19 декабря специалист по безопасности Томас Птасек опубликовал в Twitter запись о том, что Telegram сохраняет на своем сервере все сообщения пользователей в незашифрованном виде.
На сообщение обратил внимание Сноуден, который порекомендовал Дурову обновить приложение.
By default Telegram stores the PLAINTEXT of EVERY MESSAGE every user has ever sent or received on THEIR SERVER.
— Thomas H. Ptacek (@tqbf) December 19, 2015
Дуров отреагировал на заявления Птасека, ответив ему, что Telegram никогда не сохраняет сообщения в текстовом формате и что при удалении они исчезают навсегда: «Вам платят за публикацию чуши?», — спросил Дуров.
@tqbf This is false: @telegram never stores plaintext of messages, and deleted messages are erased forever. Do you get paid for posting BS?
— Pavel Durov (@durov) December 19, 2015
Птасек сказал, что ничего не говорил об удалении сообщений.
@durov I didn't say anything about message deletion.
— Thomas H. Ptacek (@tqbf) December 19, 2015
Другой специалист по безопасности из проекта Open Crypto Audit Project Кенн Уайт заявил в своем твите, что все гарантии безопасности Telegram сводятся к надежде компании на то, что ее базы данных не будут взломаны:
Telegram's security guarantees essentially boil down to: our staff are trustworthy and we're pretty sure our database won't get hacked.
— Kenn White (@kennwhite) December 19, 2015
Эдвард Сноуден поддержал Птасека, сообщив, что использование Telegram является опасным и что приложению требуется серьезное обновление.
I respect @durov, but Ptacek is right: @telegram's defaults are dangerous. Without a major update, it's unsafe. https://t.co/pbBt2rHr5x
— Edward Snowden (@Snowden) December 19, 2015
В следующем твите он пояснил: важно то, что незашифрованный текст сообщений доступен для сервера или поставщика услуг, а не то, что Telegram его сохраняет.
To be clear, what matters is that the plaintext of messages is *accessible* to the server (or service provider), not whether it's "stored."
— Edward Snowden (@Snowden) December 19, 2015
Дуров ответил Сноудену, что люди, которые не доверяют Telegram или которым не нужна облачная синхронизация, могут использовать секретные чаты.
@Snowden Skipping the sarcastic part: users who don't need cloud sync or do not trust us, use secret chats – https://t.co/ONA5LyENPI
— Pavel Durov (@durov) December 19, 2015
В беседе с vc.ru Дуров также отметил, что пользователь сам делает выбор: если человеку нужна синхронизация между устройствами и он доверяет Telegram, то использует облачные чаты, если же у него нет необходимости в синхронизации или доверия к сервису, то он использует секретные чаты (те, в которых история сообщений не сохраняется).
В ноябре 2015 года Сноуден сообщил, что в качестве мессенджера использует Signal для Android.
Даже дураку понятно, что чужой сервис всегда будет сливать данные. Для безопасности нужно писать свое, чат с шифрованием не так долго собирать.
Ага, а заодно свой комплиятор, свою доверенную среду для запуска (читай ОС), своё доверенное железо и свои доверенные инструкции для микроэлектроники. А, ну да, заодно свой алгоритм шифрования и генератор случайных чисел. А то мало ли, сами знаете.
Минимум, это затруднит доступ к данным, которые сейчас на тарелке.
99% пользователей телеграма - это те, кто хочет защитить свои данные, не представляющие никакой ценности от тех, кому они на хуй не нужны. То есть людей убедили в том, что каждого из них прослушивают, но на деле их унылые чатики никого не волнуют. Если речь заходит о действительно важной информации, то в дело вступают различные СКЗИ и защищённость оценивается по соответствующим категориям угроз. Коленочное решение совершенно бесполезно по двум вышеозначенным причинам: а) если твоя инфа никому не нужна, то нужнее она и не станет и б) если твоя инфа действительно кому-то нужна, то коленочное решение тебя не спасёт
"99% пользователей телеграма - это те, кто хочет защитить свои данные"
Да срать все хотели на защиту данных, это просто удобный мессенджер.
Абсолютно с вам согласен, какая нахер защита данных, неужели кто то действительно ищет/ждёт/жаждит мессенджер, чтобы его секретные данные охранялись как зеница окна. Элементарного tls и т.д. достаточно чтобы трафик было трудней отснифать и всё. И да не кто не будет его использовать для супер секретной переписки идентифицируя себя ранее.
В таком случае эта статья бесполезна, ведь телеграм используют по другим причинам и отсутствие в нём шифрования или ПЛОХОЕ шифрование - мелочи.
Это иллюзия, что не волнуют ваши унылые чатики. Можно сказать, что и содержимое моих карманов ни кого не волнует. Есть те, кого волнует и то и другое. Это не спецслужбы. Это обычные карманники-мошенники. И то, что вы ещё не подвергались таким атакам, это не ваша заслуга, а их "недоработка". Защищённые мессенджеры - это не реализация функций защиты совершенно секретной информации режимного предприятия. Это банальная предосторожность от легкосовершаемых противоправных действий против вас и ваших близких.
Итак, объясняю ещё раз. Если вы используете чаты для передачи фоток котят или обсуждения того, какой Васька из отдела маркетинга некрасивый - это никому не интересно и ДАЖЕ ЕСЛИ школьник с брутфорсом доберётся до этой информации, под угрозу не будет поставлено н и ч е г о. Если вы передаёте в чатиках реквизиты вашей банковской карты вместе с CVV-кодом, то вы идиот.
А вы сививи и прочее передаёте с помощью каких сертифицированных СКЗИ? И, кстати, зачем вы их передаёте?
Что касается котиков, объясняю ещё раз - от того, что у меня в кармане нет пакетиков с героином, интерес к содержимому моих карманов у определённого контингента ни на йоту не уменьшается. И к вашему чатику с котиками. Даже если вы на данный момент не понимаете, что извлечённое из чатика с котиками может быть использовано против вас.
Где я написал, что их передаю? Кто такие "определённый контингент"?
А где _я_ написал, что передаю?
Про контингент отмотайте на шаг назад.
Вы написали про карманников-мошенников. Я и спросил: что красть-то будут? Мне на ум пришла одна ценная инфа - банковская карта. Что ещё у вас и у ваших близких непонятные "карманники-мошенники" могут у красть из мессенджера?
До чёрта.
Чат:
Васьк, прикинь, я свою кошку назвал как нашу с тобой первую училку - Агриппина Никодимовна!
Звонок вашей маме:
- Ваш сын Николай сбил человека, сейчас в кутузке, звонить не может, ему нужны деньги, передать можно через меня.
Ваша мама прорываясь через инфарт микарда, вспоминает, что вы её предупреждали о подобным мошенниках. Она даже придумывает, что хорошо было бы задать "посреднику" вопрос, ответ на который не то, чтобы только вы знаете, но он достаточно нетривиальный, чтобы нельзя было угадать... Что это могло бы быть?.. А, вот была такая учительница с редким именем,..
- Милок, спроси у Коленьки как звали его первую учительницу?
- Ага, минутку,.. Агриппина Никодимовна!
- О-о-о, похоже, это действительно мой сын
- А ещё так зовут его кошку. А лучшего друга ещё со школьной поры - Василием...
- Хорошо, хорошо - куда нести деньги?
...
Пример очень сильно надуманный, но если вы не понимаете, как может быть использована против вас, казалось бы, невинная информация, это не значит, что её нельзя будет использовать. Банковские коды это совсем для тупых и без фантазии.
Чем больше данных о вас, тем проще вас просчитать. Пофиг только тем, кто отказался от борьбы.
Против кого боритесь-то и за что?