Telegram’ın kurucusu Pavel Durov’un son röportajında şirketin yalnızca 30 mühendisle çalıştığını açıklaması, güvenlik uzmanları arasında endişe yaratıyor.
Durov, bu durumu “süper verimlilik” olarak nitelendirirken, uzmanlar bu durumun kullanıcılar için bir risk oluşturabileceği görüşünde.
Durov’un bu açıklaması, aşırı sağ görüşlü Tucker Carlson ile yaptığı ve geçtiğimiz hafta sonu X’te (eski adıyla Twitter) kısmen viral olan bir röportajda ortaya çıktı.
The cost to run a company that has all the right cyber security tools and staff is absolutely obscene. It’s hard to describe the numbers I’ve seen. Even saying this is a gray area. But it is incredible headcount and spend. Non-keystone companies have no chance in normal paradigm.
— SwiftOnSecurity (@SwiftOnSecurity) June 18, 2024
Siber güvenlik araçlarına ve personeline sahip bir şirket yönetmenin maliyeti kesinlikle çok yüksek. Gördüğüm rakamları ise tarif etmek çok zor. Bunun gri bir alan olduğunu söylemek bile oldukça güç. Ama inanılmaz bir personel sayısı ve harcaması var. Kilit taşı olmayan şirketlerin normal paradigmada hiç şansı yok.
Telegram’ın şifreleme yöntemleri ve kullanıcı verileri mercek altında
Johns Hopkins Üniversitesi’nden kriptografi uzmanı Matthew Green, Telegram’ın uçtan uca şifreleme varsayılan olarak etkin olmaması ve sunucularının BAE’de bulunması nedeniyle güvenlik açısından bir kabus olabileceğini belirtiyor. Green ayrıca, Telegram’ın kendi geliştirdiği ve Durov’un kardeşinin yarattığı özel bir şifreleme algoritmasını kullanmasının da güvenlik endişelerini artırdığını ifade ediyor.
Telegram’ın Signal veya WhatsApp gibi uçtan uca şifrelemeyi varsayılan olarak sunmaması, kullanıcıların özel mesajlarının Telegram tarafından okunabilmesi anlamına geliyor. Bu durum, özellikle hassas bilgilerin paylaşıldığı platformlarda büyük bir risk oluşturuyor. Telegram kullanıcılarının uçtan uca şifrelemeyi etkinleştirmek için “Gizli Sohbet” başlatması gerekiyor.
Interesting Telegram operating details in this interview with founder Pavel Durov:
— ~1 billion users
— Never ran an ad
— Only 30 full-time employees
— He’s the sole director, equity holder and product manager (works directly with every engineer and designer)
— No HR (he… pic.twitter.com/NvYZBEBC70— Trung Phan (@TrungTPhan) April 18, 2024
Telegram: Sadece bir mesajlaşma uygulamasından fazlası
Electronic Frontier Foundation’dan siber güvenlik uzmanı Eva Galperin, Telegram’ın sadece bir mesajlaşma uygulaması değil, aynı zamanda bir sosyal medya platformu olduğunu ve bu nedenle çok miktarda kullanıcı verisine sahip olduğunu vurguluyor. Galperin’e göre, Telegram’ın sınırlı sayıda mühendisi, hukuki taleplerle mücadele, kötüye kullanımla başa çıkma ve içerik moderasyonu gibi konularda yetersiz kalabilir. Özellikle uçtan uca şifrelenmemiş tüm iletişimlerin içeriği Telegram’ın elinde bulunuyor.
Telegram’ın büyüklüğü ve kullanıcı sayısı düşünüldüğünde, güvenlik ve içerik moderasyonu konularına daha fazla kaynak ayırması beklenirdi. Ancak Durov’un açıklamaları, şirketin bu konularda yeterince yatırım yapmadığını gösteriyor. Galperin ayrıca Telegram’ın 30 mühendisinin kalitesini de sorguluyor.
Lemme guess, none of these 30 staff include privacy or compliance people, and zero third-party audit is ever done to review potential security controls restricting access to users' data. "Please trust us" is not how security works. https://t.co/w7PBkU0TJR
— JP Aumasson (@veorq) June 22, 2024
Siber saldırı riski ve uzmanların uyarıları
Galperin, Telegram’ın sınırlı sayıda mühendisle çalışmasının siber saldırganlar için de teşvik edici bir haber olabileceğini belirtiyor ve özellikle devlet destekli saldırganların bu durumu fırsat olarak görebileceği konusunda uyarıyor. Telegram’ın bu konuda yorum taleplerine cevap vermemesi ve şirket bünyesinde bir güvenlik şefinin olup olmadığı veya kaç mühendisin tam zamanlı olarak platformun güvenliği üzerinde çalıştığına dair soruları yanıtsız bırakması da endişeleri artırıyor.
Telegram’ın kripto para kullanıcıları, aşırılık yanlıları, hackerlar ve dezenformasyon yayıcıları gibi farklı gruplar tarafından yoğun olarak kullanılması, platformu siber saldırılar için cazip bir hedef haline getiriyor. Bu nedenle, şirketin siber güvenlik konusunda daha fazla önlem alması ve kaynak ayırması bekleniyor. Geçtiğimiz hafta, tanınmış siber güvenlik uzmanı SwiftOnSecurity, doğru siber güvenlik araçlarına ve personeline sahip bir şirketi işletmenin maliyetinin “son derece fahiş” olduğunu ve “inanılmaz bir personel sayısı ve harcama” gerektirdiğini belirtti.
Telegram’ın güvenlik açıkları: Geçmişten günümüze
Geçmişte de güvenlik uzmanları, Telegram’ın tamamen güvenli bir mesajlaşma uygulaması olarak görülmemesi konusunda uyarılarda bulunmuştu. Durov’un son açıklamaları ise bu endişeleri daha da artırıyor gibi görünüyor. Durov’a göre Telegram’ın yaklaşık bir milyar kullanıcısı bulunuyor ve bu da onu hem suçlular hem de devlet destekli hackerlar için son derece ilgi çekici bir hedef haline getiriyor.
Getir, yeni yatırımlarla yeniden yapılanmaya gidiyor
Telegram, kullanıcı sayısını artırmaya devam ederken, güvenlik konusunda daha şeffaf ve proaktif bir yaklaşım benimsemesi gerekiyor. Aksi takdirde, platform siber saldırılara karşı daha savunmasız hale gelebilir ve kullanıcıların güvenini kaybedebilir.
Öne çıkan kaynak görseli: Christian Wiediger / Unsplash
