Telegram heeft voor het eerst data gedeeld met Nederlandse dienst

Chatapp Telegram heeft dit jaar een keer data gedeeld van een Nederlandse gebruiker met een dienst. Dat blijkt uit het eerste transparantierapport van de app. Tot voor kort deed Telegram dat helemaal niet.

Telegram transparatierapport 2024
Telegram transparatierapport 2024

Het transparatierapport van Telegram staat niet openbaar online, maar is alleen te raadplegen vanuit een Telegram-bot. Vanuit de VS kwamen er veertien verzoeken, vermeldt 404 Media. Het rapport loopt van 1 januari tot 30 september van dit jaar. De opzet met de bot maakt het moeilijk om de data in te zien.

De bot vermeldt ook dat Telegram in januari volgend jaar met twee rapporten komt: een transparantierapport en een jaarlijks rapport over hoe het voldoet aan de Europese Digital Services Act. Ook dat is voor het eerst.

Het andere beleid werd onlangs van kracht. Tot voor kort deelde Telegram geen data met autoriteiten. Er loopt nu een zaak in Frankrijk tegen oprichter Pavel Durov wegens medeplichtigheid aan criminele activiteiten op Telegram, omdat het bedrijf weigerde data van verdachten te delen met politiediensten.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 03-10-2024 07:15 75

03-10-2024 • 07:15

75

Lees meer

Telegram heeft ruim 1 miljard actieve gebruikers, 50 miljoen meer dan in juli
Telegram heeft ruim 1 miljard actieve gebruikers, 50 miljoen meer dan in juli Nieuws van 19 maart 2025
Belgische autoriteiten vragen relatief meeste gebruikersgegevens op bij Telegram
Belgische autoriteiten vragen relatief meeste gebruikersgegevens op bij Telegram Nieuws van 8 januari 2025
Telegram laat externe organisaties accounts verifiëren
Telegram laat externe organisaties accounts verifiëren Nieuws van 2 januari 2025
Telegram gaat tools integreren om kindermisbruikmateriaal te blokkeren
Telegram gaat tools integreren om kindermisbruikmateriaal te blokkeren Nieuws van 4 december 2024
Telegram deelt voor het eerst data met Nederlandse Openbaar Ministerie
Telegram deelt voor het eerst data met Nederlandse Openbaar Ministerie Nieuws van 10 november 2024
Belgisch OM doet onderzoek naar Telegram; gaat samenwerken met Frankrijk
Belgisch OM doet onderzoek naar Telegram; gaat samenwerken met Frankrijk Nieuws van 3 november 2024
Telegram heeft 'bangalijsten' verwijderd na verzoek van Nederlandse stichting
Telegram heeft 'bangalijsten' verwijderd na verzoek van Nederlandse stichting Nieuws van 25 oktober 2024
Nederlandse Openbaar Ministerie onderzoekt gebrek aan medewerking Telegram
Nederlandse Openbaar Ministerie onderzoekt gebrek aan medewerking Telegram Nieuws van 15 oktober 2024
Telegram gaat IP-adressen van verdachten op verzoek delen met autoriteiten
Telegram gaat IP-adressen van verdachten op verzoek delen met autoriteiten Nieuws van 23 september 2024
Oekraïne bant Telegram bij overheidsdiensten, leger en kritieke infrastructuur
Oekraïne bant Telegram bij overheidsdiensten, leger en kritieke infrastructuur Nieuws van 22 september 2024
Telegram zegt tien miljoen betalende klanten te hebben
Telegram zegt tien miljoen betalende klanten te hebben Nieuws van 11 september 2024
Telegram-ceo zegt beter te gaan modereren na arrestatie in Frankrijk
Telegram-ceo zegt beter te gaan modereren na arrestatie in Frankrijk Nieuws van 6 september 2024
Meer producten en artikelen
Politiek en recht telegram

Reacties (75)

-Moderatie-faq
75
75
16
1
1
53
Wijzig sortering
Llopigat
3 oktober 2024 07:17
Nu kunnen ze er eigenlijk niet meer onderuit om automatische End to end encryptie in te voeren, net zoals WhatsApp, Signal enzovoorts.

Tot nu toe was het niet zo belangrijk omdat ze toch geen data afgaven maar nu wordt dat wel een ding.

Niet dat ik "iets te verbergen" heb overigens maar ze hebben maar met hun handen van mijn data af te blijven. Of ik er nu iets van merk of niet. Gezien de plannen van de EU om voortaan alle chats in te zien (ChatControl) is dit een glijdende schaal. Je geeft ze een vinger (via een rechterlijk bevel een enkele gebruiker inzien) en ze pakken vanzelf de hele hand (alles en iedereen constant in de gaten houden).

Waarschijnlijk komt het er volgende week mede door Nederland weer niet door (al zou het netjes zijn als ze tegenstemmen ipv onthouden) maar ze blijven het proberen en vroeg of laat komt het er wel een keer doorheen.

[Reactie gewijzigd door Llopigat op 3 oktober 2024 07:22]

FrostyPeet @Llopigat3 oktober 2024 08:08
Nu kunnen ze er eigenlijk niet meer onderuit om automatische End to end encryptie in te voeren, net zoals WhatsApp, Signal enzovoorts.
End to end encryption is een nietszeggende marketing kreet, dat veel suggereert. Een bekende truc is om een verborgen gebruiker toe te voegen zodat er een soort groepschat ontstaat. De encryptiesleutels kunnen zwak zijn (bijvoorbeeld de eerste 32 bits van de 64-bit sleutel zijn altijd nullen). Een andere bekende truc is dat er een master-key is die alles dan ontcijferen. De random number generator kan voorspelbare waarden genereren. Er kan met de programma code gerommeld worden.

Een oude wijsheid is "if you don't control the keys you don't control anything".
Nightan @FrostyPeet3 oktober 2024 08:48
Met E2EE bezit en controleer je juist de sleutel. Alice als verzender heeft een publieke sleutel en Bob de ontvanger ook. Alice gebruikt Bob zijn sleutel om te versleutelen en te authentiseren, en Bob gebruikt zijn (privé)sleutel om zichzelf te authentiseren.

Signal is ook nog eens open-source, dus dubieuze random number generators (PRNG's) kunnen worden bekeken. In de cryptografiecommunity heerst de consensus dat Signal's OpenWhisper protocol juist transparant en correct is. Voor groepschats wordt het ratchetmechanisme gehanteerd, wat met E2EE triple Diffie-Hellman key agreement werkt. Voor een uitleg daarover wordt deze reactie te lang.

Ik begrijp dat dit artikel niet over Signal gaat - en Telegram is inderdaad NIET E2EE - maar het is onjuist om E2EE als onveilig af te schilderen.

WhatsApp gebruikt onder de motorkap Signal's protocol, maar hoe Meta met metadata omgaat (pun intended), is dubieus.
JackBol @Nightan3 oktober 2024 09:35
Met E2EE bezit en controleer je juist de sleutel.
In theorie. Maar spreek je zo nu en dan in het echt af met je gesprekspartner om een nieuwe key te genereren? Valideer je continue dat er niemand met je keys heeft getamperd? Theoretisch is het super veilig, maar in de praktijk is de menselijke kant nog altijd het meest kwetsbaar. Een fout zit in een klein hoekje en iemand die dedicated genoeg is weet dat hoekje prima te vinden. (Anders is er ook nog xkcd 538).
GoBieN-Be @JackBol3 oktober 2024 19:03
In WhatsApp kan je instellen dat je in de chat een melding ziet wanneer de gebruiker verandert van toestel en dus de E2EE veiligheid mogelijk gecompromitteerd is.
Barryke @Nightan3 oktober 2024 11:19
Jullie hebben beide gelijk, goede E2EE implementaties bestaan, en de (marketing) suggestie dat daarmee dus alles ook altijd veilig is; is uiteraard ook onwaar.

Aanbieders (van E2EE apps) kunnen zelf on-device de keys en chats en backups zonder encryptie verwerken.

De Whatsapp backup werd tot 3 jaar geleden (2021) niet eens E2EE naar Google Drive of iCloud geupload.

En nu nog steeds is dit opt-in. En ik neem aan dat dit vinkje/gedrag van je backup in geval van grote belangen/dwang ook eenzijdig door Whatsapp gewijzigd of teniet gedaan kan worden.

E2EE gebruiken is goed, en het is ook geen panacee / wondermiddel.

NB. Daarbij komen ook derde partijen die toegang krijgen tot specifieke data op je apparaat (voor of na de E2EE) zoals je toetsenbord gratis spelling correctie, en vertaal functies, en online AI en voice assistants. Alle “is deze website wel veilig” en “locatiebepaling” delen ook de data actief, die eigenlijk slechts voor een E2EE app was bedoeld. Bedrijven verdienen zelfs geld aan het doen van deze big data correlaties. Een overheid kan de data opvragen. GDPR is hier iets dat de consument enorm helpt, als een bedrijf ervoor kiest dit naar de wet te volgen bij het verwerken van data.
Henrikop @Nightan3 oktober 2024 10:09
Het punt is vooral dat E2EE niet per se veilig en goed is. Encryptie is een beest en het is heel mooi dat Signal open source is, maar dat is geen enkele garantie dat anderen dat ook zijn. En om het nog wat lastiger te maken: We weten niet of de Signal app daadwerkelijk de open source code gebruikt (server side).

Dat E2EE niets zegt en alleen marketing is, is natuurlijk ook niet waar. Maar het is gevaarlijk dat als iets het label E2EE encryptie heeft dat je dan dus veilig en private communiceert. Zo worden chatlogs vaak ook niet E2EE opgeslagen.

Het blijft dus altijd maar een inschatting Idealiter en paranoide zou je dus als je communicatie eerst moeten versleutelen voordat je het in een E2EE platform plaatst. Dan blijft natuurlijk de vraag hoe je die sleutel dan veilig communiceert.
Aldy @Henrikop3 oktober 2024 16:02
Dan blijft natuurlijk de vraag hoe je die sleutel dan veilig communiceert.
De enige echt veilige methode is om de sleutel fysiek te overhandigen en zorgen dat het nooit in handen van een ander komt. Zoals eerder in het draadje gemeld: De mens blijft de zwakste schakel.
willieverhoef @Nightan3 oktober 2024 11:03
Leuk im theorie, maar je weet niet zeker dat je de publieke sleutel wel van Bob is, je kunt ook deze gekregen hebben van het netwerk. Welke dus zelf de private code heet en dus mee kan lezen. Juist met opensource is het mogelijk een MITM aanval te doen. Het protocol is immers open. En voor een overheid moet het toch mogelijk zijn een ip address over te nemen.
GertMenkel
@FrostyPeet3 oktober 2024 08:19
Dat kan maar dat valt meteen op, net als MTProto vanaf het begin al meteen opviel. Er zijn te veel mensen die dit soort claims in de gaten houden en er publiek over schrijven om die grap uit te halen in een messenger met een open source client.

Als ze nu E2EE zouden aanzetten en niet gaan voor iets als MLS dan worden ze nog harder afgekraakt dan ze nu al worden.

Ik denk niet dat Telegram de moeite doet, ze hebben altijd al overdreven of gelogen over hoe veilig hun app is, het is niet alsof er een reden is om ze nu meer of minder te vertrouwen.
Verwijderd @GertMenkel3 oktober 2024 09:10
Anderzijds, wachten we na jaren nog steeds op een grootschalige hack van Telegram. Daarbij als het ook allemaal zo lek is als een mandje is ben ik benieuwd waarom politiediensten überhaupt toegang moeten vragen.

De data in Telegram ligt bij wijze al op straat is wat men beweert, met wilde verhalen dat je wel even een account incl groepen overneemt en de data van iedereen kan verzamelen zonder enige moeite. Dan neem je toch een account over volgens deze vele backdoors, verzamel je de data van users en gooi je de groep offline?

Toch ondanks dit lek als een mandje app, wordt de maker ervan gearresteerd enkel omdat deze verzoeken niet ingewilligd worden? Los van de reden vind ik dit wel ver gaan, naar mijn weet zijn er geen medewerkers van o.a. Apple bijvoorbeeld gearresteerd omdat ze hebben geweigerd om telefoons te unlocken van terroristen en anderen.
GertMenkel
@Verwijderd3 oktober 2024 11:53
Er zit een verschil tussen wat de overheden echt kunnen en wat ze tijdens simpele rechtszaken over drugs vertellen natuurlijk. Als de AIVD live een kopie trekt van ieder bericht op Telegram gaan ze dat niet aan de grote klok hangen. Plus, overheden mogen (normaal) helemaal niet inbreken. Dat maakt de bewijslast vervelend en je moet allemaal handtekeningen regelen voor je begint. De politie wil natuurlijk gewoon de officiële weg volgen, dat scheelt iedereen een hoop gezeik.

Het probleem is niet dat iedereen zomaar heel Telegram kan overnemen, maar meer dat niemand kan tegenhouden dat Telegram wordt overgenomen en alle data wordt verkocht.

Qua protocol is MTProto niet per se slecht, het is alleen raar. In een podcast heeft een cryptograaf het protocol beschreven als "gaandeweg is tijdens de ontwikkeling bij iedere stap het wiel opnieuw uitgevonden in plaats van dat bestaande oplossingen werden gebruikt". De veelvoorkomende problemen zijn (grotendeels) gevonden, en er is wel een oplossing voor gevonden, maar niet op de manier waarop men dat normaal zou doen. Er is nog geen (openbaar) bewijs dat MTProto een backdoor heeft* of dat een nieuwe, E2EE-versie van de app dat wel zal hebben, maar het is verstandig om voorzichtig te zijn bij een partij die alles net wat anders doet.

*: ze hebben ooit wat raars gedaan waarbij er server-side gegenereerde random data werd gebruikt in het protocol die in theorie een backdoor zou kunnen aanduiden, maar daar is voor zover ik weet nooit wat in gevonden. Raar en verdacht, maar niet per se onveilig.

[Reactie gewijzigd door GertMenkel op 3 oktober 2024 11:54]

Nightan @GertMenkel3 oktober 2024 19:36
Inderdaad. Deze podcast gaat diep in op de cryptografie van Telegram.

Het is vrij technisch waar ik niet alles van begrijp, maar deze gerenommeerde cryptografen hebben er zeker kaas van gegeten: https://securitycryptogra....com/2024/09/06/telegram/
W00fer @GertMenkel3 oktober 2024 21:27
Maak nou eindelijk eens onderscheid tussen MT Proto v1 en v2. Het is een wereld van verschil.
GertMenkel
@W00fer3 oktober 2024 22:10
MTProto 1 is kapot, MTProto 2 is raar. De verbetering is onmiskenbaar, maar MTProto 2 blijft gek met de manier waarop je geen secret chats kunt doen zonder beide online te zijn. Het gebrek aan key ratcheting is ook vreemd vergeleken met andere chatprotocollen.

Telegram heeft voor hun implementatie van MTProto 2 in 2021 nog een stel kwetsbaarheden moeten corrigeren die geen direct gevaar vormen, maar wel risico's aanstipte die er niet hadden hoeven zijn.
W00fer @GertMenkel7 oktober 2024 21:22
Alsof Whatsapp en Signal geen kritieke lekken dichten
Llopigat
@FrostyPeet3 oktober 2024 08:26
Ja maar Telegram is in tegenstelling tot WhatsApp gewoon open source dus dat soort trucjes kan je gewoon opmerken.
latka @Llopigat3 oktober 2024 08:30
Theoretisch wel, maar heartbleed zat er jaren in en van des weten we ook nog steeds niet of er achterdeuren door de nsa in de s-boxen gestopt zijn.
Llopigat
@latka3 oktober 2024 09:08
Oh ja dat weten we allang al. DES was juist sterker geworden door de aanpassingen van de NSA. Door hun aanpassingen werd het bestand tegen differential cryptanalysis, iets waar IBM (die DES had bedacht) geen weet van had en wat pas veel later bekend werd.

En Heartbleed was gewoon een systeem kwetsbaarheid.
latka @Llopigat3 oktober 2024 09:21
Beide waren open en zichtbaar, maar niemand heeft de systeemkwetsbaarheid gevonden de eerste paar jaar en DES S-boxen hebben 20+ jaar in het zicht gelegen en niemand wist van differential cryptanalysis af.. Mijn punt: open betekent niet automatisch beter en/of veilig. Het betekent wel dat je beter je best moet doen en niet gewoon een TCP kanaal kan openen en alle data un-encrypted eruit kan laten lopen omdat dat wel iets teveel zal opvallen.
GertMenkel
@Llopigat3 oktober 2024 22:14
Ja en nee. De gekozen boxes van de NSA beschermden wel tegen bepaalde differientiële cryptografische aanvallen, maar aan de andere kant was er geen goede reden om de sleutelgrootte te beperken.

Niet heel gek voor de oude NSA: veilig voor Amerika, want niemand anders heeft computers sterk genoeg om die sleutelgrootte te breken, maar niet veilig van Amerika, want alleen Amerika heeft computers sterk genoeg om die sleutelgrootte te breken.

De vermoede backdoors zijn nu iedereen thuis een supercomputer heeft dan ook minder computerkracht-gebaseerd, en meer algoritme/waarde-gebaseerd; denk aan de verdachte elliptische curve van de NSA.
FrostyPeet @Llopigat3 oktober 2024 08:49
Ja maar Telegram is in tegenstelling tot WhatsApp gewoon open source dus dat soort trucjes kan je gewoon opmerken.
Open source zegt helemaal niets over achteraf manipulatie met een los staand programma of script.

Je kan een perfect open source platform bouwen, perfecte sleutelgeneratoren en een muur vol audits op de website plaatsen. Als je daarna bijvoorbeeld met een losstaand programma of script de keys of seed files manipuleert zodat het voorspelbaar(der) is, lijkt dat moeilijk detecteerbaar. Dit soort gerommel komt vaak pas boven water als het te laat is, als een medewerker de praktijken verklapt of in rechtbanken.
Llopigat
@FrostyPeet3 oktober 2024 09:09
Als je zorgt dat de code die gerund wordt ook echt de code is uit de source (reproducible build) dan kan dit niet zomaar gebeuren. Zoals met de F-Droid build van Telegram FOSS.
kuurtjes @FrostyPeet3 oktober 2024 09:40
met een losstaand programma of script de keys of seed files manipuleert zodat het voorspelbaar(der) is
Sorry maar wat voor een programma juist? Moet ik dat draaien? Doet iemand op afstand dat?

Je lijkt de goede vragen te stellen maar een verkeerde indruk te hebben van hoe het daadwerkelijk werkt.
nandervv @Llopigat3 oktober 2024 09:22
De client wel, de server niet. En gezien groepschats gewoon door de server kunnen worden uitgelezen..
davasch @FrostyPeet3 oktober 2024 08:43
En indien Telegram ook backupt in je Google of iCloud account kunnen die ook opgevraagd worden.
WhatsappHack
@davasch3 oktober 2024 09:46
Op iCloud moet je dan ook Geavanceerd Gegevensbescherming inschakelen. (Extra info) Dan kan Apple ook niet bij de data en kunnen ze hoogstens versleutelde bestanden overhandigen.

[Reactie gewijzigd door WhatsappHack op 3 oktober 2024 09:50]

blorf @FrostyPeet3 oktober 2024 10:10
Het is misleidend. De ends zijn de besturingssystemen op gebruikersniveau. Wat er allemaal eerst nog tussen de UI en de kernel in gebeurt wordt voor het gemak vergeten.
Thystan @FrostyPeet4 oktober 2024 15:11
Ik begrijp dat er trucs zijn. Persoonlijk denk ik dat ze op dit moment genoeg hebben aan "wie, wanneer, hoe vaak, hoe laat" communiceert en dat de daadwerkelijke inhoud er alleen voor de autoriteiten toe doet.
HerrPino @Llopigat3 oktober 2024 08:23
Leuk End-to-end encryption van WhatsApp (of welke messenger applicatie dan ook), maar niemand weet of WhatsApp een achterdeur heeft ingebouwd. Maar een achterdeur is ook zo ingebouwd en niets houdt WhatsApp tegen om een update te pushen waar iedereen mee kan kijken.

Als je echt zo bang bent dat je 'ultra geheime' appjes (met de laatste roddels of hoe laat je waar afspreekt) niet door een ander gelezen worden dan moet je een eigen messenger service opzetten. Maar bedenk dat zelfs EncroChat niet veilig bleek.
Llopigat
@HerrPino3 oktober 2024 08:27
Telegram is in tegenstelling tot WhatsApp wel open source dus dat gaat niet op hier.
ltcom @Llopigat3 oktober 2024 09:44
De Clients zijn open source. De servers zijn closed source.
bron: https://telegram.org/faq#...gram-39s-server-side-code
Llopigat
@ltcom3 oktober 2024 10:35
Ja maar als het End to End is maakt dat dus niet meer uit.
ltcom @Llopigat3 oktober 2024 11:03
Behalve dat de server dus voor een deel de kwaliteit van de encryptie bepaald en de gebruiker daar dus geen zicht/invloed heeft.
Ondersteunen de desktop clients onderhand al wel e2ee?
Thystan @Llopigat4 oktober 2024 15:15
Niet waar, zie het verhaal van Lavabit van Ladar Levison die werd verplicht een master key te maken die de de berichten moest decrypten: https://www.theguardian.c...i-encryption-keys-snowden
Llopigat
@Thystan4 oktober 2024 16:03
Dat waren wel heel andere tijden. Ten eerste was lavabit een website, geen app. Veel makkelijker om een cliënt een aparte versie te serveren.

Ten tweede zijn security en dingen als Hardware sandboxing, reproducible builds veel meer op de radar. Sinds de schokken van Wannacry, Stuxnet en NotPetya is de industrie heel veel gaan verbeteren. In die tijd kende ik nog bedrijven die wachtwoorden als "hoppa123" (gefingeerd) voor admins op kritieke productie omgevingen gebruikten, echt waar. Heb er vaak tegen geageerd maar "niemand komt toch door de firewall en zo hoeven we niet te zoeken naar het wachtwoord als er een incident is" :F. Dat is nu echt ondenkbaar. Die mentaliteitsverandering werkt door op elk niveau. Apps worden nu ondertekend bij distributie, sandboxes zijn aanwezig en worden afgedwongen, antimalware gebruikt niet alleen signatures maar is zelflerend enz. RBAC en clean source principle zijn nu echt een ding enzovoorts.

De endpoint blijft kwetsbaar maar een persoon een aangepaste app serveren is heel erg lastig nu. Een mobiele endpoint is juist veiliger dan een pc geworden.

[Reactie gewijzigd door Llopigat op 4 oktober 2024 16:05]

Thystan @Llopigat4 oktober 2024 17:04
Je doet alsof het niet meer voorkomt, maar ik vind het niet 'ondenkbaar'
hier is nieuws van dit jaar: https://ogma.in/understan...dbox-escape-vulnerability

[Reactie gewijzigd door Thystan op 4 oktober 2024 17:06]

Llopigat
@Thystan4 oktober 2024 20:24
Ja natuurlijk worden er wel eens kwetsbaarheden gevonden, maar het is nog steeds een heel stuk beter dan op de desktop waar deze situatie standaard is, er is helemaal geen sandbox voor applicaties (behalve op Mac)

Waar ik aan refereerde met ondenkbaar was dat soort simpele wachtwoorden voor admin accounts. Security staat nu echt onder de aandacht, waar het 10 jaar geleden niet veel meer was dan een tickboxje van "oh ja daar moeten we ook nog ff wat aan doen".
Dykam @HerrPino3 oktober 2024 09:42
niets houdt WhatsApp tegen om een update te pushen waar iedereen mee kan kijken.
Behalve dat de APK en web app om de zoveel tijd weer uit elkaar geplozen wordt, en het dan gewoon duidelijk wordt dat er mee geklooid is. Het punt van het E2EE protocol is dat als er een lek is, die in de code moet zitten die je "gewoon" kan zien.

En het is Whatsapp eraan gelegen dat dit nooit in twijfel komt, want zodra het bekent wordt dat er een backdoor in zit, verliezen ze flink.
Skinnyice @Llopigat3 oktober 2024 07:28
Encryptie is in dit geval niet eens heel belangrijk. Infiltreer als politie/veiligheidsdienst in een groepschat waar een hoop narigheid gebeurd en in de geëxporteerde json van alle chats staat een user-id. Daarmee ga je naar telegram voor uitvraag. Krijg je alsnog wat je wilt hebben.
Llopigat
@Skinnyice3 oktober 2024 07:31
Maar dat is alleen voor groepschats. Voor 1:1 wordt ook standaard geen encryptie toegepast (en als je het wel gebruikt met de secret chats heeft het zoveel kanttekeningen dat eigenlijk niemand het in de praktijk gebruikt).
jongetje @Llopigat3 oktober 2024 11:17
Het verzoek was voor een ip-adres en telefoonnummer. Dan kun je encrypten wat je wilt maar dat is gewoon meta-date wat bij elke chatdienst bekend is.
ErikT738 @Llopigat3 oktober 2024 08:27
Ik weet niet of dat wel werkbaar is voor Telegram. De enige reden waarvoor ik het gebruik is om deel te nemen aan bestaande groepsdiscussies, waarvan je dus ook eerdere posts kan zien. Met een fatsoenlijke end to end encryptie lijkt me dat niet meer mogelijk.

En verder prima dat ze informatie delen bij ernstige criminaliteit, maar ik hoop niet dat het zo gekuist gaat worden als de rest van het internet. Een beetje piraterij moet kunnen, toch?
g_v_rijn @Llopigat3 oktober 2024 08:36
Jouw inkomsten worden ook met de Belastingdienst gedeeld - ongeacht je wel of niet wordt aangeslagen. Het is onmogelijk om alle data 1 - 1 te lezen & direct correct te beoordelen. De voor-shifting gebeurt op basis van voorgedefinieerde modellen - te betalen of te ontvangen. We kunnen niet eens fatbikes controles handhaven... is domweg te 'arbeidsintensief - economische te duur'.

[Reactie gewijzigd door g_v_rijn op 3 oktober 2024 08:46]

Llopigat
@g_v_rijn3 oktober 2024 13:10
Fatbikes is een heel ander probleem, je ziet er niet aan af of die opgevoerd zijn of niet. Net zoals met brommers vroeger.

Sowieso vind ik dat die dingen gewoon bij introductie nooit toegelaten hadden moeten worden. Net zoals de electrische steps die ook niet mogen. Beetje raar dat die er zo in geslopen zijn.
TWyk @Llopigat3 oktober 2024 10:22
Encryptie is toch veelal helemaal niet relevant.
Wat men bijvoorbeeld doet is een pedofiel oppakken en via zijn accounts bepaalde groepchats inzien en dan aan Telegram alle gegevens van de telegram accounts in de groep opvragen.
De account van de opgepakte pedofiel heel alle content al gedecrypt.
DigitalExorcist @Llopigat3 oktober 2024 10:47
Tot nu toe was het niet zo belangrijk omdat ze toch geen data afgaven maar nu wordt dat wel een ding.
Nee, tot nu toe staan alle gewone chats gewoon plaintext op die servers van ze.
Llopigat
@DigitalExorcist3 oktober 2024 13:07
Dat is precies wat ik zeg. Daarom is het nu belangrijk dat te gaan encrypten.
Terrestrial @Llopigat3 oktober 2024 11:19
Alsof E2EE wat zegt, wellicht is het verkeer in de app veilig of ze hebben de sleutel allang aan zo'n 3-4 letter organisatie gegeven. Dan nog zegt het niks, als ze malware installeren op je telefoon via een andere app en dat kan gewoon een legitieme app zijn, dan kunnen ze er bij voordat het versleuteld wordt. Telefoons zijn de meest afluisterbare appraten ter wereld.
Llopigat
@Terrestrial3 oktober 2024 13:07
Dan snap je niet wat E2EE is. Bij E2EE is de sleutel alleen in het bezit van de partijen aan de eindkant (end to end).
Terrestrial @Llopigat3 oktober 2024 13:22
Ik denk dat jij het niet helemaal begrijpt. Als de app een privatekey genereert, dit kan overigens centraal op een cloud server gebeuren en dan in de client worden geplaatst. Maar dit kan ook lokaal op de client gebeuren maar dat is geen garantie dat die key niet alsnog ergens wordt uitgelekt. Maar zoals ik al aangaf, zelfs dat is niet nodig, als je al op een andere manier controle kunt krijgen over de client device. Dan hoef je niks te onderscheppen om het mee te kunnen lezen.
Llopigat
@Terrestrial3 oktober 2024 13:24
Nee maar daar is open-source software weer goed voor, dan kan je controleren dat dit niet gelekt wordt (of naar de server gestuurd). Telegram is dat wel, Signal WhatsApp niet.

Als het op de cloud server wordt gegenereerd dan is het technisch sowieso geen end to end encryptie meer.

En ja de beveiliging staat of valt met de endpoint natuurlijk, maar dat is altijd zo.

[Reactie gewijzigd door Llopigat op 3 oktober 2024 14:03]

Terrestrial @Llopigat3 oktober 2024 13:36
Kan de gemiddelde gebruiker in Nederland duizenden regels met code lezen om te zien of het werkelijk veilig is.? En zelfs dat hoeft niet. Stel telegram krijgt een verzoek mbt data voor pietje. Dan kunnen ze alsnog via een update kanaal een gerichte opdracht naar de client sturen om de privatekey er even uit te halen zodat de AIVD/MIVD kan meelezen. Als die app het niet doet kan het ook via een andere app plaats vinden.

Het probleem met een telefoon is dat die eigenlijk nooit veilig te krijgen is. Ja kan wel maar dan moet je geen android draaien.
Llopigat
@Terrestrial3 oktober 2024 13:43
Kan de gemiddelde gebruiker in Nederland duizenden regels met code lezen om te zien of het werkelijk veilig is.?
Dat hoeft niet. Er hoeft maar 1 persoon te zijn die het opmerkt en die gaat wel aan de klok hangen.
En zelfs dat hoeft niet. Stel telegram krijgt een verzoek mbt data voor pietje. Dan kunnen ze alsnog via een update kanaal een gerichte opdracht naar de client sturen om de privatekey er even uit te halen zodat de AIVD/MIVD kan meelezen. Als die app het niet doet kan het ook via een andere app plaats vinden.
Je kan via Apple en Google Play geen gerichte updates naar een specifieke client sturen. Zo werkt dat niet. En apps kunnen zichzelf niet meer updaten (dit is ook de reden dat termux niet meer in de play store kon). Op iOS heeft dit nooit gemogen.

En met stores die ook nog eens reproducible builds aankunnen (zoals F-Droid) ben je helemaal zeker dat de source code ook is wat je in je binary hebt op je telefoon.

[Reactie gewijzigd door Llopigat op 3 oktober 2024 13:44]

Terrestrial @Llopigat3 oktober 2024 17:23
Dacht je echt dat iemand al die code elke keer opnieuw gaat door nemen, dat kost enorm veel tijd, ten 2e als iemand dan iets ontdekt dan nog wordt dit misschien bekend binnen het security wereldje maar dat bereikt de gewone gebruiker toch niet. Bovendien hebben die zelden de kennis om het te begrijpen.

Wie zegt dat dit via servers van apple of google gaat, de client software zal zelf updates of opdrachten inladen, die zoekt verbinding met de telegram servers en dat is genoeg.

Overal zijn oplossingen voor, maar die smartphone blijft over het algemeen zo lek als een vergiet en daar gaat E2EE niks aan veranderen.
Llopigat
@Terrestrial3 oktober 2024 17:43
Jawel hoor. Zoiets haalt het nieuws wel.

En je hoeft niet de hele code elke keer door te nemen. Daar heb je diffs voor.

Maar nee apps kunnen zelf geen code of updates inladen vanaf internet. Ze mogen zich niet updaten via eigen servers en dat werkt ook niet meer. Daarom kan termux niet meer in de play store, omdat je met apt dan geen nieuwe apps meer kan installeren. Dat is immers uitvoerbare code. Dat is zowel op ios als Android (sinds kort) verboden.

De reden is precies wat je noemt: het werd misbruikt om de app controle door Apple en Google te omzeilen door de app achteraf andere functies te geven.

[Reactie gewijzigd door Llopigat op 3 oktober 2024 17:47]

Terrestrial @Llopigat3 oktober 2024 22:32
Nee dat haalt het nieuws niet hoor. En je ziet dagelijks hoe dom mensen kunnen zijn en als nog iets gebruiken en er niet bij stil staan.

En google kan zoveel verbieden maar dat wil niet zeggen dat het niet alsnog gebeurd. Waarom bespioneren al die apps ons nu dan ? Dat mag ook niet. Trouwens google doet daar zelf aan mee. Nee je bent naïef om te denken dat dit niet mogelijk is.

En hier houd ik het bij... we kunnen een heel verhaal gaan houden maar jij gelooft in sprookjes en ik zie de realiteit. Een smartphone en privacy gaat niet samen! En E2EE vooral doen maar garantie tot de deur zeg maar.
atthias @Llopigat3 oktober 2024 14:01
signal is toch opensouce niet?
Llopigat
@atthias3 oktober 2024 14:03
Je hebt helemaal gelijk. Ik bedoelde WhatsApp. Geen idee waarom ik Signal schreef, sorry.
atthias @Llopigat3 oktober 2024 14:09
geen punt het is ook lastig het allemaal bij te houden :)
Maurits van Baerle @Llopigat3 oktober 2024 13:04
Telegram had dit hele probleem zelfs niet gehad als de dienst E2EE was geweest. Dan hadden ze immers tegen de politie of inlichtingendiensten kunnen zeggen dat ze geen toegang hebben tot de data waar om verzocht wordt.

Telegram zit bovenop een goudmijn aan informatie over criminaliteit, of jouw vriendin heeft gevraagd om ook aardappels mee te nemen uit de supermarkt. interne communicatie van het Russische leger en babyfoto's. Alles inzichtelijk voor wie Telegram runt. Dat maakt Telegram zo interessant voor allerlei partijen, en niet alleen goedaardige partijen.
Llopigat
@Maurits van Baerle3 oktober 2024 13:06
Ja dat is precies waarom ik zeg: Nu ze meewerken is het gewoon noodzakelijk dat ze met E2EE beginnen.
born4trance @Llopigat3 oktober 2024 15:59
(verkeerd geciteerd, mag weg)

[Reactie gewijzigd door born4trance op 3 oktober 2024 16:00]

born4trance @Llopigat3 oktober 2024 16:00
Niet dat ik "iets te verbergen" heb overigens
Ik blijf het een gevaarlijke en niet-doordachte opmerking vinden. Des te meer omdat dit de globale consensus is welke verstrekkende gevolgen heeft en waar menig individu niet (genoeg) bij stil staat.

Iedereen heeft iets te verbergen en daar is niets mis mee.
Llopigat
@born4trance3 oktober 2024 16:01
Klopt, dat weet ik.

Ik zeg het meer om de gebruikelijke comments van: "Ja maar dan ben je crimineel zeker" af te vangen. Je ziet datzelfde ook steeds terugkomen in de discussie over cash betalen. Zojuist hier nog bijvoorbeeld.

[Reactie gewijzigd door Llopigat op 3 oktober 2024 16:05]

born4trance @Llopigat3 oktober 2024 16:08
Degene die dit zeggen weten kennelijk niet beter maar als je vervolgens om een bankpasje+pincode o.i.d. vraagt dan zijn er niet veel die dit zomaar even weggeven ;)
Llopigat
@born4trance3 oktober 2024 16:12
Dat is waar.

Overigens is er nog een ander aspect: Voor wie je wat te verbergen hebt.

Er zijn veel dingen die ik niet met mijn werkgever wil delen maar wel met mijn vrienden. Of wel met mijn vrienden maar niet met mijn ouders, enzovoorts. Dat is ook een aspect hiervan.

En met de overheid en bedrijfsleven? Nou daar wil ik gewoon zo weinig mogelijk mee delen.
born4trance @Llopigat3 oktober 2024 22:38
Goed gezien/bekeken! :)
FrederikVDN 3 oktober 2024 11:26
Transparency report 01/0/2024-30/09/2024 for Belgium
fulfilled requests IP or phone number
Q1: 1
Q2:4
Q3:53

affected users:
Q1:1
Q2:4
Q3:125

lijkt erop dat het meer en meer gebeurd..
Tha Deo @FrederikVDN3 oktober 2024 11:47
Conclusie: de misdaad neemt toe…
mg794613 @Tha Deo3 oktober 2024 13:43
met een factor 100?
Exqua @Tha Deo3 oktober 2024 13:44
Dat is een aanname en geen conclusie.
Matthijs8 3 oktober 2024 15:29
Telegram ZEGT dat ze voor het eerst data gedeeld hebben met een Nederlandse dienst.
Toen ze eerst zeiden nog niets te delen met autoriteiten werd er ook al gedeeld:
https://www.androidcentra...ata-to-german-authorities

[Reactie gewijzigd door Matthijs8 op 3 oktober 2024 17:03]

Banath 3 oktober 2024 16:47
En dat er nog veel mag volgen.
Sailor69 3 oktober 2024 17:38
Dacht dat Telegram zonder telefoon nummer werkte, ik zie dat ze die toch gebruiken.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq