Dat zeggen de onafhankelijke beveiligingsnoderzoeker Collin Anderson en Amnesty-onderzoeker Claudio Guarnieri. De twee onderzoekers dedendrie jaar lang onderzoek naar Iraanse hackers.
Het is het grootste bekende lek ooit bij Telegram, dat prat gaat op zijn veiligheid. Dat is ook de reden dat veel activisten, journalisten en mensen op gevoelige posities in Iran er gebruik van maken.
Hoewel de onderzoekers geen concrete getroffenen noemen, zeggen zij wel dat mensen die tot voorgenoemde groepen behoren vaak onder de slachtoffers van de hack waren.
Telegram maakt gebruik van end-to-end-encryptie, maar stuurt gebruikers een sms voordat zij nieuwe apparaten kunnen autoriseren om er gebruik op te maken van hun Telegram-account. In dat proces zit de kwetsbaarheid waarvan de hackers gebruik hebben gemaakt.
Onderschept
Die activatie-sms’jes kunnen worden onderschept door telecomproviders, die ze vervolgens met hackers kunnen delen. Op die manier kunnen hackers hun eigen apparaten autoriseren voor andermans Telegram-account en op die manier alle berichten die worden of zijn verstuurd of ontvangen inzien.
De cyberveiligheidsonderzoekers waar Reuters mee sprak vermoeden dat dat precies is wat er gebeurd is. Deze kwetsbaarheid doet zich vooral voor in landen waar de overheid grote invloed op de telecomproviders heeft.
Wachtwoord
Een woordvoerder van Telegram laat weten dat gebruikers zich tegen deze kwetsbaarheid kunnen beschermen door de sms-verificatie niet te gebruiken en in plaats daarvan alleen een sterk wachtwoord in te zetten als authorisatiemethode.
Telegram heeft wereldwijd meer dan 100 miljoen actieve gebruikers. 20 miljoen daarvan zitten in Iran, maar ook de rest van het Midden-Oosten en grote delen van Azië lopen warm voor de dienst.