קהילת הסייבר הגלובלית מגויסת להגנת משתמשי טלגרם: גילוי אחראי מעניק ארבעה חודשים לתיקון

מערך ההגנה הדיגיטלי הגלובלי הציג בימים האחרונים את עצמו במיטבו: מייקל דה-פלנטה מיוזמת Zero Day Initiative (ZDI) של TrendAI גילה פגיעות פוטנציאלית באפליקציית המסרים המוצפנת טלגרם, ובהתאם לפרוטוקול אחראי דיווח עליה ישירות לחברה ב-26 במרץ 2026 — עוד בטרם פורסם דבר לציבור. פגיעות זו, המסומנת כ-ZDI-CAN-30207, קיבלה ציון חומרה של 9.8 בסולם CVSS.

תהליך הגילוי האחראי שננקט כאן הוא בדיוק המנגנון שעליו נשענת אבטחת הסייבר המודרנית: החוקרים בחרו שלא לפרסם את הפרטים הטכניים המלאים, ובכך מנעו כל ניצול מיידי. החשיפה המלאה נקבעה ל-24 ביולי 2026 בלבד — מה שמעניק לטלגרם חלון עבודה של כארבעה חודשים לפיתוח והפצת תיקון לכל משתמשיה ברחבי העולם.

לפי הניתוח שפורסם, מדובר בחולשה מסוג Zero-Click: הווקטור הטכני מצביע על אפשרות לתקיפה מרחוק דרך האינטרנט, ללא צורך בהרשאות מיוחדות וללא אינטראקציה מצד המשתמש. ההערכה היא שמקורה באופן שבו האפליקציה מטפלת בקלט נכנס, כגון קבצי מדיה או בקשות אוטומטיות. היקף הפגיעות הפוטנציאלית עשוי לנגוע בלמעלה ממיליארד משתמשי הפלטפורמה.

טלגרם, מצידה, הגיבה במהירות ובתקיפות לדיווח: "הפגם הזה אינו קיים. החוקר טוען בטעות כי ניתן להשתמש במדבקה פגומה כווקטור תקיפה, טענה שמתעלמת לחלוטין מהעובדה שכל המדבקות בטלגרם עוברות אימות בשרתים לפני שהן מופעלות באפליקציה." תגובה מהירה ומנומקת שכזו — בין אם תוביל להפרכה מלאה של הממצאים ובין אם לתיקון ממוקד — מעידה על מעורבות פעילה של החברה בהתמודדות עם האתגר.

במקביל, TrendAI הודיעה כי היא עובדת על פיתוח הגנות מפני התרחיש הפוטנציאלי, וממליצה למשתמשים להתקין באופן שוטף את כל עדכוני טלגרם שיפורסמו בחודשים הקרובים — פעולה פשוטה וזמינה לכל משתמש, שתסייע להבטיח את בטחונם הדיגיטלי.

קהילת הסייבר הגלובלית עוקבת בדריכות ובמקצועיות אחר ההתפתחויות, בציפייה לאישוש רשמי, פרסום תיקון, או הפרכה מלאה של הממצאים עד למועד החשיפה הקבוע. הפער שנוצר בין ממצאי החוקרים לתגובת החברה הוא בדיוק המרחב שבו מתנהל שיח הסייבר האחראי — ועצם קיומו מעיד על כך שהמערכת פועלת כשורה.