אזהרת פרטיות לקהילה:
טלגרם - חולשות ודליפות מידע
,
בעולם שלנו, דיסקרטיות ואבטחת מידע הם לא סתם המלצה – הם השכבה ששומרת עלינו ועל הפרטיות שלנו מול החיים ה"מקובלים" יותר (עבודה, משפחה, סביבה).
הרבה מאיתנו משתמשים בטלגרם תחת ההנחה שמדובר באפליקציה מאובטחת במיוחד.
לאחרונה קראתי דיון מעמיק שחושף כמה בעיות קריטיות באפליקציה. הוספתי לזה עוד כמה סכנות שרלוונטיות מאוד במיוחד כאן בארץ, והחלטתי לסכם את הנקודות המרכזיות כדי שכולנו נהיה מודעים לסכנות ונדע איך להגן על עצמנו:
1. דליפת מספרי טלפון והסכנה של TrueCaller ו-Me
מנגנון "סנכרון אנשי הקשר" של טלגרם הוא בעייתי, אבל הסכנה האמיתית מתחילה כשמצליבים אותו עם כלים אחרים. קל מאוד לייצר תוכנה פשוטה שיוצרת רשימה של כל מספרי הטלפון האפשריים בישראל ושומרת אותם כ"אנשי קשר".
ברגע שיש למישהי סקרן את המספרים האלה, הוא יכולה להזין אותם לאפליקציות זיהוי שיחות כמו TrueCaller או Me.
התוצאה? הוא יכול לראות איך אנשים אחרים שמרו את המספר שלכם (למשל: "דני מהנהלת חשבונות" או "מיכל אמא של יונתן").
אם הוא מוצא פרופיל קינקי בטלגרם שיש לו אליו את מספר הטלפון – הצלבה מהירה באפליקציות האלה חושפת בקליק אחד את הזהות האמיתית שלכם.
סכנת אאוטינג (Outing) עצומה.
2. חטיפת חשבון וחשיפת שיחות רגישות
במקום לשלוח קוד אימות (SMS) לטלפון בכל התחברות חדשה, טלגרם שולחת את הקוד לתוך האפליקציה עצמה במכשירים אחרים שפתוחים.
המשמעות: אם מישהו משיג גישה למחשב או למכשיר שאתם מחוברים אליו עם הטלגרם שלכם(בעבודה נגיד),
הוא יכול להתחבר לחשבון טלגרם שלכם מרחוק ולהיחשף לכל ההתכתבויות, התמונות ומשאות ומתן על גבולות – בלי שתקבלו שום התראה לנייד שלכם.
3. טלגרם רואה (ושומרת) הכל
בניגוד למיתוס, השיחות הרגילות והקבוצות בטלגרם אינן מוצפנות מקצה לקצה כברירת מחדל. כל טקסט, תמונה או סרטון שאתם שולחים נשמרים בשרתים של טלגרם. במקרה של דליפת מידע מהשרתים שלהם או דרישה חוקית, כל התוכן הרגיש הזה חשוף לחלוטין.
הדרך היחידה להצפין היא לפתוח ידנית "צ'אט סודי" (Secret Chat). הערה - גם שיחות קוליות מוצפנות מקצה לקצה.
איסוף מטא-דאטה
אפילו אם אתם מקפידים על צ'אט סודי, טלגרם עדיין שומרת רישום של מי דיבר עם מי, באילו שעות, ומאיזה מיקום (כתובת IP). המידע הזה יכול בקלות למפות קשרים, היכרויות ודינמיקות בתוך הקהילה.
נכון שזה כולה קינק אבל תחשבו מה אם גופים כאלה ואחרים יתחילו לבקש מידע
רק אתם יודעים מה אתם מעדיפים שישאר בינכם לבינכם
אבל אני לא פה כדי להבהיל אלא כדי לתת מידע נחוץ שהרבה נוטים לשכוח
אז הנה כמה פתרונות
הפרדה מוחלטת – פתיחת חשבון על מספר אנונימי (טוקמן):
הדרך הכי טובה למנוע את הסכנה של הצלבת מידע היא לפתוח את החשבון הקהילתי שלכם על מספר טוקמן שאין לו שום קשר לחיים האמיתיים שלכם.
⚠️ טיפ קריטי: חברות הסלולר נוהגות למחזר מספרי טלפון ישנים. לפני שאתם רוכשים את הסים או מתחילים להשתמש בו,
בקשו מהמוכר לבדוק את המספר
וכשהוא עוד בניילון נסו להירשם לטלגרם עם המספר שמופיע על הכרטיס
אם הוא אומר ששלח לכם קוד לאפליקציית טלגרם אתם מבינים שהמספר הזה תפוס כבר ועדיף לבקש כרטיס אחר
- אין טעם לקנות סים ייעודי אם אתם לא יכולים לפתוח עליו טלגרם
חובה להפעיל אימות דו-שלבי (2FA):
כנסו עכשיו להגדרות טלגרם והגדירו סיסמה נוספת (Two-Step Verification).
זה הדבר העיקרי שימנע ממישהו להשתלט לכם על החשבון ולקרוא לכם את ההודעות.
המלצות נוספות: לעבור לחלופות מאובטחות באמת עבור שיחות רגישות או מדיה רגישה מומלץ לעבור לאפליקציות שמוצפנות מקצה לקצה (E2EE) כברירת מחדל, כאלו שלא אוספות מטא-דאטה על מי דיבר עם מי. הנה המובילות בתחום:
Signal:
הפתרון האידיאלי למשתמש הממוצע. היא קלה לשימוש כמו וואטסאפ, אך מציעה פרטיות אמיתית ואבטחה ברמה הגבוהה ביותר.
Molly (למתקדמים):
גרסה "מוקשחת" של סיגנל שכוללת שכבות הגנה נוספות (כמו נעילת מסד הנתונים של האפליקציה) למי שרוצה אבטחה מקסימלית על המכשיר עצמו.
SimpleX Chat / Briar (אנונימיות מוחלטת):
למשתמשים שרוצים לנתק כל קשר לזהות האמיתית שלהם. האפליקציות האלו לא דורשות מספר טלפון בכלל כדי לפתוח חשבון, מה שמונע כל סיכוי להצלבת מידע או אאוטינג דרך זיהוי שיחות.
מטרת הפוסט הזה הוא בעיקר שינוי תפיסה:
טלגרם היא פלטפורמה חברתית מעולה להכיר בה אנשים ולקרוא בקבוצות,
אבל היא לא כספת מאובטחת, אל תצפו ממנה להיות כזו.
שמרו על עצמכם.
בנימה אישית:
אני אישית פתחתי את הטלגרם על המספר הפרטי שלי ואמנם נקטתי אמצעי הגנה אחרים שלא אפרט כאן אבל מעבר לזה כן מאוד הקפדתי תמיד לעשות 2Step (אימות דו שלבי - סיסמה לחשבון) מהסיבה הפשוטה שההגנה על החשבון היא הדבר הכי חשוב כשמחזיקים אחד כזה.
ואי אפשר בלי קצת בדסמ - בזמן השיטוטים שלי ברשת אחר למידה מצאתי את אלה איכשהו..
בהמשך אעלה פה עוד טיפים ומידע בנושא אנונימיות ופרטיות
ממליץ לעקוב 🙊
אשמח לשמוע את דעתכם בנושא וללמוד גם 🐒