В минувшие выходные Эдвард Сноуден и Павел Дуров имели краткую, но довольно интересную беседу в Twitter. Причиной к диалогу послужили сообщения от экспертов в области информационной безопасности и разработчиков другого защищенного мессенджера — Signal. Те обвинили Telegram в слабой безопасности.
Катализатором небольшой твиттер-бури послужило сообщение от эксперта Томаса Птачека (Thomas H. Ptacek), который сообщил, что по умолчанию Telegram, в виде обычного текста, сохраняет на своих серверах все сообщения, когда-либо отправленные или полученные пользователем.
By default Telegram stores the PLAINTEXT of EVERY MESSAGE every user has ever sent or received on THEIR SERVER.
— $30,000 Logout CSRF (@tqbf) December 19, 2015
Твит Птачека, в свою очередь, был спровоцирован сообщением Open Whisper Systems. Несколькими часами ранее они указали на тот же факт одной из своих читательниц, которая имела неосторожность сказать, что, по ее мнению, Telegram безопасен.
@CTZN5 @timcameronryan By default Telegram stores the plaintext of every message every user has ever sent or received on their server.
— Open Whisper Systems (@whispersystems) December 19, 2015
Сообщение Птачека не укрылось от внимания Эдварда Сноудена. Он решил выразить согласие с экспертом. Сноуден процитировал сообщение Птачека, добавив, что тот прав, при всем уважении к Дурову.
I respect @durov, but Ptacek is right: @telegram's defaults are dangerous. Without a major update, it's unsafe. https://t.co/pbBt2rHr5x
— Edward Snowden (@Snowden) December 19, 2015
Чуть позже Сноуден добавил, что опасность представляет тот факт, что сообщения доступны в виде открытого текста для сервера Telegram (или сервис-провайдера), а не тот факт, что они в принципе там сохраняются.
To be clear, what matters is that the plaintext of messages is *accessible* to the server (or service provider), not whether it's "stored."
— Edward Snowden (@Snowden) December 19, 2015
Одновременно к обсуждению «небезопасного Telegram» подключился и Мокси Марлинспайк (Moxie Marlinspike) — основатель OWS и разработчик мессенджера Signal, который совсем недавно хвалил Сноуден, заявляя, что сам пользуется именно им. Марлинспайк согласился с тем, что Telegram не используется шифрование и хранит сообщения на своих серверах. О какой безопасности может идти речь после этого?
@sc0p3r It's just how Telegram works and is self-documented to work: https://t.co/GMD3mryXoN Only their marketing copy suggests otherwise.
— Moxie Marlinspike (@moxie) December 19, 2015
Сложно промолчать в ответ на такую критику, поэтому к «беседе» подключился сам Павел Дуров. Дуров поинтересовался у Птачека, приплачивают ли ему за публикацию подобной «чуши», а также опроверг заявление эксперта. Согласно сообщению Дурова, Telegram никогда не хранил сообщения пользователей в виде открытого текста, все сообщения удаляются навсегда.
@tqbf This is false: @telegram never stores plaintext of messages, and deleted messages are erased forever. Do you get paid for posting BS?
— Pavel Durov (@durov) December 19, 2015
Сноудену Дуров отдельно пояснил, что если пользователю нужна облачная синхронизация и он доверяет Telegram, он может ее использовать. Если нет – никто не неволит. Для этой цели и созданы секретные чаты, история которых не сохраняется вообще. Ключ шифрования для таких сообщений хранится на устройстве, их нельзя синхронизировать с облаком. Также Дуров отметил, что в большинстве своем пользователи все же предпочитают синхронизацию, а не секретные чаты.
@Snowden Skipping the sarcastic part: users who don't need cloud sync or do not trust us, use secret chats – https://t.co/ONA5LyENPI
— Pavel Durov (@durov) December 19, 2015
@mjackson @Snowden @tqbf This is exactly why cloud chats are the default: on average, our users prefer seamless cloud sync.
— Pavel Durov (@durov) December 19, 2015
Фото: AFP
German Namestnikov
21.12.2015 в 10:17
Дуров, кстати, еще до «официального» твита изрек еще один о том, что Telegram достаточно безопасен для ИГИЛ. Этот твит был в последствии удален.
Jeffrey Davis
21.12.2015 в 11:13
А причём здесь apple?
h0lera
21.12.2015 в 18:38
а при том шо, нет разницы, или ведроид и вообще все девайсы на уровне железа сливают скриншоты ремоут руткит. ибо нет «свободного» железа и протоколов на котором оно бы работало. а параноики занимаются рекламой этих «продуктов», так как ниша пока еще модная и можно поднять еще пару тройку мультов с рекламы или грантов от службы павлика морозова на случай если вся эта история вообще галимый ханипот
Greg Stepanov
21.12.2015 в 12:19
На самом деле, Сноуден сказал про небезопасность Telegram совсем другое:
В статье: «Чуть позже Сноуден добавил, что опасность представляет не тот факт, что сообщения доступны в виде открытого текста на сервере Telegram, а то, что они в принципе там сохраняются.»
В Твиттере:
To be clear, what matters is that the plaintext of messages is *accessible* to the server (or service provider), not whether it’s «stored.»
Что на самом деле имел ввиду Сноуден:
«Давайте проясним: важно, что текст сообщений *доступен* на сервере (собственно сервису), а не то, что он *хранится*.»
Мария Нефёдова
21.12.2015 в 14:17
Спасибо, исправлено.
snouden
21.12.2015 в 15:10
О какой безопасности может идти речь, когда для регистрации Telegram требуется предоставить номер телефона.
червяк130
21.12.2015 в 21:34
ты предоставляешь номер телефона и пишешь, и никто не может прочитать то, что ты там написал.
червяк130
21.12.2015 в 21:32
Приятно, что Сноуден не нашелся что ответить. Значит отечественные мозги умнее импортных. Пахан молодец.