Comments 101
Страшно, очень страшно! Главное что удалось спасти
Мне кажется или всего подобного можно было бы избежать просто установив в настройках двойную аутентификацию?
Да проблема в том, что пароль стоял. Человек просто его добровольно ввел на скамерском сайте
То есть без пароля было бы безопаснее?
У вас в двери один замок и вы добровольно отдали ключ от него злоумышленнику.
У вас в двери два замка и вы добровольно отдали ключи от них злоумышленнику.
Есть какая-то разница? Разницы нет, потому что второй замок затрудняет атаку только тогда, когда у злоумышленника нет ничего (ему придётся вскрыть два замка вместо одного), либо есть только ключ от первого замка (он смог украсть один ключ, а второй замок его остановит).
Подождите, то есть пароль требовался, пароль угнали, а код из SMS не требовался? Или его тоже мошенническим путём угнали?
Владелец аккаунта сам все ввел. Зашел на скамерский сайт и там было что-то вроде "нужно авторизоваться через Telegram чтобы продолжить". В мире, когда "Войти через Google\VK и тд" уже является обыденностью, мыслей "зачем" не возникает.
Ну а там был не "войти через telegram oauth" а просто вход в telegram на скамерском сайте с вводом кода из sms и, затем, ввода облачного пароля.
Мошенники получили просто строковую сессию, которую дальше потом хранили аккуратно и ждали пока пройдет 2-3 дня, чтобы можно было выкинуть владельца из всех сессий. Наступил этот день и погнали...
Простите дремучего человека, а что такое "обычный облачный пароль"?
Upd: это код подтверждения, который телега присылает сама в себя
Механика угона была следующая: хозяин аккаунта вошел в свой аккаунт в кастомное приложение Telegram внутри "сайта-голосования". В итоге мошенники получили сессию, через которую только ждали, когда можно будет сделать
resetAuthorizations
Всё старо как мир, блин.. А я уже ожидал какую-нибудь дырку в апи, которую олимпиадные программисты вполне могли случайно оставить. Цифровое чистоплотие наше всё, что тут сказать
У меня отец недавно попал в аналогичную ситуацию, в документации телеграмма рекомендуют экстренно удалить аккаунт через сайт телеги, https://my.telegram.org/auth?to=delete
из минусов удалятся все чаты каналы переписки
из плюсов это работает достаточно быстро (несколько минут), потом почти сразу можно создать новый аккаунт.
а чтобы не терялись важные контакты/каналы/чаты делаем резервное копирование ссылок куда-нибудь отдельно.
Вот это прям новость для меня, что можно так быстро удалить аккаунт через интерфейс! Спасибо за ссылку!
Насчет бекапа еще можно средствами телеграма выкачивать важные переписки
Чтобы удалить аккаунт с помощью этой ссылки, нужно иметь активный сеанс, то есть вход в аккаунт на одном из своих устройств. Если активного сеанса нет, то удалить аккаунт таким способом не получится.
Hidden text
ну мне так и не ответили( спустя несколько недель
Это вы ответа от волонтеров ждете, а я уже три недели ожидаю ответа от security[at]telegram[.]org по найденной уязвимости.
глядя на то, как устроено все в плане поддержки у TON, я понимаю что в плане коммуникаций ситуация далека от идеальной(
У них есть Сайт там они иногда реагируют быстрее
TLDR: человек ввел все пароли на стороннем сайте и учетку угнали. Как неожиданно.
да иногда тяжело уловить что происходит угон. Я тут недавно искал репозиторий один и мне выпал в выдаче гугла github.ДОМЕН.com. Выглядит как гитхаб и все вообще как гитхаб - как будто прокси
В итоге я уже даже начал вводить пароль, чтобы форкнуть репо и увидел что автозаполнение не сработало - вот тогда то я и понял, что дело не чисто
Хотя я вроде айтишник и разбираюсь в этом - все равно чуть не повелся...
"чуваааак"...© ну как так-то, что ты мог даже предположить, что что-то от настоящего github может быть в домене третьего уровня ?!
Да, по невнимательности что угодно может утечь.
Я проблему решил "просто": на все нужные сайты включены js/cookie, на всех остальных заблокированы.
Не всегда удобно, конечно, но снижает риски.
А как вы запрашивали код на почту?
По информации из интернета, которая подтверждалась не обширной, но практикой, код на почту можно запросить только, если в аккаунте нет активных устройств, на которые можно прислать код. Тогда получается, что злоумышленника уже не было в аккаунте, когда вы запросили код на почту.
Владелец аккаунта несколько раз пытался получить доступ к аккаунту и его регулярно выкидывали. Раз на 5-7 телеграм стал слать код уже не в СМС, а именно на почту.
Сам первый раз столкнулся с подобным
Это не так. Телеграм может перевести на авторизацию по почте любой аккаунт независимо от того, есть ли в нем активные сеансы.
Лучше про голосовые расскажите. Это были пересланные/нарезанные сообщения, которые владелец кому-то посылал или мошенники уже добрались до фабрикации с помощью нейросетей?
Это была фабрикация с помощью соц сетей и голосовые были очень примитивные из серии "да, ну вот так я попал" или "спасибо что готов помочь" и причем прям с теми же интонациями, что и у владельца.
Сестра жены звонит в телеге жене и просит заплатить 7000р за парикмахера, присылает номер карты. Жена скидывает бабки, звонит сестре, а та говорит, что она дома и не просила скидывать ничего. И муж сестры тоже перевёл денег на чужую карту.
В телеге не было пароля облачного, хотя я всех предупреждаю постоянно о нём.
Голос подделывают уже очень хорошо, родные люди не узнают подмену.
ну тут еще прикол в том, что мы привыкли к тому, что голос может чуть отличаться из-за связи. А сделать "почти похоже" с помощью имитации можно и это довольно легко
Знакомый на подобное напоролся. Угнали ТГ аккаунт и связанный с ним канал. На канале стали спамить финансовым мошенничеством.
Контроль он позже вернул, но эксклюзивная плашка [SCAM] на канале так и висит.
Т.е. если бы не было облачного пароля, угнанный акккаунт можно было вернуть легче да и вообще избежать угона, или я ошибаюсь?
Банковскую карту не заблокировали в результате?
А мне вот не повезло. У меня угнали телегу. Может кто то помочь вернуть аккаунт телеграмм? Буду признателен.
Купили новую симку, поставили в КВ шлюз на основе смартфона, записали номер в контакты, в итоге номер симки попал в контакты старого аккаунта телеграма. Проходит неделя, приходит сообщение в старый телеграм, что новый контакт теперь в телеграме. Поняли, что увели аккаунт, но пока удалось получить смс на симке прошло пара дней, пытаюсь зайти в телеграм, а аккаунт заблокирован, видимо что-то сделали нехорошее. А у нас были планы его использовать.
СМС зло.
хм. офигеть кейс. и теперь с этим номером вообще невозможно пользоваться телегой?
Недавно YOTA угнала номер, последнее время ни сил, ни внимания не было. Не помню вообше вводил ли я там в аккаунте двойную верефикацию, рассчитывал, что если сервис кастодиальный, то саппорт должен быстро помочь... как же я ошибался, вообше не очень представляю, что делать.
Плюс, в веб интерфейсе пару раз ввёл сообщения в суппорт, иду смотрю на почту подтверждения нет. А потом до меня спустя время дошло, что его скорей всего просто нет.
Открыл ишью на это https://github.com/telegramdesktop/tdesktop/issues/26281#issuecomment-1546086538
По факту выходит, что злоумышленник может захватить аккаунт на достаточно долгое время, да ещё и если пользователь технически не подкованный и на большее время. Это можно серьёзно так учудить, довести к примеру, знакомыйх/родственников до инсульта, или украсть денег, ещё чего.
Может у телеграмма есть тут официальный представитель, который может ответить, собирается ли телеграмм что-то со всем этим делать?
Это просто ужасно, такое ощущение, что всем плевать на поддержку и проблемы пользователей.
Сильно беспокоит такое отношение к пользователям и их данным. Ну ладно ещё в начале, но сейчас столько времени прошло, а у нас революционно баклажанны на экран взрываются.
Последнее время, все больеш складывается впечатление, что: что программисты, что пользователи, стали видимо просто ресурсом корпораций.
Насчет поддержки согласен - у телеграма ее просто нет, как по меня. Это было открытием для меня.
Грустно, что теряют доступ, как раз таки, технически не подкованные. А как раз таким людям и нужна обычная поддержка где обычный человек может подключиться и решить проблему. Но, увы, тут у телеграма сложилось как то крайне грустно(
На сколько я понял, вы не совершали платных действий на номере три месяца и его отключили. Почему вы пишите, что его угнали?
А формулировка "платные" действия это из за закона "о связи"? Как я понимаю закон, его суть не втом, что бы я платил оператору. А в том, что оператор не вправе его отключить, если он используется. Я использовал онлайн банкинг и otp, тоесть оператор просто нагло врёт или трактует закон с свою пользу.
Но предположим даже, что оператор прав. Зачем мне нужен такой оператор, у коготорого машеничество поставленной на поток.
Смотрите, почему я говорю украл, а не изьял, или еше что-то. У меня есть основания предполагать, что такие действия для оператора являются обсолютно нормальными, у них есть скрипты, что говорить если они украли номер, они специально юлили обнимая время. Они не сообщили мне, что хотят приостановить обслуживание, по мне все признаки желания украсть номер, тоесть, они конечно, в наглую его не крадут, но путем действий, таких как введение в заблуждение, трактовать закона как они хотят, они добиваются, чтобы я как бы нарушил условия договора. НО, я смотрел судебные прецеденты, и большинство свдов в таких случаях устают на сторону обонента, платил обонент или нет, это личная проблема оператора, обонент получал входящие смс (перечитайте закон), тоесть номер был активен и они не имели права его приостанавливать
Ещё, что важно понять. Что это за позиция вы нарушали, мы отрубили все по закону.
Да нахер мне такой оператор нужен у которого все по закону, и такие условия обслуживания. Трудно отправить смс за пару недель, таймер в приложении поставить, написать на мыло смс? Я с оператором 7 или 8 лет, если я за границей и пропал, они должны, к примеру, на какой-то доверенных номер слать смс. А не блять блокировать номер, завтра это будет чья-то бабушка в лесу или чей-то отец придавленный деревом, у которого рубануло связь, что это такое вообще за система при которой это нормально?
С номерами есть нюанс - оператор платит государству за каждый активный номер. Если номер неактивен и оператор его "выводит из работы", то платёж прекращается. Также операторы платят за обслуживание HLR (в которых номера зарегистрированы) по ëмкости (считай, количеству), ято также не прибавляет желания "вечно" хранить номера.
Да, с одной стороны это плохо - было бы лучше информировать абонента об отключении. С другой - перед отключением оператор и так блокирует основные услуги из-за нулевого баланса, а услуга "бесплатно принял sms" в список не входит.
С судами тоже не всё так просто - если оператор "отпустил" номер из своей ëмкости и даже его продал кому-то - тут возможно что-то оспорить. Если же это "портированный" номер, то после разрыва контракта оператор "отпускает" этот номер, возвращая его оператору-владельцу и чисто технически вам он этот номер вернуть не сможет, потому что у него этого номера уже не будет, он его отдаст регулятору, регулятор его отдаст оператору-владельцу ëмкости.
Меня это не волнует, буду бить YOTA пока этот номер для них золотым не станет.
Из за них, я попал на инвестиции, думаю, что то около 50.
В суды мы идти не привыкли, да и смысла не вижу, буду поливать их помоями из каждого утюга пока не отдадут номер или как они там собираются решать этот вопрос.
ООО... то есть вы понимаете, что судебная перспектива у вас нулевая (прикрываясь "в суды ходить мВ не привыкли") и занимаете позицию обычного вымогателя? " Чувак, да мне плевать - я тебя буду каждый день бить до тех пор, пока ты мне не вернуть бабки, которые у меня <кто угодно - банк, полиция, другой сосед> забрал, возвращать не хочет, а я у него забрать боюсь" ;)))
А ведь вы понимаете, что новый владелец тоже может подать в суд и даже есть Yota мошенническим способом изымет у него номер, то по решению суда номер могут и вернуть? В этом случае вы кого начнёте поливать помоями - судью, который принял неудобное для вас решение?
p.s. Даже из отрывков вашего рассказа очевидно, что это конкретно ваш серьёзный косяк. Вы посчитали, что этот номер "ваш навсегда", а реальный владелец номерной ёмкости (операторы лишь арендуют ëмкости и номера, владеет ëскостью государство) с вами не согласен. Но тогда вам правильнее бороться с владельцем ëмкости (если не ошибаюсь, с министерством связи или как они там сейчас называются), а не с одним из пользователей.
В Российских судах против компании Усманова бывают другие перспективы?
Я смотрел статьи, удачные прецеденты возвращения по аналогичным делам есть. Вопрос в том, чего мне это будет стоить. Оператору ничего, он на такие издержки закладывается.
Дальше с YOTA и буду разбираться, они же имеют такой чудесный сервис на грани машеничества, вот с ними и буду, раз не могут вернуть номер пусть другое что-то дадут взамен, ничего человечество умеет решать такие вопросы.
Ваши слова лишены логики, причём тут вообще третья сторона? Косяк оператора он пусть и решает
Да какая разница на чьей стороне закон, оператор мог уведомить но не уведомил, вводил в заблуждение, у него на случай проверки связи скрипта нет, а вот на случай, если ваш номер перепродали есть. Помойму не для кого ни секрет, что это отдельный рынок операторов.
По поводу вымогательства, если следовать вашему определению попадает любой потерпевший, который хочет компенсировать причинённый ущерб.
Спорить дальше не хочу, у вас своя правда у меня своя. Вы читаете закон так, а я эдак. Я вижу в законе, использование и входящие смс, вы какие-то банки, государство и прочее
p.s. За меня додумывать не нужно. И со мной в блатной тоне говорить не нужно.
Я не обязан знать всех тонкостей процедур, для этого поддержка, есть. И не обязан знать закон для этого есть нормальное отношение и процедуры. Но даже если к нему обратиться не все так однозначно, откройте может уже наконец?
pss И я вообше не понимаю зачем вы со мной завели дискуссию, чтобы попробывать подловить меня где-то на глупости и ехидно ухмыляться чьей-то проблеме?
Или может вы считаете, что капитализм дело такое, людоедское. Вот мамонт приехал в следующий раз с адвокатом симку покупать будет.
Какой-то бесцельный диалог с задачей унизить оппонента а не помочь с проблемой. Лучше бы посоветовали или помогли найти решения достучаться до телеграмма. Вместо этого тратите моё и ваше время на удовлетворение своего эга
Ваши слова лишены логики, причём тут вообще третья сторона? Косяк оператора он пусть и решает
Вы классно уходите от ответов, снимаю шляпу.
Разбираем вашу ситуацию:
- вы купили SIM карту с номером, вы привязали туда банковские сервисы и ещё что-то крайне важное для вас
- в это время предыдущий пользователь данного номера успешно затравил оператора "косяк оператора, он пусть и решает", оператор решает косяк - изымает номер у вас и отдаёт его предыдущему пользователю
- вы в полном шоке обращаетесь к оператору и тому, кто завладел вашим номером, но получаете в ответ "ты тут вообще никто, не мешай нашим разборкам"
Я правильно расписал ситуацию? Ваш номер ведь уже давно продан другому пользователю. Если бы номер остался у старого оператора в обороте - он бы вам его спокойно вернул. Процедура возврата номера из "отстойника" десятки лет отработана операторами и решается буквально за пол часа в самом сложном случае.
По поводу вымогательства, если следовать вашему определению попадает любой потерпевший, который хочет компенсировать причинённый ущерб.
Поздравляю, вы открыли для себя Америку :)
Всё так и есть - если потерпевший идёт в суд, предварительно пройдя процедуру досудебного урегулирования - он действует в правовом поле и ему ничего не грозит.
Если потерпевший начинает обливать помоями виновного, начинает наносить ущерб его репутации, то в какой-то момент потерпевший обнаруживает, что возникает уже второе дело, по которому потерпевшим будет предыдущий виновный, а обвиняемым - сам пострадавший.
Вы, похоже, решили пойти по этому пути - это ваше право, но если вся эта песня кончится "ёте максимум штраф (сомнительно), а MaM'у срок (вероятно)", то не плачьте потом на всех углах на тему " В Российских судах против компании Усманова бывают другие перспективы", ведь вы сами осознанно выбрали этот путь.
Особенно занимательно фраза " Да какая разница на чьей стороне закон" будет смотреться в суде, судьи такое очень любят - этой фразой клиент сразу же признаёт, что закон знает, но не считает нужным на него обращать внимание.
Yota в этой ситуации выглядят как последние подонки, но мне кажется, вы зря не обращаетесь в суд. Подлость сотовых операторов давно известна, случаев воровства и подделки данных, sms, целых номеров, а то и денег, уже было множество. С одной стороны, это означает, что бороться с этими мерзавцами нужно нещадно, но с другой стороны, от огласки (а вы, я так понимаю, именно огласку видите своим основным методом борьбы) Yota вряд ли много потеряет — их репутация и так ниже плинтуса уже, дальше там падать особо некуда. Так что по сравнению с этим обращение в суд может иметь не меньшую, а то и большую эффективность.
PS И ещё я не понимаю, почему вы в своём тексте на vc называете авторизацию по sms "базой". Мне казалось, "база" — это как раз авторизация по паролю, в крайнем случае — по паре ключей, а sms — это как раз одна из центральных идей, наоборот, официальной идеологии "повесточки".
А по поводу привязки телеграма к номеру телефона уже много было копий сломано, не знаю что тут ещё сказать. Хотите собственности на аккаунт, купите за тоны номер, иначе аккаунт не ваша собственность.
Если купить у них 888 номер, то при попытке входа код можно получить только на Fragment, для чего нужно иметь доступ к кошельку (приватному ключу). В сообщения на другие устройства он перестанет приходить.
В принципе, получается довольно секьюрно, на уровне криптокошелька.
Очень простой вывод для нубика в IT коим являюсь я - не вводите вы свои пароли вообще никуда, кроме официальных ресурсов. И смотрите вы наконец на строку адреса))
Я например постоянно смотрю на строку адреса это уже на уровне рефлексов много раз спасало от фейлов.
Ну и имейте двухфакторку. Все. Если вы делаете всё так и вы обычный пользователь вероятность взлома сильно падает, так как слишком много ресурсов нужно будет для этого.
Настройки - Безопасность - Активные сессии
У меня это Настройки - Устройства - Активные сеансы
Вывел что нужно максимально работать с ПК, вероятность словить фишинг меньше чем на смарте,
Вопрос не по истории из статьи, но связанный. Вы пишете, что однажды вам в ответ на запрос sms телеграм прислал ответ SEND_CODE_UNAVAILABLE, а до этого вход через sms на другом аккаунте работал. Я сам так глубоко в API телеграма не разбирался, но с "пользовательской точки зрения" заметил недавно, что новые версии официального десктопного и web-клиента sms отправить даже не предлагают.
Вы понимаете, как именно определяется (и "с пользовательской точки зрения", и "на низком уровне API") возможность получить SMS/то, ответит ли сервер "SEND_CODE_UNAVAILABLE"? Это пропагада смартфонов такая? "Если вы не пользуетесь смартфоном, то ваш аккаунт в телеграме будет висеть на одном гвозде: если у вас слетит действующая авторизация, вы потеряете аккаунт. Ну или регистрируетесь на смартфоне со всеми вытекающими последствиями, чтобы мы вам прислали это одно несчастное SMS."
Если на предыдущий вопрос ответ "да" (SEND_CODE_UNAVAILABLE равносильно десктопу), то вы понимаете, как именно (вот теперь уже только на низком уровне API) телеграм детектирует десктопные vs смартфонные подключения?
Если нет ниодного смартфона подключенного, то он кидает смс-ки. Я лично помню регал через свое-же приложение (про которое говорю в статье) и получал код через смс, когда не было ниодного устройства подключенного.
Причем `forseSms: true` работает, если вход происходит обычном образом и нет ничего подозрительного. Если перед этим было 100500 попыток за последние полчаса с разных устройств и приложений, то, скорее всего, forseSMS работать перестанет
Если нет ниодного смартфона подключенного, то он кидает смс-ки.Это точно неправда, как минимум сейчас. У меня к существующему аккаунту смартфона подключенного нет и не было ни одного никогда, и чистый клиент отказывается отправлять sms (и когда в прошлый раз тестировал, пару месяцев назад, и когда только что ещё раз попробовал).
Я лично помню регал через свое-же приложение (про которое говорю в статье) и получал код через смсОпять же, насколько давно это было? Сейчас тоже проверил только что: на номер, на котором telegram-аккаунта нет, ни из десктопного клиента, ни из браузера «регистрационные» sms не отправляются.
Блин. Чёт прям грусть. Мне всегда смс приходила если нет других устройств
Подождите, "если нет других устройств" или "если нет других смартфонов"? Это разные вещи. У меня именно "нет и никогда не было смартфонных подключений". "Нет и никогда не было вообще никаких устройств" означало бы "аккаунт не существует".
Точнее, промежуточная возможность — "если другие устройства есть, хотя это и не смартфоны, там валидные session cookies (или как там телега внутри у себя поддерживает сессию), но там последние n часов сеть физически отключена". В моих тестах была именно эта последняя возможность. Разлогиниваться всюду только для теста я не хочу, боюсь что обратно залогиниться мне не дадут, минимум пока я не воспользуюсь смартфоном.
PS Прошу прощения, что немного медленно отвечаю.
В моем случае акк телеги смартфону не подключен,существует только на ноутбуке. 2 недели назад решил обновить свой арч. После обновления выкинуло из аккаунта . На попытки зайти в акк через смартфон , код отправляется на " подключенное устройство", смс не приходят , звонка нет,поддержка молчит. Двухфакторная авторизация была.Что делать непонятно.
Попробовать войти с телефона через официальное приложение.
Тогда будет смс-ка на телефон
Даже так? То, что он пишет на десктопе, как бы намекает, что при использовании смартфона sms должно приходить. Может, телега таким образом пытается не просто заставить вас пользоваться смартфоном, а ещё и выбить из вас ещё какие-то смартфонные "разрешения"? А то иначе получается, "рассогласование сессии" (когда сервер считает, что валидная сессия существует, но то, что передаёт клиент в качестве данных сессии, его не устраивает) означает кранты аккаунту без вариантов.
Может, телега таким образом пытается не просто заставить вас пользоваться смартфоном, а ещё и выбить из вас ещё какие-то смартфонные "разрешения"?
Скорее всего оно хочет какой-нибудь идентификатор именно устройства. Т.е. объекта, который есть на руках. Или записать ключики учетки в безопасное хранилище. А то что на десктопе - оно слишком слабо к чему нибудь привязано.
Не вижу особого смысла в таком идентификаторе для безопасности пользователя (потом всё равно можно на этот смартфон получить код вместо sms и залогиниться где угодно, а на сессию на смартфоне забить навсегда). Дурову для слежки за пользователями, с другой стороны, такой идентификатор как раз был бы полезен, но опять-таки, это только абстрактные догадки. Вопрос к myyyxa: приложение на смартфоне требовало каких-то "разрешений"?
Не вижу особого смысла в таком идентификаторе для безопасности пользователя (потом всё равно можно на этот смартфон получить код вместо sms и залогиниться где угодно, а на сессию на смартфоне забить навсегда).
Это если забить. Если оставить - то безопасность немного повышается. Сам телефон служит одним из факторов или, как минимум, его данные потом можно разумно использовать при разборе очередного угона/восстановления учетки.
Тут интересно посмотреть, что происходит когда пытаешься воспользоваться официальным клиентом на
1) В смартфоне стоит та самая SIM-ка, номер которой регистрируешь
2) В смартфоне стоит SIM-ка, но на другой номер
3) Смартфон без SIM-ки
4) Планшет, в котором сотовой связи вообще не предусмотрено
5) Эмулятор, как тут ниже предлагалось
Я подозреваю, что в случаях 4 и 5 чего-то работать не будет.
Если оставить — то безопасность немного повышается. Сам телефон служит одним из факторовСтоп. Каким образом наличие такого идентификатора мешает взлому, даже если сессию на смартфоне оставить? Даже если пользоваться ей? (В смысле, понятно, что для взлома одноразовый код всё равно как-то выкрасть нужно, но как этому мешает наличие у телеграма доступа к идентификатору железа?)
Про «разбор при восстановлении» — явно нерелевантно, поскольку мы даже в этой теме видим кучу примеров, как поддержка телеграма ничего не делает.
Я подозреваю, что в случаях 4 и 5 чего-то работать не будет.Что именно не будет работать и как это мешает взлому?
Стоп. Каким образом наличие такого идентификатора мешает взлому, даже если сессию на смартфоне оставить? Даже если пользоваться ей? (В смысле, понятно, что для взлома одноразовый код всё равно как-то выкрасть нужно, но как этому мешает наличие у телеграма доступа к идентификатору железа?)
Ключики из кейстора смартфона и разные идентификаторы телефона угоняются и копируются хуже, чем весь тот набор, что в web приложениях для поддержания сессии используется. (Хотя это и пытаются исправить). Поэтому сессии на смартфона - доверия больше, чем сессии в браузере. А уже через нее можно спросить "тут новое устройство залогинилось/пытается залогинится." и предложить дальнейшую реакцию.
Для прмера смотри как Гугл делает. Он при многофакторной аутентификации спрашивает "пустить?" на телефонах, но не спрашивает в залогиненных в учетку браузерах. У Микрософта - насколько я помню, так же.
Что именно не будет работать и как это мешает взлому?
Это было уже независимо от 'помешать взлому'. Просто предположения о том, как оно работает (проверять лень, да). На вскидку - приложение без доступа к 'телефонным' интерфейсам может либо вообще не работать (у меня какое-то банковское приложение упорно не хотело работать на планшете без сотового модуля), либо будет как на десктопе. Т.е. SMS посылаться не будут.
Просто предположения о том, как оно работает (проверять лень, да).Просто предположения и у меня есть, и немало. Вопрос-то в другом, точнее их два. Первый — как это реально, а не предположительно, работает, и как этим пользоваться с минимальной угрозой для своих данных. А второй, как раз, такой: эта политика поддерживает пользователя (уменьшая вероятность взлома, например)? Или она направлена против пользователя (помогая гуглу выбивать из него big data, например)?
Прошу прощения за офтопик, но вдруг кто-то поможет?
Я живу на десктопе, а телефон у меня старый кнопочный (нокия 1100). Установить на него какое-либо приложение невозможно. Есть ли у меня при таком раскладе какие-то способы
зарегиться в Телеграмме, чтобы потом пользоваться им с десктопа?
Не заводя при этом второй телефон и не покупая новую симку? В стандартном варианте для регистрации нового юзера надо сначала установить приложение на смартфон, и только после регистрации со смартфона можно прицепить к аккаунту другие устройства (десктоп и др.).
А менять телефон мне очень не хочется,
тк. я постоянно сижу либо у компа, либо в походе. Дома мне более продвинутый телефон не нужен вообще: смс-ки с разными кодами я прекрасно получаю на нокию, а все остальное делаю через десктоп - это гораздо удобнее. А в походе нокия намного удобнее, т.к. она компактна, неприхотлива и мало весит, а также очень долго держит заряд, если пользоваться ей по-минимуму. А еще на ней троянов-вирусов можно не опасаться ;-)
И симка у меня тоже старая, большого формата. Поэтому я пока не смог найти современный телефон, в который ее можно вставить, чтобы завести аккаунт, а потом вернуть симку в нокию. Точнее, такие телефоны в некоторой окрестности моего радиуса существуют, но
все их хозяева уже зарегены в Телеграмме,
и они опасаются, что при регистрации второго юзера с одного и того же аппарата в установленном приложении какие-то настройки могут слететь. И уже у них возникнут проблемы... Они тут гуманитарии все... А я правильный ответ тоже не знаю, т.к. смартфоном не пользуюсь...
Ну и еще непонятно: если я все-таки вставлю свою симку в чужой телефон, зарегистрируюсь, а потом верну свою симку в Нокию - не нарушится ли от этого работоспособность моего свежесозданного аккаунта?
P.S. И симку я тоже поменять не могу
Она зарегистрирована на другого человека, который мне ее подарил в 2002г, а сейчас давно живет в другой стране. Т.е. сохранить номер при замене симки нельзя. А номер менять очень не хочется, т.к. он за 20 лет пророс корнями в огромное множество мест, которые я даже не все помню...
А как удалось обойти проблему FRESH_RESET_AUTHORISATION_FORBIDDEN, когда нужно, что бы прошло 24 часа после авторизации.
Ко мне обратились с такой же проблемой: угнали аккаунт, в смс истории ничего, просто зашли, через код в телеграм и тут же разлогинили хозяина. Зачем повыходили из части групп. При этом никакого спама или активностей.
Крутая вещь! Особенно в период помешательства на телеге. Пойду, проверю свои подозрительные сессии.
Как можно сделать resetAutorizations?
У дочери сегодня как раз выкинули из телеграм и её сессия не основная. При этом странно, что другая сессия была авторизована всего за полтора часа до этого. Убрать другие сессии не могу, у той сессии приоритет.
Я потом добавил 2fa, почту, удалил сообщения об этом, но боюсь, что утром могут это отменить и увести аккаунт.
История про угон Telegram аккаунта (отчасти успешная)