Незалежна експертиза підтвердила: "Телеграм" передає у відкритому виді ідентифікатори пристроїв
Компанія Symbolic Software, яка спеціалізується на кібербезпеці і працює з такими клієнтами, як Zoom, Mozilla і Coinbase, перевірила торішнє розслідування "Важних историй" про зв'язок "Телеграму" з ФСБ - і підтвердила: уразливість реальна, пише Роман Анін.
Суть проблеми технічна, але наслідки - цілком конкретні. При передачі даних месенджер надсилає у мережу незашифрований заголовок із унікальним ідентифікатором пристрою auth_key_id. Цей ідентифікатор не змінюється між сесіями, при зміні IP-адреси, мережі чи географічного розташування. Будь-хто з доступом до трафіку - інтернет-провайдер, мережевий адміністратор, державна система стеження - може пасивно збирати ці ідентифікатори і будувати базу даних: де конкретний пристрій з'являвся за останні місяці, які пристрої підключалися з однієї точки в один час. Складних атак типу "людина посередині" для цього не потрібно.
Особливу вагу цьому висновку надає те, ким і навіщо була замовлена експертиза. Ініціатором її проведення, судячи з усього, був Владімір Веденєєв - один із головних фігурантів розслідування. У 2025 році журналісти з'ясували, що Веденєєв кілька років обіймав посаду фінансового директора "Телеграму", мав довіреності від компанії і Павла Дурова, а також обслуговує значну частину мережевої інфраструктури месенджера по всьому світу. Його колишня російська компанія в рамках секретного держконтракту обслуговує оперативно-розшукові комплекси ФСБ. І - за власним визнанням Веденєєва - за ним закріплений спеціальний куратор зі спецслужби, якому він передає інформацію: "Вони кажуть: нам потрібен такий-то айпішнік. Ми швидко їм відповідаємо".
Веденєєв, схоже, розраховував, що незалежні експерти спростують технічні висновки тексту. Натомість вони їх підтвердили. Тепер ця експертиза фігурує в матеріалах швейцарського суду - де Веденєєв судиться з автором розслідування Романом Аніним, вимагаючи видалити інтерв'ю, в якому сам зізнався у співпраці з ФСБ. Не оспорюючи при цьому жодного твердження по суті.
Symbolic Software формулює висновок прямо: це не технічна недоробка, а "фундаментальна відмова "Телеграму" від захисту приватності користувачів за допомогою сучасних криптографічних механізмів". Рішення очевидне - впровадити обов'язкове транспортне шифрування, яке вже давно застосовують усі великі месенджери. Технічно це нескладно і майже не впливає на швидкість роботи сервісу. "Телеграм" цього не зробив.
Представник месенджера Ремі Вонг - людина без фотографій і без будь-яких слідів в інтернеті - прислав редакції відповідь: auth_key_id нібито регулярно змінюється, Веденєєв і GNM не пов'язані з ФСБ, а з 2021 року не надають "Телеграму" послуг у дата-центрах із даними російських та європейських користувачів. Щодо того, чи відповідає це дійсності, - Анін лаконічний: питання віри.
