ)設(shè)施的開發(fā)工作，但聲稱其“核心團隊”另有30人。發(fā)言人沒有就具體問題進行回應(yīng)，包括公司是否有首席安全官，以及有多少工程師全職負責平臺的安全保障工作。

不久前，著名網(wǎng)絡(luò)安全專家SwiftOnSecurity在X平臺發(fā)表觀點，稱“維持一家配備頂尖網(wǎng)絡(luò)安全工具與專業(yè)團隊的公司，其成本絕對是驚人的。”他寫道：“數(shù)字之大難以言表，甚至提及此事都近乎敏感。但這確實是項巨大投資，涉及大量人力與巨額開支。”

總而言之，即使地球上最大的公司可能也沒有在保護自身安全上投入足夠的資金、時間和精力。據(jù)杜羅夫透露，Telegram的用戶接近十億。它是最受加密貨幣工作者、極端主義者、黑客和虛假信息傳播者歡迎的平臺之一。

這使得Telegram成為了犯罪分子和政府黑客都非常感興趣的超高價值目標。而如今看來，它最多只有一小撮人專注于網(wǎng)絡(luò)安全工作。

多年來，安全專家一直警告稱，人們不應(yīng)該將Telegram視為真正的安全消息應(yīng)用。鑒于杜羅夫最近的言論，實際情況可能比專家預(yù)想的還要糟糕。   

參考鏈接：https://techcrunch.com/2024/06/24/experts-say-telegrams-30-engineers-team-is-a-security-red-flag/