Telegram-Chef Pavel Durov
Die Messenger-App Telegram genießt den Ruf, eine sichere Alternative zum Chat-Giganten Whatsapp zu bieten. Doch nun wurde das nach eigenen Angaben in Berlin ansässige Unternehmen offenbar Opfer eines Hacks. Einem Bericht der Nachrichtenagentur Reuters zufolge, sollen iranische Hacker es geschafft haben, mehr als ein Dutzend Telegram-Accounts zu hacken. Dabei bezieht sich Reuters auf die Aussagen der beiden Cyber-Forscher Collin Anderson und Claudio Guarnieri.
Wie die beiden Cybersecurity-Forscher erzählen, seien SMS abgefangen worden, die bei der Messenger-App zur Verifikation eines neuen Accounts an Nutzer verschickt werden. Dies hätte in Zusammenarbeit mit einem Telekommunikationsunternehmen geschehen können, sagen sie. Mit den Verifizierung-Codes konnten die Hacker weitere Geräte für einzelne Profile autorisieren und somit Chat-Archive sowie neue Nachrichten lesen.
Zudem sei es den Hackern gelungen, 15 Millionen Telefonnummern von Telegram-Nutzern im Iran herauszufinden. Insgesamt nutzen rund 20 Millionen Menschen die App dort. Der Hack, hinter dem offenbar die iranische Hackergruppe Rocket Kitten steht, fand bereits im vergangenen Jahr statt, sei aber bisher noch nicht an die Öffentlichkeit gelangt.
Für Telegram ist die Gefahr nicht neu
Telegram reagierte scheinbar gelassen auf die Vorwürfe. „Es ist kaum ein ernster Hack“, schreibt Telegram-Gründer Pavel Durov auf Nachfrage von Gründerszene – und verweist auf einen Blogpost auf der Telegram-Homepage. Dort heißt es: „Das ist keine neue Bedrohung, wir haben Nutzer in bestimmten Ländern zunehmend davor gewarnt.“ Das Unternehmen rät seinen Nutzern daher zu einer Zwei-Wege-Authentifizierung, die neben einer SMS-Verifikation auch ein Passwort erfordert.
Auf das Datenleck der mehr als zehn Millionen Nummern reagierte Telegram, indem es eine technische Beschränkung einführte, die derartige Massenabfragungen verhindern soll. Es seien nur öffentlich verfügbare Daten ausgelesen worden sein, heißt es im Post.
Ist Telegram wirklich besser?
Auch wenn rund ein Dutzend gehackte User-Accounts nicht viel ist, könnte sich die Situation zu einem PR-Desaster für Telegram entwickeln. Denn die Beliebtheit des Messengers, der Anfang dieses Jahres nach eigenen Angaben stattliche 100 Millionen aktive Nutzer zählte, beruht auf seiner Werbung mit Sicherheit. So werden Nachrichten verschlüsselt übertragen.
Doch das allein überzeugt Nutzer vielleicht bald nicht mehr. Denn mittlerweile bietet etwa auch der Massen-Messenger Whatsapp Verschlüsselung von Nachrichten an. Hinzu kommen Chat-Alternativen wie Signal, welcher von Whistleblower Edward Snowden empfohlen wird, oder der Schweizer Messenger Threema, der – auch ohne quelloffene Software – als „unkritisch“ eingestuft wird.
Zudem äußerten Experten in der Vergangenheit bereits Kritik an der Verschlüsslung von Telegram. So sagte der Verschlüsselungsexperte Rüdiger Weis gegenüber der Welt am Sonntag: „Telegram benutzt ausgerechnet die von der NSA entwickelte und inzwischen als gebrochen angesehene Hashfunktion SHA-1“, so Weis. Telegram setze die mathematische Funktion zudem in Kombination mit einer eigenen technischen Lösung zur Verschlüsselung ein. Nicht mit einem „als sicher geltenden Standardverfahren“.
