Waarom dan? Wat is er beter aan die van WhatsApp?
Die van WhatsApp garandeert dat jou gegevens niet bekeken worden, noch verkocht worden. (Enige uitzondering is dat het hele bedrijf verkocht mag worden waarbij de data wordt overgedragen. Dat is bij Facebook echter niet van toepassing omdat WhatsApp ondergebracht blijft in WhatsApp Inc.)
Je gegevens mogen dus niet bekeken worden, geanalyseerd worden of wat dan ook.
Bij Telegram is die garantie er niet. Er is al een aantal keer verzocht of ze hun policy willen wijzigen, maar dat weigeren ze en derhalve wordt het een beetje een eng sfeertje. Het probleem is dat er staat "We never share your data with anyone. No."
Dat betekent echter:
1.) Dat ze wel zelf je data mogen inzien, analyseren, et cetera
2.) Ze mogen het technisch gezien wel verkopen... Strict juridisch gezien mag je een onderscheid maken tussen "share" en "sell". En dan kan je ook nog een verschil maken tussen "give away", maar dat gaat lastig te verdedigen worden omdat dat te veel overlapt met "share".
En vergelijk dat voor de lol eens met de hele lap veiligheden die WhatsApp daar over heeft opgenomen:
We do not sell or share your Personally Identifiable Information (such as mobile phone number) with other third-party companies for their commercial or marketing use without your consent or except as part of a specific program or feature for which you will have the ability to opt-in or opt-out. We may share your Personally Identifiable Information with third party service providers to the extent that it is reasonably necessary to perform, improve or maintain the WhatsApp Service. We may share non-personally-identifiable information (such as anonymous User usage data, referring / exit pages and URLs, platform types, asset views, number of clicks, etc.) with interested third-parties to assist them in understanding the usage patterns for certain content, services, advertisements, promotions, and/or functionality on the WhatsApp Site.
Maw: in eerste instantie wordt je data al niet verzameld, maar enige data die ze toch van je hebben (tel. nummer, locatie, betaling) worden niet gedeeld OF verkocht (kijk, WhatsApp weet heel goed hoe dat onderscheid in elkaar zit.) met als enige uitzondering geaggregeerde statistieken... En dan moet je denken aan: In Nederland hebben 10 miljoen mensen WhatsApp, waarvan x miljoen op Android, x miljoen op iOS, x honderdduizend op Windows Phone, en x op overige Operating Systems, die tezamen x aantal berichten hebben verstuurd in 2014.
En zo zijn er nog wel een paar van die dingetjes te vinden tussen de privacy policies waarbij je bij WhatsApp 100% zekerheid krijgt, en het bij Telegram bewust zo vaag verwoord is dat ze in principe nog steeds van alles met je data kunnen doen... En gezien ze weigeren dat aan te passen, wekt dat bij mij het idee op dat het met opzet gedaan is. Derhalve vertrouw ik Telegram ook totaal niet.
En hoe weet je dit?
Omdat het systeem van Telegram zo in elkaar zit, en dat is wat ze zelf zeggen.

Je chats worden standaard niet end-to-end encrypted, maar wel tussen de Telegram server en de ontvanger.
Die server zit er tussenin en slaat vervolgens al jou berichten op. Dat gebeurt natuurlijk omdat je ook op andere apparaten toegang wil tot je data, dat is dus logisch dat het wordt opgeslagen.
Die data wordt niet in plain-text opgeslagen, maar encrypted. Telegram slaat echter de private key op bij die data, wat dus eigenlijk het nut van het encrypted opslaan een beetje achterhaald maakt, omdat dezelfde keys weer gebruikt worden om de data te verzenden naar een nieuwe client waarmee je inlogt...
Telegram is a cloud service. We store messages, photos, videos and documents from your ordinary chats on our servers, so that you can access your data from any of your devices anytime. All data is stored heavily encrypted and the encryption keys in each case are stored in several other DCs in different jurisdictions. This way local engineers or physical intruders cannot get access to user data.
Het enige waar tegen je beveiligd bent zijn dus dat de lokale technici die aan zo'n server werken (wordt dat uberhaupt outsourced? Ik gok dat ze hier datacenter personeel mee bedoelen) niet zomaar je data kunnen decrypten. Telegram zelf en hun engineers kan/kunnen dat natuurlijk wel.

Maar al die servers zijn met elkaar verbonden. Als er dus een hacker binnenkomt, of er ook maar 1 techician is die toegang heeft tot meer dan 1 server (en dat zijn er meerdere), dan kunnen die gewoon je data van de server halen en de private key van de andere server: en dan is je data zo te decrypten.
Dit is overigens "a feature, not a bug". Het is expres zo ontworpen.
Maar dat maakt het wel dat je data eigenlijk totaal niet veilig is. Enkel in het scenario dat slechts 1 server gecompromiteerd zou worden heb je mazzel en hebben ze of enkel je private key (wat ook wel vervelend is, trouwens...) of enkel je data.
Maar omdat al die servers met elkaar communiceren, elkaars gegevens hebben en op een zelfde manier zijn opgebouwd is het bij een hack eigenlijk vrijwel ondenkbaar dat slechts 1 server kwetsbaar is voor een bepaalde hack, en kan je er dus vanuit gaan dat er meerdere machines gekraakt zullen zijn; waarbij dus zowel jou data als je private key gejat zijn omdat die tezamen worden opgeslagen.
Sowieso moet je er rekening mee houden: de eigenaren van Telegram hebben dus sowieso te allen tijden toegang tot je data omdat die data + sleutel hebben, en omdat hun privacy policy dus zo vaag verwoord is weet niemand wat ze er mee doen: ze mogen er in principe alles mee doen; zelfs verkopen voor 1 cent is al mogelijk: zolang ze het maar niet "delen" (gratis inzage). En op verzoek van de Russische overheid kan men er ook bij natuurlijk, zowel tot je huidige chats, alsmede alle chats in het verleden, je verstuurde afbeeldingen, videos, contactenlijst, et cetera. Telegram heeft *alles* van je, in schril contrast met WhatsApp wat eigenlijk geen donder van jou heeft opgeslagen.
Derhalve trek ik de conclusie: de chats zijn niet veilig opgeslagen, en Telegram is niet bijster veilig.
Als ze de privacy policy zoals verzocht eens zouden fixen, en dan moet je je bedenken dat onder andere ik daar al een jaar over klaag, dan was er een stuk minder groot probleem geweest...
[Reactie gewijzigd door WhatsappHack op 18 november 2014 18:45]