整理丨諾亞

出品 | 51CTO技術棧（微信號：blog51cto）

在剛過去的周末，Telegram創始人帕維爾·杜羅夫在一次訪談中透露，自己是公司唯一的產品經理，團隊僅有“約30名工程師”，此視頻在X平臺迅速走紅。

安全專家警示，雖然杜羅夫標榜其位于迪拜的公司“超高效”，但是他的話透露出的信息對于用戶而言實則是一個警示。

來自約翰斯·霍普金斯大學的密碼學專家馬修·格林對媒體表示：“沒有端到端加密，存在大量易受攻擊的目標，加之服務器設在阿聯酋，聽起來就像是一個安全噩夢。”（小插曲：Telegram的發言人雷米·沃恩隨后反駁，否認在阿聯酋設有數據中心）

格林強調，Telegram的默認聊天模式不如Signal或WhatsApp，不自動采用端對端加密，唯有啟用“秘密聊天”模式，才能激活端到端加密，確保信息僅限收發雙方可見。

此外，多年以來，Telegram采用杜羅夫兄弟自創的加密算法，因此很多人對Telegram加密質量持懷疑態度。

電子前沿基金會的網絡安全總監、長期從事高風險用戶安全研究的專家伊娃·加爾佩林更是直接提醒公眾，與Signal不同，Telegram遠不止是一款通訊應用那么簡單。

“Telegram與眾不同（而且糟糕得多！）的地方在于，Telegram不僅僅是一個消息應用，它還是一個社交媒體平臺。作為一個社交媒體平臺，它掌握了海量的用戶數據。事實上，它保存了所有非一對一消息的通信內容，除非這些消息特別啟用了[端到端]加密，”加爾佩林表示。“‘30名工程師’意味著沒有人去應對法律請求，沒有處理濫用和內容審核問題的基礎設施。”

“我甚至會質疑說，這30名工程師的狀態也不是很好，”加爾佩林直言不諱：“而且，如果我是一個威脅行為者，我肯定會認為這是一個令人心癢的消息。每一個攻擊者都喜歡人員嚴重不足且過度勞累的對手。”

換句話說，憑借如此有限的員工數量，Telegram很難有效對抗黑客，尤其是政府支持的黑客。

圖片

Telegram的發言人證實，公司有30名開發人員負責應用程序和基礎設施的開發工作，但聲稱其“核心團隊”另有30人。發言人沒有就具體問題進行回應，包括公司是否有首席安全官，以及有多少工程師全職負責平臺的安全保障工作。

不久前，著名網絡安全專家SwiftOnSecurity在X平臺發表觀點，稱“維持一家配備頂尖網絡安全工具與專業團隊的公司，其成本絕對是驚人的。”他寫道：“數字之大難以言表，甚至提及此事都近乎敏感。但這確實是項巨大投資，涉及大量人力與巨額開支。”

總而言之，即使地球上最大的公司可能也沒有在保護自身安全上投入足夠的資金、時間和精力。據杜羅夫透露，Telegram的用戶接近十億。它是最受加密貨幣工作者、極端主義者、黑客和虛假信息傳播者歡迎的平臺之一。

這使得Telegram成為了犯罪分子和政府黑客都非常感興趣的超高價值目標。而如今看來，它最多只有一小撮人專注于網絡安全工作。

多年來，安全專家一直警告稱，人們不應該將Telegram視為真正的安全消息應用。鑒于杜羅夫最近的言論，實際情況可能比專家預想的還要糟糕。   

參考鏈接：https://techcrunch.com/2024/06/24/experts-say-telegrams-30-engineers-team-is-a-security-red-flag/