Durov: Telegram verstrekte dit jaar al duizenden keren data aan autoriteiten
Telegram heeft dit jaar al duizenden keren gegevens over gebruikers aan autoriteiten verstrekt, zo heeft Telegram-oprichter Pavel Durov laten weten. Alleen in India, wat volgens Durov de grootste markt van de chatdienst is, werd er al aan zevenduizend dataverzoeken gehoor gegeven. In Brazilië werd er in de eerste drie kwartalen van dit jaar in totaal tweehonderd keer data aan de autoriteiten verstrekt.
Durov stelt ook dat er sinds het derde kwartaal van dit jaar een toename van het aantal dataverzoeken in de Europese Unie is. Deze toename is volgens de Telegram-oprichter te verklaren doordat EU-autoriteiten de juiste communicatielijn voor hun verzoeken gebruiken. "Informatie over dit contactpunt was sinds begin dit jaar voor iedereen die de Telegram-website bekeek of googelde op "Telegram EU address for law enforcement" publiek beschikbaar."
"Om verwarring te voorkomen, hebben we vorige week ons privacybeleid in verschillende landen gestroomlijnd en verenigd. Onze kernprincipes zijn nog steeds hetzelfde. We hebben altijd gestreefd naar het naleven van relevante lokale wetten, zolang die niet in strijd zijn met onze waarden van vrijheid en privacy", gaat Durov verder. Die stelt ook dat Telegram al sinds 2018 ip-adressen en telefoonnummers van criminelen aan autoriteiten verstrekt, zoals vermeld in het privacybeleid in de meeste landen.
"Telegram was ontwikkeld om activisten en normale mensen tegen corrupte overheden en bedrijven te beschermen. We staan niet toe dat criminelen ons platform misbruiken om justitie te ontlopen", besluit Durov zijn bericht op Telegram. Waar veel bedrijven met publiek toegankelijke transparantierapporten werken, maakt Telegram hiervoor gebruik van een bot die alleen via Telegram is te gebruiken. Daarbij wordt alleen een overzicht verstrekt voor het land waarin een gebruiker zich bevindt.
https://tweakers.net/nieuws/226826/oekraine-bant-telegram-bij-overheidsdiensten-leger-en-kritieke-infrastructuur.html
Los hiervan is Telegram naar mijn inziens uberhaupt niet te vertrouwen:
Telegram probeert zich constant te profileren als private en encrypted messenger. Het niet overgeven aan het repressieve regime van Rusland wordt hier ook graag in gebruikt. (En Durov lijkt niet eens op zo'n sleche voet met het Kremlin te staan: https://kyivindependent.com/opinion-examining-telegram-founder-pavel-durovs-alleged-ties-to-the-kremlin/).
Durov zou Telegram hebben opgericht om veilig te kunnen communiceren zonder dat Rusland meeluistert. Op dat moment was er al een strijd rondom Vkontakte. Je zou denken dat wanneer de Russische overheid en geheime dienst een factor is, dat er dan daarom ook een veilige en goed versleutelde messenger ontwikkeld wordt. Er zijn echter veel keuzes gemaakt waaruit blijkt dat privacy en encryptie helemaal niet zo belangrijk zijn.
Dat Telegram end-to-end versleuteling niet standaard is en niet mogelijk is in groepschats is al redelijk goed bekend, maar wel heel frappant gezien de achtergrond. Daarnaast zijn de secret chats ook niet bepaald duidelijk te vinden, en moet de ontvanger op hetzelfde moment online zijn om deze te activeren. Naast dat de Secret Chats niet multiple device zijn, zijn ze ook te starten vanaf Desktop/Web, alleen vanaf de telefoon app. Terwijl je wel meerdere Secret Chats met 1 contact kunt opzetten vanaf de telefoon. Op de telefoon kun je ook niet instellen dat de inhoud van de Secret Chat berichten zichtbaar zijn in pushmeldingen. Al met al zijn de Secret Chats niet bepaald gebruiksvriendelijk, waardoor ze nog minder gebruikt zullen worden.
Los daarvan is er vanuit cryptographie experts flink wat commentaar op het protocol van Telegram. De vraag is dus of de end-to-end encryptie uberhaupt wel zo veilig is.
Daarnaast heeft Telegram meer opvallende keuzes gemaakt. Wanneer je toegang geeft tot je contacten, worden de telefoonnummers en volledige namen opgeslagen op de servers van Telegram. Dit zou nodig zijn om een notificatie te kunnen geven dat een contact nu ook Telegram gebruikt. Een aparte keuze om deze gegevens op te slaan in ruil voor alleen een notificatie in geval van een messenger die zo privé zou zijn. Los van het feit dat het niet eens nodig is. Signal bijvoorbeeld stuurt alleen SHA256 hashes van telefoonnummers naar de server. Nadat terug gekregen is welke hiervan Signal gebruiken, zal de app lokaal een notificatie maken met hierin de naam van het contact. De server hoeft de naam dus helemaal niet te weten.
Met de Nearby feature van Telegram kun je mensen in jouw buurt zien die dit aan hebben gezet, met een globabale afstand erbij. Deze feature kan misbruikt worden dmv triangulation, om de exacte locatie van de personen te vinden. Telegram vond dit geen security issue en heeft het niet opgelost:
https://www.androidpolice.com/2021/01/05/telegrams-people-nearby-feature-reveals-exact-user-locations-through-triangulation/
In de default settings van Telegram kan iedereen je profiel en profielfoto zien. Gecombineerd met de Nearby feature en triangulation is dat een paradijs voor stalkers en andere kwaadwillenden.
De Nearby feature dien je wel zelf aan te zetten, maar ook zonder deze feature kun je zo een deel van een username zoeken en zie je alle profielen die daaraan matchen.
Default kan ook iedereen doorgestuurde van jou zien. Stel jij stuurt een bericht naar Jan, en Jan stuurt die door naar Pietje of naar een groep. Dan zien die dat het bericht oorspronkelijk van jou afkomstig is, en met de default settings kunnen ze ook gelijk je profiel zien.
Meer info met bronvermeldingen is hier te vinden:
https://h3artbl33d.nl/blog/heliography-in-darkness
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.