Is Telegram nog wel veilig? Imago chatapp krijgt deuken
Lang werd Telegram gezien als een van de meest veilige chatapps die er zijn. Dat imago krijgt echter deuken nadat een interviewopname met Telegram-oprichter Pavel Durov afgelopen weekend rondging op X.
Van Russische oorsprong
Telegram staat al lang te boek als een veilige berichtendienst. De dienst werd in 2013 opgericht door twee broers: Nikolaj en Pavel Durov. Eerder richtten zij VK op, dat vandaag het grootste sociale netwerk in Rusland is. Volgens de app zijn er geen banden met het Russische sociale media, maar dat wordt betwist. Door een ingewikkelde structuur is het moeilijk om te bepalen waar de app precies aan vasthangt. Nadelig voor de betrouwbaarheid, zou men zeggen. Toch voert Telegram die ingewikkelde juridische structuur aan als een voordeel: voor overheden is het namelijk moeilijk om klachten in te dienen of berichten in te willen kijken als die niet weten waar ze moeten zijn. De keerzijde is natuurlijk dat autoriteiten ook maar moeilijk zicht krijgen op het beleid bij Telegram. Er kan dus niet gecontroleerd worden of de app zich wel aan alle privacywetten houdt.
30 werknemers
Of Telegram aanzien mag worden als veilige berichtenapp, zal dus grotendeels afhangen van wie je het vraagt. Privacy-experts die het interview met Pavel Durov op X zagen, zullen Telegram niet snel veilig noemen. In het interview met Tucker Carlson pocht Durov dat zijn bedrijf, dat sinds 2017 vanuit Dubai opereert, “superefficiënt” is. Dat moet wel, want Telegram heeft “ongeveer 30 ingenieurs” in dienst. De enige productmanager in dienst is Pavel Durov zelf. Dat werpt ernstige vragen op over de veiligheid van het platform.
Ook op vlak van cyberveiligheid baart de lage headcount bij Telegram zorgen: meeste techbedrijven geven grote bedragen uit aan veiligheid. Alles wijst erop dat Telegram, dat chatdiensten levert aan bijna een miljard gebruikers, dat niet in diezelfde mate doet. Dat zou het platform kwetsbaar maken voor hackers.
Bij Telegram zelf gaan ze er prat op dat die 30 ontwikkelaars experts zijn in hun veld, waardoor ze sneller kunnen reageren als er iets misgaat. In een reactie aan TechPulse laat Telegram nog weten dat het kernteam in totaal uit ongeveer 60 werknemers bestaat, en dat er daarnaast ook aparte teams voor contentmoderatie en het opsporen van misbruik bestaan. Hoe groot deze teams zijn, krijgen we echter niet te horen.
Eind-tot-eindversleuteling
Ook op andere vlakken doet Telegram het minder goed dan gedacht. Lang werd bijvoorbeeld aangevoerd dat de app, als een van de enigsten, gesprekken met eind-tot-eindversleuteling aanbood. Een aantal jaren geleden hield die uitspraak nog steek, maar vandaag kan ze niet overeind blijven. Meta doet het met apps als WhatsApp of Messenger veel beter: daar zijn gesprekken standaard versleuteld. Dat is bij Telegram niet het geval: daar moet je de versleuteling handmatig gaan instellen, al zijn veel gebruikers daarvan niet op de hoogte.
Ook over het algoritme dat Telegram gebruikt om chats te versleutelen, bestaan twijfels. Het bedrijf gebruikt geen algoritme dat algemeen gekend is. In plaats daarvan werd het versleutelingsalgoritme bedacht door Nikolaj Durov, een van de oprichters van de app. Dat algoritme heeft de nodige toetsen nog niet doorstaan. Zelf áls Telegram-chats versleuteld zijn, is dus niet helemaal zeker dat ze goed afgeschermd zijn.
Met andere woorden: met meeste chats die via Telegram verstuurd worden, zijn in principe leesbaar voor het bedrijf. Dat geldt voor het merendeel van de berichten, die niet versleuteld zijn, en mogelijk ook voor de berichten die wél versleuteld verstuurd worden. De app zit dus op heel wat gebruikersinformatie. Voor Eva Galperin, directeur cybersecurity bij de Electronic Frontier Foundation, is dat voldoende reden om Telegram niet louter als chatapp te bekijken, maar als sociaal medium. “Als ik een hacker was, zou ik dit nieuws zeker aanmoedigend vinden”, zegt Galperin nog.
Het baart onderzoekers verder zorgen dat gebruikersdata uit chats opgeslagen wordt op servers in de Verenigde Arabische Emiraten. Wat dat betreft kunnen gebruikers volgens het platform gerust zijn: volgens een woordvoerder staan er geen Telegram-servers in de Verenigde Arabische Emiraten, waardoor er geen data kan worden opgeslagen. Waar de servers dan wel staan, vertelt het bedrijf er niet bij. Wie Telegram gebruikt uit privacy- of veiligheidsoverwegingen, doet er dus goed aan om de app opnieuw te evalueren.
Update 26/06: Dit artikel werd bijgewerkt met informatie die we per mail ontvingen van Telegram. Deze informatie heeft betrekking tot de serverlocaties en de precieze samenstelling van het team.