No fim de semana, um clipe de uma entrevista recente com o fundador do Telegram, Pavel Durov, tornou-se semi-viral no X (anteriormente Twitter). No vídeo, Durov conta à personalidade de direita Tucker Carlson que ele é o único gerente de produto da empresa e que emprega apenas 'cerca de 30 engenheiros'.
Os especialistas em segurança afirmam que, embora Durov estivesse se gabando de sua empresa sediada em Dubai ser 'super eficiente', o que ele disse foi na verdade um sinal vermelho para os usuários.
'Sem criptografia de ponta a ponta, um grande número de alvos vulneráveis e servidores localizados nos Emirados Árabes Unidos? Parece que isso seria um pesadelo de segurança', disse Matthew Green, especialista em criptografia da Universidade Johns Hopkins, ao TechCrunch.
Green estava se referindo ao fato de que, por padrão, as conversas no Telegram não são criptografadas de ponta a ponta como no Signal ou no WhatsApp. Um usuário do Telegram precisa iniciar um 'Chat Secreto' para ativar a criptografia de ponta a ponta, tornando as mensagens ilegíveis para o Telegram ou qualquer pessoa que não seja o destinatário pretendido. Além disso, ao longo dos anos, muitas pessoas questionaram a qualidade da criptografia do Telegram, dado que a empresa usa seu próprio algoritmo de criptografia proprietário, criado pelo irmão de Durov, como ele disse em uma versão estendida da entrevista com Carlson.
Eva Galperin, diretora de segurança cibernética da Electronic Frontier Foundation e especialista em segurança de usuários em risco há muito tempo, disse que é importante lembrar que o Telegram, ao contrário do Signal, é muito mais do que apenas um aplicativo de mensagens.
'O que torna o Telegram diferente (e muito pior!) é que o Telegram não é apenas um aplicativo de mensagens, também é uma plataforma de mídia social. Como uma plataforma de mídia social, está sentado em uma quantidade enorme de dados do usuário. De fato, está sentado nos conteúdos de todas as comunicações que não são mensagens diretas que foram especificamente criptografadas [de ponta a ponta]', disse Galperin ao TechCrunch. ' 'Trinta engenheiros' significa que não há ninguém para lutar contra pedidos legais, não há infraestrutura para lidar com abusos e problemas de moderação de conteúdo.'
'E eu até argumentaria que a qualidade desses 30 engenheiros não é tão boa', continuou Galperin. 'Além disso, se eu fosse um ator ameaçador, definitivamente consideraria isso notícia encorajadora. Todo atacante adora um oponente profundamente subestimado e sobrecarregado.'
Em outras palavras, é improvável que o Telegram seja muito eficaz contra hackers, especialmente os apoiados pelo governo, com uma equipe tão pequena.
Aposto que nenhum desses 30 funcionários inclui pessoas de privacidade ou conformidade, e zero auditoria de terceiros é realizada para revisar controles de segurança potenciais que restringem o acesso aos dados dos usuários. 'Por favor, confie em nós' não é como a segurança funciona. https://t.co/w7PBkU0TJR
— JP Aumasson (@veorq) 22 de junho de 2024
O Telegram não respondeu a um pedido de comentário, que incluía perguntas sobre se a empresa tem um diretor de segurança de dados e quantos de seus engenheiros trabalham em tempo integral na segurança da plataforma.
Na semana passada, o conhecido especialista em segurança cibernética SwiftOnSecurity escreveu no X que 'O custo de administrar uma empresa que possui todas as ferramentas e equipe certas de segurança cibernética é absolutamente obsceno'.
'É difícil descrever os números que vi. Mesmo dizer isso é uma área cinzenta. Mas é [um] incrível número de funcionários e despesas', escreveu o SwiftOnSecurity.
Quer dizer, mesmo as maiores empresas do planeta provavelmente não gastam dinheiro, tempo e energia suficientes para se proteger. O Telegram tem quase um bilhão de usuários, de acordo com Durov. É uma das plataformas mais populares para pessoas que trabalham com criptomoedas (que movimentam milhões de dólares), extremistas, hackers e disseminadores de desinformação.
Isso o torna um alvo incrivelmente interessante para hackers criminosos e governamentais. E tem, no máximo, apenas algumas pessoas dedicadas à cibersegurança.
Há anos, especialistas em segurança têm alertado que as pessoas não devem ver o Telegram como um aplicativo de mensagens verdadeiramente seguro. Dado o que Durov disse recentemente, pode ser ainda pior do que os especialistas pensavam.
