19 декабря специалист по безопасности Томас Птасек опубликовал в Twitter запись о том, что Telegram сохраняет на своем сервере все сообщения пользователей в незашифрованном виде.
На сообщение обратил внимание Сноуден, который порекомендовал Дурову обновить приложение.
By default Telegram stores the PLAINTEXT of EVERY MESSAGE every user has ever sent or received on THEIR SERVER.
— Thomas H. Ptacek (@tqbf) December 19, 2015
Дуров отреагировал на заявления Птасека, ответив ему, что Telegram никогда не сохраняет сообщения в текстовом формате и что при удалении они исчезают навсегда: «Вам платят за публикацию чуши?», — спросил Дуров.
@tqbf This is false: @telegram never stores plaintext of messages, and deleted messages are erased forever. Do you get paid for posting BS?
— Pavel Durov (@durov) December 19, 2015
Птасек сказал, что ничего не говорил об удалении сообщений.
@durov I didn't say anything about message deletion.
— Thomas H. Ptacek (@tqbf) December 19, 2015
Другой специалист по безопасности из проекта Open Crypto Audit Project Кенн Уайт заявил в своем твите, что все гарантии безопасности Telegram сводятся к надежде компании на то, что ее базы данных не будут взломаны:
Telegram's security guarantees essentially boil down to: our staff are trustworthy and we're pretty sure our database won't get hacked.
— Kenn White (@kennwhite) December 19, 2015
Эдвард Сноуден поддержал Птасека, сообщив, что использование Telegram является опасным и что приложению требуется серьезное обновление.
I respect @durov, but Ptacek is right: @telegram's defaults are dangerous. Without a major update, it's unsafe. https://t.co/pbBt2rHr5x
— Edward Snowden (@Snowden) December 19, 2015
В следующем твите он пояснил: важно то, что незашифрованный текст сообщений доступен для сервера или поставщика услуг, а не то, что Telegram его сохраняет.
To be clear, what matters is that the plaintext of messages is *accessible* to the server (or service provider), not whether it's "stored."
— Edward Snowden (@Snowden) December 19, 2015
Дуров ответил Сноудену, что люди, которые не доверяют Telegram или которым не нужна облачная синхронизация, могут использовать секретные чаты.
@Snowden Skipping the sarcastic part: users who don't need cloud sync or do not trust us, use secret chats – https://t.co/ONA5LyENPI
— Pavel Durov (@durov) December 19, 2015
В беседе с vc.ru Дуров также отметил, что пользователь сам делает выбор: если человеку нужна синхронизация между устройствами и он доверяет Telegram, то использует облачные чаты, если же у него нет необходимости в синхронизации или доверия к сервису, то он использует секретные чаты (те, в которых история сообщений не сохраняется).
В ноябре 2015 года Сноуден сообщил, что в качестве мессенджера использует Signal для Android.
Странное обсуждение какое то.
Телеграмм действительно сохраняет все сообщения между пользователями. Со временем такие сообщения действительно могут быть угнаны.
Сообщения в p2p каналах якобы шифруются и нигде не сохраняются. Говорить, что это так – наивность. Исходного кода никто не видел. А тем более исходного кода приложений, которые приезжают на телефоны. Разве что веб версию расковырять.
Телеграмм просто еще один месенджер. Субъективно, по моему вкусу, сильно удобнее остальных.
Но говорить про какую безопасность – смешно.
А разве как раз телефонные клиенты не в открытом доступе? Это кода сервера ни кто не видел, а с телефонными-то нет проблем. Как минимум, если не официальный клиент открыт, то альтернативных навалом. Вы бы сначала поинтересовалась, прежде чем нести настолько наивную чушь.
Вы про эти сырцы https://github.com/peter-iakovlev/Telegram ?
То есть вы точно знаете, что они и используются для компиляции приложения?
Есть вариант для параноиков: самому собрать и установить. Но в этом случае нужно перетрясти все сырцы и зависимости и убедиться в безопасности. Что непросто.
Замечание про альтернативные клиенты – дельное. Подскажете парочку под ios?
Говорить про какую либо приватность используя ios - это смешно. Android тоже можно туда отнести, но есть открытые сборки. Мессенджер может быть сколько угодно безопасным, но вся переписка просто сливается с apple клавиатуры :) Вы знаете что нет? Я нет. Про end-to-end шифрование отписался где то выше или ниже, есть открытый исходный код, открыты алгоритмы, если не доверяете сообществу - можете сами еще раз проверить, возможно, получить награду, найдя уязвимость :) Для параноиков, конечно же, лучше собирать из исходников самим, потому что, не ясно, действительно, из чего собрана официальная версия в сторе, а может ее и подменили злые анбшники.
Я сам не проверял, но читал исследования, что в телеграмме по мета данным можно установить, кто с кем общается. Например, анб следит за журналистом, и они видят, что он ведет переписку по телеграмму, но не имеют возможности ее прочесть, но типа теоретически они могут определить откуда пришло это сообщение, и тем самым вычислить местоположение второго участника либо, установить факт, что они ведут переписку, а там идет в силу, например, терморектальный способ взлома.