中国评论新闻
或许是因为生活阻碍了他去看世界的心,所以更多的时候他还是通过手机了解外面,就好像现在很多人通过抖音了解更多美好的事情。
关于一家运营主流诳骗方法的公司,究竟该配备若干工程师?原标题:首创东说念主自曝:30名工程师撑起9亿用户外交帝国!却引安全大师叱咤:太不拿安全当回事了
整理 | 屠敏
近段时期,民众著名的跨平台即时通讯软件 Telegram(非崇敬简称 TG、电报、纸飞机)被推向风口浪尖,缘由是其首创东说念主 Pavel Durov 在采访时涌现,「通盘公司只消 30 名工程师,莫得东说念主力资源(HR) 部门,就连公司唯独的居品司理,亦然 Pavel Durov 本东说念主担任。」
本是通俗一句先容公司里面单干的语言,却让他始料而未及的是,此话一出,外界的安全大师们心焦了,纷纷斥责 Telegram,认为他们仅部署这样一些东说念主无疑是在刺激收罗袭击者们,致使直言:这是一个危急的信号、简直是“安全恶梦”。
民众第三大受迎接的聊天软件、用户量超 9 亿的 Telegram
之是以如斯挂念,主如果因为 Telegram 名气太大,用户太多。
据 SimilarWeb 发布的《2023 年民众最受迎接的聊天诳骗方法禀报》自大,Telegram 是继 WhatsApp、Facebook Messenger 之后,排在民众第三的聊天诳骗方法。
图源:https://www.similarweb.com/blog/zh/research/market-research/worldwide-messaging-apps/
同期据《金融时报》报说念,Telegram 于本年三月已达成数亿好意思元营收,并领有超 9 亿用户。
对比之下,国内于 2011 年推出的微信,如今在成为国民级诳骗方法之际,据腾讯 2024 年第一季度的财务禀报自大,微信及 WeChat 的吞并月活跃账户数目已接近 14 亿。而 Telegram 自 2013 年推出以来发展到 9 亿用户量,可见其发展速率也并不慢。数据自大,这款即时通讯诳骗装置量最多的国度分辩是印度、印度尼西亚和俄罗斯。
正因此,复古这样大体量的软件,Pavel Durov 自曝里面工程师数目,也让东说念主为里面的防护才略以及安全性握把汗。
不外,在 Pavel Durov 本东说念主看来,他似乎并不挂念公司只雇佣了 30 名工程师,因为他认为这是团队里面“超等高效”的体现。从 Telegram 发展的经由中,也不出丑出他一直有有余的「手艺」底气。
“俄罗斯版的马克·扎克伯格”
在外媒的报说念中,大多数齐会以「俄罗斯版的马克·扎克伯格(Facebook 首创东说念主)」来状貌 Pavel Durov,因为他以特有的着装作风而有名,他只穿“玄色”。
Pavel Durov(图源:维基百科)
相同,Pavel Durov 亦然在读大学时期,野心了一款受迎接的论坛 spbgu.ru。自后,天然亦然看到了 Facebook 的日渐流行,萌发了创建一个俄罗斯外交收罗的念念法,并将其付诸步履,基于 spbgu.ru 推广,将新创建的步地定名为 VKontakte,简称 VK,在俄语中有“保持关联”的真理。
在创建经由中,VK 诱骗了获取海外数学和编程竞赛冠军、亦然 Pavel Durov 的哥哥 Nikolai Durov 的加入,担任这家初创公司的 CTO。两兄弟共同竭力于达成一个主见,即为俄罗斯收罗打造一个更快、更好的 Facebook 版块。
很快,VK 领有 Facebook 用户所谨慎的系数功能,包括用户贵府、径直音讯、发布内容的空间,以及最病笃的用户个东说念主信息展示。由于当先的大学论坛 spbgu.ru 只消收到其他用户的邀请能力使用,但跟着 VK 飞快流行起来,该诳骗取消了邀请条目,其用户数目运转飙升。
不到一年的时期,VK 就打败了竞争敌手 Odnoklassniki,成为俄罗斯最受迎接的外交收罗,用户群达到 100 万。
然则,Pavel Durov 达成手艺乌托邦梦念念的说念路并不老是一帆风顺。到 2010 年,VK 的用户已向上一亿,其等闲的影响力引起了俄罗斯政府的注重。
2011 年 12 月,一波抗议海浪席卷世界,反对议会选举效用。为了补救步地,联邦安全局条目 VK 关闭使用该网站协联书册聚抗议步履的群组和页面。Pavel Durov 在禀报了他们的条目时,发布了一张衣着连帽夹克的狗吐舌头的相片。
最终,Pavel Durov 因为对峙保证外交收罗信息的守秘性原则,被动将手头剩余的 12% 股份卖给了俄罗斯收罗资讯供应商 Mail.ru,辞去了 CEO 一职,离开了俄罗斯。
此次的离开,也培育了 Telegram 的崛起。
Telegram 的崛起
离开俄罗斯短短几个月后,2013 年 8 月,Pavel Durov 灵机一动,推出了加密聊天奇迹 Telegram。
据报说念,Pavel Durov 在 VK 被收购后带着 3 亿好意思元离开了俄罗斯,他用了这笔钱为 Telegram 步地提供了资金和基础设施。他的兄弟 Nikolai Durov 依然专注于编码,并创建了 MTProto 左券,这是该通讯奇迹的基础。
MTProto 挪动左券 开始:Telegram
有了之前的创业阅历,Telegram 发展得很快,该奇迹于 2013 年 8 月 14 日在 iOS 上推出,并于 2013 年 10 月 20 日在 Android 上推出。
随后接踵带来 Bot API(机器东说念主)、频说念、超等群组、端到端加密的微妙聊天功能、 Passport、视频通话等多种功能。
2021 年,由于 WhatsApp 书记更新其阴私计策,同期条目用户允许与母公司 Facebook 分享数据时,Telegram 手脚强有劲的备选,诱骗了更多用户的使用。其时稀有据统计,2021 年 1 月,Telegram 用户冲破 5 亿;到了 2021 年 8 月底,民众下载量曾经达 10 亿次,2022 年 6 月,Telegram 的用户量冲破 7 亿。
堪称民众没东说念主能监控的聊天软件
Telegram 的得胜,不仅靠竞争敌手的周密,也有自己的实力。以 Nikolai Durov 为 Telegram 创建的 MTProto 左券来看,它不错达成一双一的聊天提供端对端加密,加密模式是基于 256 位对称 AES 加密,RSA 2048 的加密和 Diffie-Hellman 的安全密钥交换左券。
其时为了考证我方的安全性过硬,Telegram 每年齐会组织了一场安全性的竞赛,倘若有东说念主发现微妙聊天达成中的潜在缝隙,就奖励 10 万好意思金。
阐发 Telegram 官方更新的发展历程来看,这样多年来,似乎只消在 2013 年 12 月,也等于 Telegram 缔造确夙昔,有过一个东说念主拿到过这笔奖金。
其时 Telegram 示意:
habrahabr 用户x7mz发现,如果 Telegram 奇迹器被坏心第三方畛域,它不错向参与微妙聊天的每个客户端发送不同的立地数。
引入这些立地数是为了为微妙聊天密钥增多更多立地性,主如果因为挪动开拓上的立地生成器可能存在未被发现的缝隙。
正如有东说念主指出的那样,这种管制决议还不错在中间东说念主袭击的情况下,使分享密钥的可视化示意完全疏浚--前提是这种袭击是由被夺取的奇迹器践诺的。显豁,该奇迹器一直处于 Telegram 的畛域之下,因此这种表面上的胁迫从未有契机达成。
wap.kaptendomino.xyz
开始:https://telegram.org/blog/crowdsourcing-a-more-secure-future
收罗大师质疑
话虽如斯,安全大师照旧持质疑立场,他们认为 Telegram 默许不启用端到端加密,导致用户必须启动“微妙聊天”能力启用端到端加密,这样 Telegram 或除预期收件东说念主除外的任何东说念主齐无法读取音讯。此外,多年来,很多东说念主对 Telegram 加密的安全性示意怀疑,因为该公司使用我方的专有加密算法。
天然 Pavel Durov 曾经在 2017 年发文关于《为什么 Telegram 不默许启用端到端加密》作念出一些禀报(https://telegra.ph/Why-Isnt-Telegram-End-to-End-Encrypted-by-Default-08-14),其示意:
像 WhatsApp、Viber 和 Line 这些受迎接的诳骗,它们依赖 Apple iCloud 和 Google Drive 去存储用户的历史音讯。这些备份音讯不是端对端加密并在复原时解密的。天然看起来,手脚一个用户不错摆脱遴选烧毁备份音讯,但在践诺中这险些是不可能的,即使你遴选刊出,和你聊天的东说念主可能不会。
这将产生一种情况,当你发送和罗致的音讯在云霄存储时莫得端对端加密,你也莫得判辨到它。你对信得过的端到端的加密和备份零透明度。你依赖端到端的加密况兼笃信“莫得第三方不错探员我的信息”,但你的私东说念主数据骨子上是容易受到黑客的入侵,比如从云霄存储中找到它。
比较之下,Telegram 不但愿用户将聊天数据放到第三方备份,也不念念褫夺咱们用户在其他同类软件中享受的功能。是以经过一些商议,咱们决定推出两种聊天方式——加密聊天和云聊天。
加密聊天是端对端的加密聊天,不成备份聊天纪录。云聊天亦然遴选端对端的加密,但有内置的备份,云聊天是为大多数用户野心的,与小众方法不同的是,云聊天用户,和 Telegram 上的加密聊天用户之间的流量是混杂的,两种情况的加密方式疏浚,只是在云聊天中咱们的奇迹器不错探员加密秘钥,这样用户使用加密聊天的事实不会被泄漏。
1)与 WhatsApp 不同,咱们不会将用户的数据发送给第三方。相背,咱们依赖于咱们我方的漫衍跨区域加密云存储,认为这比放在 Google 和 Apple 更安全。Telegram 迄今为止,莫得涌现任何云霄信息给第三方。
2)与 WhatsApp 不同,由于咱们内置了云同步功能,用户不错立即从多开拓上同步探员历史音讯,因此用户不错在 Mac、PC、iPad 致使 Linux 奇迹器上感受到通俗况兼一致的用户体验。
3)与 WhatsApp 不同的是,你无谓在土产货存储系数历史音讯,在你需要时随时不错从收罗险峻载历史音讯和媒体信息,这直快了多数磁盘空间和内存占用,这关于咱们发展阛阓用户荒谬病笃,在 Telegram 上,土产货存储空间的不及,恒久齐不会导致信息的丢失。
4)与 WhatsApp 不同的是,Telegram 省略为用户提供高档功能,举例永久的群组聊天最多不错有 10000 个用户成员,和不截止大小的频说念(channel),这些手艺无法在“端对端加密+第三方备份”的模式下达成,咱们的道路图是和 WhatsApp 这种过期的架构不同的。
这是咱们为什么最终遴选更安全的“两种聊天方式”(Telegram 云存储比 Apple/Google 存储有更好的保护),更透明(不错看到你的哪些端对端加密的音讯存在云霄,哪些莫得)和更多的丰富功能(咱们不错达成上头提到的功能,以及更多的功能)。咱们笃信,从长久来看,咱们的“两种聊天”方式更专门旨,这等于 Kakao(2014)、Line(2015)以及 2016 年 Google Allo和 Facebook Messenger 复制的原因。这些公司作念了我方的商议,讲授 Telegram 的方式更具可推广性,安全性和透明度。
不外,据 Techcrunch 报说念,约翰霍普金斯大学密码学大师 Matthew Green 示意:“如果莫得端到端加密、多数易受袭击的主见...这似乎将是一场安全恶梦。”
电子前沿基金会 (EFF) 收罗安全总监 Eva Galperin 在领受采访时也指出,“与 Signal 不同,Telegram 不单是是一款音讯诳骗方法,它照旧一个外交媒体平台。手脚一个外交媒体平台,它领有多数用户数据。”
Galperin 补充说说念,「“三十名工程师”意味着莫得东说念主不错抵御法律条目,也莫得处理亏蚀和内容审核问题的基础设施。如果我是又名黑客,我细则会认为这是令东说念主饱读励的音讯。每个袭击者齐心爱东说念主手严重不及、职责过度的敌手。」
那么,关于一家运营主流诳骗方法的公司,究竟该配备若干工程师?
上周,著名收罗安全大师 SwiftOnSecurity在 X 上撰文称,“运营一家领有系数正确收罗安全器具和职工的公司,其资本完全是高得离谱的......”。
关于这一见地,有网友示意,“不快活。这不是资本问题,而是才略问题。在我上一个方位,咱们系数有 50 东说念主,其中 2 东说念主是 IT 东说念主员,况兼完全适合 SOC2、GDPR、HIPAA 规范。CIS 前 20 名。每年进行浸透测试等。预算很少,多数使用开源软件。莫得发生任何事故。”
也有东说念主称,「我一直在恭候首席财务官们说 "够了"。但这还莫得发生。在某少许上,太多的利润酿成了运营支拨,落入了安全公司的腰包。」
终末中国评论新闻,你若何看待 Telegram 只消 30 名工程师?一家公司到底若干工程师来复古才有余?
