青青青久草,四虎永久在线精品,二区免费视频,一级毛片在线直接观看,黄网在线免费观看,美女露全身永久免费网站,色婷婷六月桃花综合影院

原標(biāo)題：創(chuàng)始人自曝：30名工程師撐起9億用戶社交帝國！卻引安全專家怒斥：太不拿安全當(dāng)回事了

整理 | 屠敏

近段時間，全球知名的跨平臺即時通信軟件 Telegram（非正式簡稱 TG、電報、紙飛機(jī)）被推向風(fēng)口浪尖，起因是其創(chuàng)始人 Pavel Durov 在采訪時透露，「整個公司只有 30 名工程師，沒有人力資源（HR） 部門，就連公司唯一的產(chǎn)品經(jīng)理，也是 Pavel Durov 本人擔(dān)任?！?/p>

本是簡單一句介紹公司內(nèi)部分工的話語，卻讓他始料而未及的是，此話一出，外界的安全專家們著急了，紛紛指責(zé) Telegram，認(rèn)為他們僅部署這么一些人無疑是在刺激網(wǎng)絡(luò)攻擊者們，甚至直言：這是一個危險的信號、簡直是“安全噩夢”。

全球第三大受歡迎的聊天軟件、用戶量超 9 億的 Telegram

之所以如此擔(dān)心，主要是因?yàn)?Telegram 名氣太大，用戶太多。

據(jù) SimilarWeb 發(fā)布的《2023 年全球最受歡迎的聊天應(yīng)用程序報告》顯示，Telegram 是繼 WhatsApp、Facebook Messenger 之后，排在全球第三的聊天應(yīng)用程序。

圖源:https://www.similarweb.com/blog/zh/research/market-research/worldwide-messaging-apps/

同時據(jù)《金融時報》報道，Telegram 于今年三月已實(shí)現(xiàn)數(shù)億美元營收，并擁有超 9 億用戶。

對比之下，國內(nèi)于 2011 年推出的微信，如今在成為國民級應(yīng)用程序之際，據(jù)騰訊 2024 年第一季度的財務(wù)報告顯示，微信及 WeChat 的合并月活躍賬戶數(shù)量已接近 14 億。而 Telegram 自 2013 年推出以來發(fā)展到 9 億用戶量，可見其發(fā)展速度也并不慢。數(shù)據(jù)顯示，這款即時通訊應(yīng)用安裝量最多的國家分別是印度、印度尼西亞和俄羅斯。

正因此，支撐這么大體量的軟件，Pavel Durov 自曝內(nèi)部工程師數(shù)量，也讓人為內(nèi)部的防御能力以及安全性捏把汗。

不過，在 Pavel Durov 本人看來，他似乎并不擔(dān)心公司只雇傭了 30 名工程師，因?yàn)樗X得這是團(tuán)隊(duì)內(nèi)部“超級高效”的體現(xiàn)。從 Telegram 發(fā)展的過程中，也不難看出他一直有足夠的「技術(shù)」底氣。

“俄羅斯版的馬克·扎克伯格”

在外媒的報道中，大多數(shù)都會以「俄羅斯版的馬克·扎克伯格（Facebook 創(chuàng)始人）」來形容 Pavel Durov，因?yàn)樗元?dú)特的著裝風(fēng)格而聞名，他只穿“黑色”。

Pavel Durov（圖源：維基百科）

同樣，Pavel Durov 也是在讀大學(xué)期間，設(shè)計了一款受歡迎的論壇 spbgu.ru。后來，當(dāng)然也是看到了 Facebook 的日漸流行，萌生了創(chuàng)建一個俄羅斯社交網(wǎng)絡(luò)的想法，并將其付諸行動，基于 spbgu.ru 擴(kuò)展，將新創(chuàng)建的項(xiàng)目命名為 VKontakte，簡稱 VK，在俄語中有“保持聯(lián)系”的意思。

在創(chuàng)建過程中，VK 吸引了獲得國際數(shù)學(xué)和編程競賽冠軍、也是 Pavel Durov 的哥哥 Nikolai Durov 的加入，擔(dān)任這家初創(chuàng)公司的 CTO。兩兄弟共同努力實(shí)現(xiàn)一個目標(biāo)，即為俄羅斯網(wǎng)絡(luò)打造一個更快、更好的 Facebook 版本。

很快，VK 擁有 Facebook 用戶所熟悉的所有功能，包括用戶資料、直接消息、發(fā)布內(nèi)容的空間，以及最重要的用戶個人信息展示。由于最初的大學(xué)論壇 spbgu.ru 只有收到其他用戶的邀請才能使用，但隨著 VK 迅速流行起來，該應(yīng)用取消了邀請要求，其用戶數(shù)量開始飆升。

不到一年的時間，VK 就擊敗了競爭對手 Odnoklassniki，成為俄羅斯最受歡迎的社交網(wǎng)絡(luò)，用戶群達(dá)到 100 萬。

然而，Pavel Durov 實(shí)現(xiàn)技術(shù)烏托邦夢想的道路并不總是一帆風(fēng)順。到 2010 年，VK 的用戶已超過一億，其廣泛的影響力引起了俄羅斯政府的注意。

2011 年 12 月，一波抗議浪潮席卷全國，反對議會選舉結(jié)果。為了挽救局勢，聯(lián)邦安全局要求 VK 關(guān)閉使用該網(wǎng)站協(xié)調(diào)和集會抗議活動的群組和頁面。Pavel Durov 在回應(yīng)了他們的要求時，發(fā)布了一張穿著連帽夾克的狗吐舌頭的照片。

最終，Pavel Durov 因?yàn)閳猿直ＷC社交網(wǎng)絡(luò)信息的保密性原則，被迫將手頭剩余的 12% 股份賣給了俄羅斯網(wǎng)絡(luò)資訊供應(yīng)商 Mail.ru，辭去了 CEO 一職，離開了俄羅斯。

這次的離開，也造就了 Telegram 的崛起。

Telegram 的崛起

離開俄羅斯短短幾個月后，2013 年 8 月，Pavel Durov 靈機(jī)一動，推出了加密聊天服務(wù) Telegram。

據(jù)報道，Pavel Durov 在 VK 被收購后帶著 3 億美元離開了俄羅斯，他用了這筆錢為 Telegram 項(xiàng)目提供了資金和基礎(chǔ)設(shè)施。他的兄弟 Nikolai Durov 依然專注于編碼，并創(chuàng)建了 MTProto 協(xié)議，這是該通訊服務(wù)的基礎(chǔ)。

MTProto 移動協(xié)議 來源：Telegram

有了之前的創(chuàng)業(yè)經(jīng)歷，Telegram 發(fā)展得很快，該服務(wù)于 2013 年 8 月 14 日在 iOS 上推出，并于 2013 年 10 月 20 日在 Android 上推出。

隨后相繼帶來 Bot API（機(jī)器人）、頻道、超級群組、端到端加密的秘密聊天功能、 Passport、視頻通話等多種功能。

2021 年，由于 WhatsApp 宣布更新其隱私政策，同時要求用戶允許與母公司 Facebook 共享數(shù)據(jù)時，Telegram 作為強(qiáng)有力的備選，吸引了更多用戶的使用。當(dāng)時有數(shù)據(jù)統(tǒng)計，2021 年 1 月，Telegram 用戶突破 5 億；到了 2021 年 8 月底，全球下載量已經(jīng)達(dá) 10 億次，2022 年 6 月，Telegram 的用戶量突破 7 億。

號稱全球沒人能監(jiān)控的聊天軟件

Telegram 的成功，不僅靠競爭對手的成全，也有自身的實(shí)力。以 Nikolai Durov 為 Telegram 創(chuàng)建的 MTProto 協(xié)議來看，它可以實(shí)現(xiàn)一對一的聊天提供端對端加密，加密模式是基于 256 位對稱 AES 加密，RSA 2048 的加密和 Diffie-Hellman 的安全密鑰交換協(xié)議。

當(dāng)時為了驗(yàn)證自己的安全性過硬，Telegram 每年都會組織了一場安全性的競賽，倘若有人發(fā)現(xiàn)秘密聊天實(shí)現(xiàn)中的潛在漏洞，就獎勵 10 萬美金。

根據(jù) Telegram 官方更新的發(fā)展歷程來看，這么多年來，似乎只有在 2013 年 12 月，也就是 Telegram 成立的當(dāng)年，有過一個人拿到過這筆獎金。

當(dāng)時 Telegram 表示：

habrahabr 用戶x7mz發(fā)現(xiàn)，如果 Telegram 服務(wù)器被惡意第三方控制，它可以向參與秘密聊天的每個客戶端發(fā)送不同的隨機(jī)數(shù)。

引入這些隨機(jī)數(shù)是為了為秘密聊天密鑰增加更多隨機(jī)性，主要是因?yàn)橐苿釉O(shè)備上的隨機(jī)生成器可能存在未被發(fā)現(xiàn)的漏洞。

正如有人指出的那樣，這種解決方案還可以在中間人攻擊的情況下，使共享密鑰的可視化表示完全相同--前提是這種攻擊是由被奪取的服務(wù)器實(shí)施的。顯然，該服務(wù)器一直處于 Telegram 的控制之下，因此這種理論上的威脅從未有機(jī)會實(shí)現(xiàn)。

來源：https://telegram.org/blog/crowdsourcing-a-more-secure-future

網(wǎng)絡(luò)專家質(zhì)疑

話雖如此，安全專家還是持質(zhì)疑態(tài)度，他們認(rèn)為 Telegram 默認(rèn)不啟用端到端加密，導(dǎo)致用戶必須啟動“秘密聊天”才能啟用端到端加密，這樣 Telegram 或除預(yù)期收件人以外的任何人都無法讀取消息。此外，多年來，許多人對 Telegram 加密的安全性表示懷疑，因?yàn)樵摴臼褂米约旱膶Ｓ屑用芩惴ā?/p>

雖然 Pavel Durov 也曾在 2017 年發(fā)文對于《為什么 Telegram 不默認(rèn)啟用端到端加密》做出一些回應(yīng)（https://telegra.ph/Why-Isnt-Telegram-End-to-End-Encrypted-by-Default-08-14），其表示：

像 WhatsApp、Viber 和 Line 這些受歡迎的應(yīng)用，它們依賴 Apple iCloud 和 Google Drive 去存儲用戶的歷史消息。這些備份消息不是端對端加密并在恢復(fù)時解密的。雖然看起來，作為一個用戶可以自由選擇放棄備份消息，但在現(xiàn)實(shí)中這幾乎是不可能的，即使你選擇注銷，和你聊天的人可能不會。

這將產(chǎn)生一種情況，當(dāng)你發(fā)送和接收的消息在云端存儲時沒有端對端加密，你也沒有意識到它。你對真正的端到端的加密和備份零透明度。你依賴端到端的加密并且相信“沒有第三方可以訪問我的信息”，但你的私人數(shù)據(jù)實(shí)際上是容易受到黑客的入侵，比如從云端存儲中找到它。

相比之下，Telegram 不希望用戶將聊天數(shù)據(jù)放到第三方備份，也不想剝奪我們用戶在其他同類軟件中享受的功能。所以經(jīng)過一些研究，我們決定推出兩種聊天方式——加密聊天和云聊天。

加密聊天是端對端的加密聊天，不能備份聊天記錄。云聊天也是采用端對端的加密，但有內(nèi)置的備份，云聊天是為大多數(shù)用戶設(shè)計的，與小眾程序不同的是，云聊天用戶，和 Telegram 上的加密聊天用戶之間的流量是混合的，兩種情況的加密方式相同，只是在云聊天中我們的服務(wù)器可以訪問加密秘鑰，這樣用戶使用加密聊天的事實(shí)不會被暴露。

1）與 WhatsApp 不同，我們不會將用戶的數(shù)據(jù)發(fā)送給第三方。相反，我們依賴于我們自己的分布跨區(qū)域加密云存儲，認(rèn)為這比放在 Google 和 Apple 更安全。Telegram 迄今為止，沒有透露任何云端信息給第三方。

2）與 WhatsApp 不同，由于我們內(nèi)置了云同步功能，用戶可以立即從多設(shè)備上同步訪問歷史消息，因此用戶可以在 Mac、PC、iPad 甚至 Linux 服務(wù)器上感受到簡單并且一致的用戶體驗(yàn)。

3）與 WhatsApp 不同的是，你不必在本地存儲所有歷史消息，在你需要時隨時可以從網(wǎng)絡(luò)上下載歷史消息和媒體信息，這節(jié)省了大量磁盤空間和內(nèi)存占用，這對于我們發(fā)展市場用戶非常重要，在 Telegram 上，本地存儲空間的不足，永遠(yuǎn)都不會導(dǎo)致信息的丟失。

4）與 WhatsApp 不同的是，Telegram 能夠?yàn)橛脩籼峁└呒壒δ?，例如永久的群組聊天最多可以有 10000 個用戶成員，和不限制大小的頻道（channel），這些技術(shù)無法在“端對端加密+第三方備份”的模式下實(shí)現(xiàn)，我們的路線圖是和 WhatsApp 這種過時的架構(gòu)不同的。

這是我們?yōu)槭裁醋罱K采用更安全的“兩種聊天方式”（Telegram 云存儲比 Apple/Google 存儲有更好的保護(hù)），更透明（可以看到你的哪些端對端加密的消息存在云端，哪些沒有）和更多的豐富功能（我們可以實(shí)現(xiàn)上面提到的功能，以及更多的功能）。我們相信，從長遠(yuǎn)來看，我們的“兩種聊天”方式更有意義，這就是 Kakao（2014）、Line（2015）以及 2016 年 Google Allo和 Facebook Messenger 復(fù)制的原因。這些公司做了自己的研究，證明 Telegram 的方式更具可擴(kuò)展性，安全性和透明度。

不過，據(jù) Techcrunch 報道，約翰霍普金斯大學(xué)密碼學(xué)專家 Matthew Green 表示：“如果沒有端到端加密、大量易受攻擊的目標(biāo)...這似乎將是一場安全噩夢。”

電子前沿基金會 (EFF) 網(wǎng)絡(luò)安全總監(jiān) Eva Galperin 在接受采訪時也指出，“與 Signal 不同，Telegram 不僅僅是一款消息應(yīng)用程序，它還是一個社交媒體平臺。作為一個社交媒體平臺，它擁有大量用戶數(shù)據(jù)。”

Galperin 補(bǔ)充說道，「“三十名工程師”意味著沒有人可以對抗法律要求，也沒有處理濫用和內(nèi)容審核問題的基礎(chǔ)設(shè)施。如果我是一名黑客，我肯定會認(rèn)為這是令人鼓舞的消息。每個攻擊者都喜歡人手嚴(yán)重不足、工作過度的對手?！?/p>

那么，對于一家運(yùn)營主流應(yīng)用程序的公司，究竟該配備多少工程師？

上周，知名網(wǎng)絡(luò)安全專家 SwiftOnSecurity在 X 上撰文稱，“運(yùn)營一家擁有所有正確網(wǎng)絡(luò)安全工具和員工的公司，其成本絕對是高得離譜的......”。

對于這一看法，有網(wǎng)友表示，“不同意。這不是成本問題，而是能力問題。在我上一個地方，我們總共有 50 人，其中 2 人是 IT 人員，并且完全符合 SOC2、GDPR、HIPAA 標(biāo)準(zhǔn)。CIS 前 20 名。每年進(jìn)行滲透測試等。預(yù)算很少，大量使用開源軟件。沒有發(fā)生任何事故?！?/p>

也有人稱，「我一直在等待首席財務(wù)官們說 "夠了"。但這還沒有發(fā)生。在某一點(diǎn)上，太多的利潤變成了運(yùn)營支出，落入了安全公司的腰包。」

最后，你如何看待 Telegram 只有 30 名工程師？一家公司到底多少工程師來支撐才足夠？