Telegram’ın Güvenlik Açıkları: Kullanıcılar için Ciddi Tehlikeler Bulunuyor

Hafta sonu, Telegram'ın kurucusu Pavel Durov ile yapılan bir röportajdan bir klip X'te (eski adıyla Twitter) viral oldu. Videoda Durov, Tucker Carlson'a şirketin tek ürün yöneticisinin kendisi olduğunu ve sadece “yaklaşık 30 mühendis” çalıştırdığını söylüyor.

Güvenlik uzmanları, Durov'un Dubai merkezli şirketinin “süper verimli” olduğunu övmesine rağmen, söylediklerinin kullanıcılar için aslında bir kırmızı bayrak olduğunu belirtiyor.

Johns Hopkins Üniversitesi'nde kriptografi uzmanı olan Matthew Green şunları söyledi: “Uçtan uca şifreleme olmadan, büyük sayıda savunmasız hedef ve BAE'de bulunan sunucular  bir güvenlik kabusu gibi görünüyor.” Öte yandan Telegram sözcüsü Remi Vaughn, şirketin BAE'de veri merkezi olmadığını belirterek bu iddiayı reddetti.

Green, Telegram'daki sohbetlerin varsayılan olarak Signal veya WhatsApp'ta olduğu gibi uçtan uca şifrelenmediği gerçeğine atıfta bulunuyordu. Bir Telegram kullanıcısının, mesajları Telegram veya hedef alıcı dışında kimsenin okuyamayacağı şekilde uçtan uca şifrelemeyi açmak için bir “Gizli Sohbet” başlatması gerekiyor. Ayrıca, yıllar boyunca birçok kişi, Telegram'ın şifreleme kalitesi konusunda şüpheler dile getirdi. Çünkü şirket, Carlson röportajının genişletilmiş versiyonunda Durov'un kardeşi tarafından oluşturulan kendi tescilli şifreleme algoritmasını kullanıyor.

Elektronik Sınır Vakfı'nın (Electronic Frontier Foundation) siber güvenlik direktörü ve risk altındaki kullanıcıların güvenliği konusunda uzun süredir uzman olan Eva Galperin, Telegram'ın Signal'den farklı olarak sadece bir mesajlaşma uygulaması olmadığını hatırlamanın önemli olduğunu söyledi.

“Telegram'ı farklı ve çok daha kötü kılan şey, Telegram'ın sadece bir mesajlaşma uygulaması olmaması, aynı zamanda bir sosyal medya platformu olmasıdır. Bir sosyal medya platformu olarak, büyük miktarda kullanıcı verisine sahip. Aslında, özel olarak uçtan uca şifrelenmemiş tüm iletişimlerin içeriğine sahip,” dedi Galperin. “‘Otuz mühendis’, yasal taleplerle mücadele edecek kimsenin olmadığı, kötüye kullanım ve içerik moderasyon sorunlarıyla başa çıkmak için altyapının bulunmadığı anlamına geliyor.” diye devam etti.

Galperin, “Ve bu otuz mühendisin kalitesinin de pek iyi olmadığını iddia edebilirim,” diye devam etti. “Ayrıca, bir tehdit aktörü olsaydım, bu kesinlikle teşvik edici haberler olarak kabul ederdim. Her saldırgan, aşırı az çalışanı ve aşırı çalışan bir rakibi sever.”

Telegram'ın sözcüsü, şirketin uygulamalar ve altyapı üzerinde çalışan 30 geliştiriciye sahip olduğunu doğruladı, ancak “çekirdek ekibinde” ek olarak 30 kişi daha olduğunu iddia etti. Sözcü, şirketin bir güvenlik şefi olup olmadığı ve mühendislerinin kaçının platformu güvence altına almak için tam zamanlı çalıştığı gibi spesifik sorularımızı yanıtlamadı.

Geçen hafta, tanınmış siber güvenlik uzmanı SwiftOnSecurity, X'te şunları yazdı: “Tüm doğru siber güvenlik araçlarına ve personele sahip bir şirketi yönetmenin maliyeti kesinlikle astronomik.”

“Gördüğüm rakamları tarif etmek zor. Bunu söylemek bile gri bir alan. Ancak inanılmaz bir çalışan sayısı ve harcama var,” diye yazdı SwiftOnSecurity.

Özetle, gezegendeki en büyük şirketler bile kendilerini güvence altına almak için yeterli para, zaman ve enerji harcamıyor olabilir. Durov'a göre Telegram'ın neredeyse bir milyar kullanıcısı var. Kripto alanında çalışan insanlar (milyonlarca dolar taşıyan), aşırılık yanlıları, bilgisayar korsanları ve dezenformasyon yayıcıları için en popüler platformlardan biri.

Yıllardır güvenlik uzmanları, Telegram'ın gerçekten güvenli bir mesajlaşma uygulaması olarak görülmemesi gerektiği konusunda uyarıda bulunuyor. Durov'un son zamanlarda söylediklerine bakılırsa, durum uzmanların düşündüğünden bile daha kötü olabilir.

İlginizi çekebilir: Telegram Kullanıcıları İçin Yeni Özellik: TelegramStoryConfirm

Yetersiz Şifrelee ve Az Sayıda Mühendis: Telegram Kullanıcılarının Bilinçlenmesi ve Alternatif Güvenlik Yöntemleri

Matthew Green ve Eva Galperin gibi güvenlik uzmanları, Telegram'ın şifreleme yöntemlerinin ve genel güvenlik uygulamalarının yetersiz olduğunu vurguluyor. Telegram, Signal ve WhatsApp gibi uçtan uca şifreleme sunmuyor; kullanıcıların bu güvenlik özelliğini manuel olarak etkinleştirmesi gerekiyor. Ayrıca, Telegram’ın tescilli şifreleme algoritmasının kalitesi de sorgulanıyor.

Matthew Green ve Eva Galperin gibi güvenlik uzmanları, Telegram'ın şifreleme yöntemlerinin ve genel güvenlik uygulamalarının yetersiz olduğunu vurguluyor. Telegram, Signal ve WhatsApp gibi uçtan uca şifreleme sunmuyor; kullanıcıların bu güvenlik özelliğini manuel olarak etkinleştirmesi gerekiyor. Ayrıca, Telegram’ın tescilli şifreleme algoritmasının kalitesi de sorgulanıyor.

Telegram’ın aynı zamanda bir sosyal medya platformu olması, büyük miktarda kullanıcı verisi toplamasına yol açıyor. Bu veriler, kötü niyetli aktörler için cazip bir hedef haline geliyor. Şirketin yalnızca 30 mühendisle çalışıyor olması, yasal taleplerle mücadele edecek veya içerik moderasyonunu yönetecek yeterli kaynağa sahip olmadığı anlamına geliyor. Bu durum, platformun güvenlik açıklarına karşı savunmasız kalmasına neden oluyor.

SwiftOnSecurity'nin belirttiği gibi, yeterli siber güvenlik önlemlerine sahip olmanın maliyeti çok yüksek. Telegram, dünya çapında neredeyse bir milyar kullanıcıya sahip olmasına rağmen, siber güvenliğe yeterli yatırım yapmıyor gibi görünüyor. Bu, platformu hem suçlular hem de hükümet bilgisayar korsanları için çekici bir hedef haline getiriyor.

Sonuç olarak, Telegram kullanıcıları, platformun güvenlik açıklarının farkında olmalı ve hassas bilgiler paylaşırken dikkatli olmalı. Uçtan uca şifrelemeyi etkinleştirmek ve alternatif güvenli mesajlaşma uygulamaları düşünmek, kullanıcıların güvenliğini artırabilir. Telegram’ın güvenlik konusunda daha fazla yatırım yapması ve şeffaflık sağlaması gerekiyor. Aksi takdirde, kullanıcı güvenliği ciddi şekilde tehlikede olmaya devam edecek.