Comments 391
Горестное изложение плюс аналогичные истории приятелей напомнили стишок из детства.
Было три, а стало пять — всё равно берём опять!
Даже если будет восемь — всё равно мы пить не бросим!
Передайте Ильичу Дурову — нам и десять по плечу,
Ну, а если будет больше — то получится как в Польше!
Ну, а если — двадцать пять — Зимний снова будем брать!
...то есть перейдём на WhatsUp...
Там самый главный детский стишок это «У такого солидного продукта, как Telegram».
Телеграм, «в котором никогда не будет рекламы», и в котором однажды стало так, что любая сторона обычного (не секретного) чата может его полностью почистить — просто потому что его предводитель там чего-то переголодал и просвятился — солидный продукт? Который из некогда минималистичного мессенджера превратился в мельтешащее эмоджи (дополнительными — за бабки) попсовое поделие, в котором даже показ сторисов нельзя отключить — солидный продукт? Это пять, я считаю… ©
P. S. В карму уже успело прилететь — очевидно от обиженных фанатов. Но если говорить по фактам, то всё было именно так, как я сказал.
Начинал телегой пользоваться в 2015, это был настолько шаг вперед после ВК, что я туда насильно затаскивал все важные контакты. Ныне же - кроме 1х1 чатов, ничего и не хочется трогать, всё затёрто
В чем это был "сильный шаг вперёд"? В том что отдельный мессенджер? 😁
Телега была всяко удобней вк и прочих средств общения, кмк.
Сподручнее джаббера, мэйлру агентов, аськи (хотя статусы в телеге так и не ввели, к сожалению). Правда я начал юзать телегу только в 2019, а какая она была до того момента я даже не интересовался.
ХЗ, как мне кажется, особых отличий в удобстве от тех же Viber и Whatsapp у телеги не было. Народ начал на неё массово переходить из-за сообществ и чатов, в которых было (и есть) много уникального контента
Попробуйте зайти в тот же Whatsapp и скопировать часть сообщения, а не его целиком. Тг более функциональна и удобна чем большинство других мессенджеров. Вк последнее время так вообще тг копирует
Были отличия, и довольно много — например изначальная поддержка одновременной работы на нескольких устройствах. Кроме секретных чатов, конечно, но это так и задумано.
Ну и потом, хоть и не сразу, но там реализована моя идея про беззвучные сообщения, насколько я в курсе, этой фичи до сих пор больше нигде нет.
Редактирование сообщений. Аж бесило немного, когда какие-нибудь, взращенные вацапом и прочим, вместо правки начинали лепить повторы со звИздой
*звездой
— Ну и так далее. Довольно много чего, это лишь то, что сразу вспомнил.
Прелести вацапа:
невозможность сложить медиа на карту памяти. Особенно актуально было ещё несколько лет назад, когда было полно телефонов с 16-32 гигами ПЗУ
нет десктопного клиента под линух до сих пор, веб клиент вызывает жгучую боль ниже поясницы
вообще работа на нескольких устройствах сделана пер ректум, по факту оно работает на одном телефоне, если его выключить, всё отваливается
до недавнего времени нельзя было редактировать сообщения.
жесткая привязка к номеру телефона, ты обязан его говорить всем попало
отправка сообщений тому, кого нет в контактах телефона сделана настолько черед одно место, что я сам найти так и не смог за много лет, рассказали тут на хабре пару недель назад
В целом, более олтвратительного и неудобного мессенджера, чем вацап я не видел никогда, а я в сети уже 25 лет. Это какой-то эталон того, как делать не надо.
Про вайбер ничего сказать не могу, я про него слышал, но ни разу не видел ни у одного человека. Он вроде бы в каких-то местностях очень локально распространен в компактных группах
Народ начал на неё массово переходить из-за сообществ и чатов, в которых было (и есть) много уникального контента
Кмк, это беда современного интернета. Информация, разбросанная по чатам не индексируется, найти её невозможно, если не знать, где искать. Так добили форумы, отдельные выжившие представители, будучи исключениями, только подтверждают правило (
Правда, в вопросах юзабилити Павел тоже старается. Недавно обнаружил, что нельзя редактировать сообщения в личночате старше 48 часов и это нельзя отключить. На кой черт нужно это мудацкое неотключаемое ограничение, которое не даёт вести запиненый редактируемый туду-лист, например, решительно не понятно.
отправка сообщений тому, кого нет в контактах телефона сделана настолько черед одно место, что я сам найти так и не смог за много лет, рассказали тут на хабре пару недель назад
А поделитесь, плз, как это сделать. Мы как раз на Хабре.
wa .me / И номер международном формате без каких-либо символов Типа скобочек или дефисов, даже без плюса.
wa.me/79123456789
wa.me/3752461859 ...
Однажды даже такой генератор сделал: https://alekssamos.github.io/wa.html
9000 человек в месяц судя по Я метрике заходят. В поиске находят по запросам сделать ссылку на WhatsApp или копировать ссылку WhatsApp.
Просто в любом чате пиши номер, нажимай на него и в меню выбирай "начать чат". У меня для этого есть чат с самим собой. Создал временно группу из меня и двоих, потом двоих оттуда выкинул. Назвал группу избранное
без каких-либо символов Типа скобочек или дефисов, даже без плюса
Работает и с плюсом, и без плюса.
На f-droid было приложение, вроде, но я не ставил.
Вот тут мне объяснили, проверил, работает.
На кой черт нужно это мудацкое неотключаемое ограничение, которое не даёт вести запиненый редактируемый туду-лист, например, решительно не понятно.
В избранном (диалог с самим собой) такой проблемы нет.
А вы не пробовали просто отправлять сообщения через «+ > Search name or number”?
Прекрасно работает.
Нет, не пробовал, пока мне не сказали, что надо пробовать. Потому что в моём тридцатилетнем опыте общения с компьютерами и другим электронными устройствами, кнопка поиска рядом со списком ищет по этому списку, а не где-то ещё. А я совершенно четко знаю, что нужного мне контакта в этом списке нет и поэтому искать тут мне даже в голову не приходило. Мне вообще не нужно ничего искать, мне нужно куда-то ввести номер, который мне только что сказали. Раз уж вы завязали всё на номер телефона, то сделайте, как в любой звонилке: набор номера, либо выбор из списка контактов. UX в вацапе отвратительный и противоестественный, случайно так не могло получиться, это явно какой-то садист делал :)
Главный лично для меня плюс - именно что отдельный мессенджер, без постов, сторисов, и прочей соцсетевой дребедени которая только мешала общению. Но именно телега выделялась в том что оно работало очень шустро даже на слабых телефонах (особенно версия X когда только вышла), имело хороший, годный веб клиент (привет ватсапу), давало весь функционал бесплатно и без рекламы (можно было даже свои стикеры наклепать на раз-два, и расшарить их всем), в чатах была возможность редактирования сообщений, когда этого не было в (по крайней мере каких-то) приложениях ещё не было, и в целом пользоваться для чатов было куда удобнее.
Все отличия от минималистичного мессенджера сделал и телеграм телеграмом. Зато вор, вотсап каким был таким и остался, пользуйтесь на здоровье)
Это абсолютно беспочвенное утверждение. Мельтешащие емоджи это свисто-перделки, и это точно не про минимализм (как минимум интерфейса). А вот эти отличия, например, в глаз не лезут, они просто работают — если знать, как ими пользоваться.
анимации (точнее их включение/выключение) давно в энергосбережении настраиваются (Настройки ==> Энергосбережение)
Уже пояснял: «Скажите это тем платникам, которые выбирают себе в довесок к нику, ещё и какую-нибудь шевелящуюся шнягу рядом с ним. …»
А то, что с каких-то пор можно выключить хоть что-то из этих свистоперделок, так это конечно хорошо, но лучше было бы чтобы они по умолчанию были отключены тогда уж. А так у меня некоторые знакомые и уведомления про сторисы (из шапки чатов) per-contact убирают, вручную перетыкивая каждого. Вот оху…нно-то как, спасибо-спасибо за такое удобство!
В отличии от остальных продуктов, у телеграма можно взять исходник приложения, выпилить раздражающие функции, скомпилить и пользоваться дальше)
https://github.com/signalapp
Это можно сделать в других продуктах — Conversations, Signal, Matrix и так далее.
Но в отличие от остальных продуктов в Телеграмме как раз таки сложно/нельзя много что выпилить из исходников, потому что он не федеративный мессенджер, серверную часть изменить вообще нельзя, потому что она проприетарная и даже не source available.
Так что Телеграм тут проигрывает, конечно, многим конкурентам. Не говоря уж об отсутствии нормального e2e шифрования, как у многих конкурентов.
Мельтешение эмодзи можно отключить в настройках.
И, возможно, проблема в контенте, на который вы подписаны?
Мельтешение эмодзи можно отключить в настройках.
Скажите это тем платникам, которые выбирают себе в довесок к нику, ещё и какую-нибудь шевелящуюся шнягу рядом с ним. И уведомления про сторисы не отключаемы, как известно.
> И, возможно, проблема в контенте, на который вы подписаны?
Возможно, проблема в том, что вместо того, чтобы считать собеседника идиотом, стоит обратить свой взор на себя? А то дальше можно развить до «может проблема в том, что у вас контакты платные фичи используют, зачем вам такие контакты», «может проблема в том, что у вас зрение хорошее, зачем вы не сторону смотрите», ну и так далее.
И уведомления про сторисы не отключаемы, как известно.
Не эти уведомления. А те, что болтаются в шапке списка чатов. Если бы ещё и эти не отключались, я бы уже тележкой и вовсе пользоваться перестал.
в сторонних клиентах отключаются
И в сторонних мессенджерах — например в Signal. Не в «сторонних клиентах сторонних мессенджаров», а прям в самом официальном клиенте Signal. Вся суть претензий, что срать телеговцам на их пользователей и на собственные же обещания. Ху…кс, и уже твой чат с кем-то, этот кто-то может почистить, причём ладно бы только свои сообщения, но нет — и твои тоже. Ху…кс, и у тебя уже рекламные баннеры в группен-чатах. Ху…кс и сторисы могут постить только платники (так было какое-то время), а отключить уведомления о них в шапке чатов просто нельзя (до сих пор).
Как говорится, почувствуйте, кто тут солидный.
"Солидный продукт" в том плане, что убил систему тематических форумов и блогов, где была хоть какая-то относительная анонимность. В ТГ все это переместилось в одну базу. Ближайший аналог только ВК, но там пользователь совсем был "под колпаком", можно было кликнуть на любой пост и читать все его досье с друзьями и фотками. В телеге перс. данные убрали, но привязали телефоны. И через время большая часть интернет-флуда переместилась туда. В общем ВК 2.0, только без личных данных в профиле. Ну и разработчик один и тот же.
И название "мессенджер" у него больше для прикрытия. Он задумывался как мега-портал, в котором все будут тусить и постить прямиком в базу все, что они думают на разные темы, веря в свою анонимность.
А у вас есть доказательства что телега убила форумы? На форумах наоборот была видимость всех для всех, и разбиение на разделы темы, и хранение истории. И заботливо поддерживаемые FAQ. В пабликах телеграмма поиск очень убогий. А внешний поиск (как гуглом по форуму) невозможен.
Я сам в замешательстве, что поубивало форумы. Оттуда стали уходить люди, причем иногда это объяснялось странными реформами со стороны администрации или личными конфликтами. Но если на форум можно было прийти, общаться на определенные темы, создавать темы, задавать вопросы, получать ответы и знакомится то в телеговских пабликах просто идет поток сообщений. Заданный вопрос уносит по ленте вверх из-за того что ктото флудит, и если иу тебя есть 5 мин в день на этот паблик то ни вопрос задать ни знаний подчерпнуть, порой вообще не ясно, что там происходит.
Конечно сложно доказать, что дело в Telegram, но, в целом, это логичное предположение: чтобы писать на формуме, надо зарегистрироваться, а в случае с Telegram есть множество чатов (пусть не всегда того же уровня), где можно писать сразу.
Ну и у многих старых форумов не появилась версия для мобильных устройств, а это отталкивает современную аудиторию.
Обычно на форум приходят не на 5 минут, и если уж есть вопрос, то зарегистрироваться не проблема. А акутаыльные вопросы заданные другими висят в темах доступные для любого поиска и прочтения. А в чате знания не накапливаются, возможность поиска ограниченная.
так и форумы не были даны нам свыше, кто-то должен его запилить, модерировать, админить и вообще поддерживать
и в форуме, и в тележном чате с топиками приходится совершать некую работу, чтобы контент был удобным для восприятия
в телеге для удобства пользователей помимо поиска есть тэги и пины
просто надо чтобы кто-то их создавал и поддерживал, а пользователи - пользовали
я пользуюсь парой каналов, которые можно было бы назвать образцовыми, знаю, что это реализуемо
и есть чаты, в которых я сделать ничего не могу по причине отсутствия прав, а советам моим не внемлют, в итоге каждый новичок миллионный раз задаёт одни и те же вопросы, ответы на которые админы не потрудились даже запинить и/или обтэгать, не говоря уже о сведении их в FAQ, а сами пользователи не утруждают себя даже минимальным поиском
проблема всегда в людях, потому что нет ничего другого
А у вас есть доказательства что телега убила форумы?
Да как это можно доказать, просто тенденция сложилось. Куда тогда ушли те, кто раньше сидел по форумам? Убивать начали соцсети, ВК сильно подменил форумы. Но писать в соцсетях для многих было стремно, всю поднаготную видно. Соцсеть не сильно подходит для общения с незнакомыми. И тут выкатывается телега, где все тоже самое, но этой проблемы с личной информацией в паблике нет.
Оттуда стали уходить люди, причем иногда это объяснялось странными реформами со стороны администрации или личными конфликтами.
Ну правильно, народ уходит, трафик падает, администрации надо делать какие-то реформы, и возникают конфликты. В том числе из-за денег. Админим форумов в этом плане ТГ канал проще, меньше геморроя. И пользователям проще. не надо регистрироваться, запоминать адреса и пароли. Так форумы и стали сворачиваться.
Куда тогда ушли те, кто раньше сидел по форумам?
Кто-то сидит, у кого-то жизнь поменалась, а кто-то ушел потому что те с кем интересно общаться было поуходили.
Ну правильно, народ уходит, трафик падает, администрации надо делать какие-то реформы, и возникают конфликты. В том числе из-за денег.
Иногда бывают конфиликты строгих молчаливых модераторов с старыми пользователями. Но не в этом дело. На форумах во многих темах люди накапливают структурированые знания благодаря разбиению на разделы и темы. Ненинтеречнеы разделы можно не читать. В ТГ каналах сообщания идут в одной куче, то что было 100 сообщений назад уплыло навсегда, что-то найти крайне сложно.
Я сам в замешательстве, что поубивало форумы
На каждый форум нужно лазить по отдельному домену
На каждом форуме нужно регистрироваться и вести отдельную учетку
Каждый форум считает себя пупом земли со своими местными царьками, invite-only, правилами, системами прогрессии, борьбой со ссылками на сторонние ресурсы и прочими палками в колеса человеку, который просто пришёл общаться по интересной теме
Отсутствие адаптации под мобилку
Отсутствие нормальных современных поиска и сортировки постов
Дизайн и шрифты времён веб 1.0, старожилы привыкли и в этом ничего плохого, но молодёжь они отпугивают
Имхо Reddit все эти проблемы относительно других успешно решает, потому и популярен. Даже если контент где-то на стороннем ресурсе, сделают пост с ссылкой на него. Жаль только, что там одни американцы, а в ру сегменте нет подобной платформы, приходится бегать по Хабру, VC, DTF, opennet'у, Пикабу, ещё чему-нить в поисках хорошего контента по интересным тематикам.
Телега имхо вообще не аналог форумов, это скорее либо современная новостная лента либо IRC чатики с незнакомцами. Для какого-нить более-менее сплочённого коммунити дискорд подходит гораздо лучше чатика в телеграме.
Я сам в разное время зависал на форумах посвященных компьютерам, электронике, телефонам и их патчикнгу, фотографии, туризму. Ну и 4pda, но там я читатель. Часть форумов были региональными. С большинства я ушел по тем или иным причинам. Например телефоны сименс просто закончились и я перестал ходить на сименс клуб. А уход мой с некоторых форумов по фото обусловлен тем что оттуда куда-то поуходили те кто составлял значительную часть актива, и с кем было о чем поговорить. И многие темы на форуме были просто кладезь знаний для новичков. Регистрация, плохой поиск и старинный интерфейс не проблема. Адаптация под мобилку для меня не имеет значения, я с мобилки сайты не очень люблю читать, неудобно. И ладно, что старожилы поуходили, вообще такое впечатление что произошел некий распад сообществ. Раньше много людей толклось на меньшем числе рессурсов а теперь все расползлись непонятно куда по группам, чатам, и.т.п. И накопление знаний прекратилось.
Начало заката форумов началось еще до Telegram, в период рассвета социалок. В текущем виде, они уже не вписываются в сегодняшние реалии и остаются нишевыми ресурсами. Фактически, за 20 лет форумы мало поменялись. Сами форумы так-же в свое время вытеснили usenet, IRC и мейл листы.
Я про это и писал выше. Соцсети стали выдавливать форумы, а телега соцсети (из этой ниши сообществ). Если формулировать точнее, то "телега добила форумы". С соцсетями они хоть как-то конкурировали за счет анонимности.
Телега хоть и позиционируется как конфиденциальная, но только в плане содержания личной переписки. Но сообщества, подписки, и сообщения в них никто не шифрует, каждый пользователь идентифицирован, и все лежит в одной базе.
Соцсети также неудобны, как и телега. На форуме посты разбиты по темам, активно комментировать могут посты, созданные несколько лет назад. В соцсетях такие посты просто не найдёшь, они утонули.
Ну тут 50/50. На форумах, конечно, есть некоторая структура, но она постоянно нарушается, темы тоже теряются, или уходят в оффтоп, пользователи не пользуются поиском, а сразу создают свою тему, их за это пеняют, но все без толку. И некропосты тоже обычно не приветствуются, шансов получить ответ мало, по факту они read only.
В телегах никакой структуры нет, все в одной куче. Но там не не особо требуют, чтобы перед тем как писали - искали в этой куче. Можно сразу задавать свой вопрос. Хотя шансов на ответ будет меньше, вопрос могут перебить, а через час про него уже никто не вспомнит. Все более "поверхностно".
Но там не не особо требуют, чтобы перед тем как писали - искали в этой куче.
Ага, конечно. Это вы в чатах хотя бы на 10к человек не состоите, наверное. И поиском заставляют пользоваться и FAQ-и пишут и сообщения пинят и тегы выдумывают, чтобы искать было проще.
Преимущество форума в том, что по нему ищут поисковики. Информация достижима из условного гугла.
чата может его полностью почистить — просто потому что его предводитель там чего-то переголодал и просвятился — солидный продукт?
Т.е. вы предлагаете, чтобы этого не было? Я рад за вас, что увас всего 2-3 чата. Но когда у вас количество активное перевалит за 1000 - думаю к вам придет наконец-то просветление, и вы перестанете писать глупости. Бывают ситуации, когда остутствие этой функции былор бы просто катострофой. Скорее всего вы ведете тихую беззаботную сельскую жизнь, если не сталкивались с такими ситуациями.
Сторис - это да, не поспоришь.
Signal может?
2FA не включай @ всех подряд обвиняй
Да тут вообще комбо
Чего-то нажал, куда-то не туда ткнул - ну ладно, бывает
Ввел код для авторизации в левом месте, это уже в наше время не допустимо
Пароль как второй фактор не включен... ну я не знаю что ещё надо сделать, чтобы люди уже перестали жить без второго фактора, хотя, справедливости ради, если автор заходил по ссылке типа "проголосовать в конкурсе" и авторизоваться, то пароль он бы тоже ввел, но тогда работает все, что ниже
Сам уведомление о том что кто-то зашёл не прочитал, хотя оно должно было прийти на все устройства (и, кстати, их не может удалить злоумышленник, по быстрому)
Сам не воспользовался тем же преимуществом, что мог завершить сессию злоумышленника целые сутки, и злоумышленник бы так же ничего не мог сделать
Сутки не замечал странных активностей, хотя тут не факт, злоумышленники знают про работу с семьями и первые сутки сидят тихо и не палятся, обычно)
Но виноваты, конечно, все вокруг )
А безопасность начинается совсем не с техники, а в головах
Как я понимаю, у ваших родственников и знакомых всё идеально с информационной грамотностью, они никогда не ошибаются, не вводят коды куда не надо и никогда не попадаются на ловушки мошенников? Вам повезло с кругом общения. Тем, же кому не повезло, телеграм не даёт второго шанса после того как решили экономить на смс.
Это уже исключительно их проблемы. Очень много проблем в ИБ именно из-за таких вот недальновидных простачков. Это как говорить, что если к вам подошли цыгане на вокзале и, под предлогом "погадать", повесили на вас 3 кредита и забрали квартиру, то это не вы сглупили, а кто-то там недосмотрел за этими скамерами из средневековья
Из-за таких простаков и системы часто заставляют создавать пароли на миллион символов, которые обязаны содержать какие-то комбинации цифр, букв разных и тд. Для человека понимающего это всё так напряжно, а сделано для вот таких вот дураков
Так можно до бесконечности улучшать системы, чтобы "пользователь куда-то там не нажал и что-то там не ввел", но это скорее делает их ещё более тупее и наивнее
Тем более, автор именуют себя "JavaScript Developer", а не бабушкой из Тьму-Таракани, очередной повод задуматься о том, как недалеко он ушел от уровня этих не просвещенных родственников
Возможно вы увидели посыл в статье автора, что все виноваты, а не он. Лично я увидел, что "да, я ошибся, но дайте мне ещё один шанс".
Я тоже двумя руками за повышение грамотности людей. Но с вами не соласен, так как знаю, что люди неидеальны и могут поддаться обману. И если такие ситуации возникают довольно часто, то проблема не только в пользователях.
Но, к сожалению, даже подготовленный человек может под кучей нагрузки и постоянном прессинге таких инфо-цыган тоже сделать ооопс.
А узкоспециализированные спецы, кстати, ещё более впечатлительны, чем бабушки из Тьму-Таракани.
то это не вы сглупили, а кто-то там недосмотрел за этими скамерами из средневековья
Ну так и есть. То что сам сглупил - это факт, но если это мошенничество, то, вроде как, есть специальный орган власти, который должен мошенников найти, украденное - вернуть. Я про такое читал в детских книжках. Потому как иначе можно дальше логику распространять - убили не потому, что убийцы, а потому что зачем ночью шел, в штанах не того фасона и таким телефоном.
Имхо, так рассуждать ошибочно, и в любом случае должен быть арбитр, который, если хотя бы не накажет преступников, то вернет украденное (аккаунт). У меня, кстати, уводили - но очень хитро, написал на почту им, никакого ответа нет до сих пор. А аккаунт вернули. Без уведомлений.
У людей полно своих забот. Некоторые вещи хочется делегировать. Безопасность хочется делегировать тем, кто в этом разбирается (разработчики систем, которыми ты пользуешься, правоохранительные органы, чьи зарплаты это твои налоги).
Сам уведомление о том что кто-то зашёл не прочитал, хотя оно должно было прийти на все устройства
Я тут на один интересный объект съездил... 4 дня был без интернета и телефона с камерой. Бывает, что не читаешь уведомления днями - это норма.
Опять же, сообщений может быть столько, что просто их игнорируешь.
Сам не воспользовался тем же преимуществом
Не узнал - не воспользовался.
Но виноваты, конечно, все вокруг
Если аккаунт жестко привязан к телефону, то почему с помощью этого телефона нельзя восстановить доступ к аккаунту или хотя бы заблочить все остальные попытки входа?
Ни кто бы не выпендривался, если бы телега была анонимным мессенджером.
Я тут на один интересный объект съездил... 4 дня был без интернета и телефона с камерой. Бывает, что не читаешь уведомления днями - это норма.
Ну так в это время и доступ к твоему акку телеги никто получить не сможет (если не увёл номер или не сдублировал симку). Потому что требуется подтверждение через уже авторизированый клиент онлайн.
Так таких клиентов может быть с десяток.
Я, например, авторизован на двух телефонах, трех ноутбуках и двух стационарных ПК.
Хочу вам сообщить, что если к вам на компьютер/ноутбук попал стилер и украл сессию телеграма, вы, во-первых, никогда не узнаете, что кто-то по ней зашёл (если он зайдёт через подмену tdata), во-вторых, он сразу сможет завершать все остальные сессии.
Я тут на один интересный объект съездил... 4 дня был без интернета и телефона с камерой
В тюрьму загремел что ли?
Других вариантов нет. Ведь на каждом из 17 миллионов квадратных километров площади России есть надежный быстрый мобильный интернет, а других стран и роуминга не существует в принципе.
Нет, хотя местами похоже. В тюрьме, как я слышал, телефоны всё же запрещены. А у меня телефон был официально, хоть и бабушкофон. Просто режим, особенно на фоне невойны.
Мсье, вы можете не пользоваться столь ужасным мессенджером, и выбрать любой другой на своё усмотрение.
Тут фишка в другом. Телефон к аккаунту привязывают якобы для восстановления. Но именно для этой цели он и не работает.
Ну на самом деле, поведение телеги очень странное даже без включенной 2FA. Если уж СМС выбраны как единственный фактор авторизации, то они должны работать соответственно и иметь высший приоритет. То есть, при восстановлении доступа через СМС, все остальные сессии должны заканчиваться.
если автор заходил по ссылке типа "проголосовать в конкурсе" и авторизоваться, то пароль он бы тоже ввел, но тогда работает все, что ниже
Так кто-то пошутил про аппаратные ключи. А почему бы, кстати, телеге не сделать поддержку аппаратных ключей в качестве второго фактора, чтобы ни один Швондер...
Простите, но у Вас не бывает случаев, когда вы больше суток не пользуетесь мессенджерами?
Я, например, могу уехать в поход на несколько дней в места, где нет ни Интернета, ни мобильной связи. Очевидно, что в таком случае уведомление о входе на новом устройстве останется незамеченным, возможности завершить сессию злоумышленника также не будет.
Эмоции ТС понятны, а вот вторая часть Вашего комментария нет.
Сам уведомление о том что кто-то зашёл не прочитал, хотя оно должно было прийти на все устройства (и, кстати, их не может удалить злоумышленник, по быстрому)
Сам не воспользовался тем же преимуществом, что мог завершить сессию злоумышленника целые сутки, и злоумышленник бы так же ничего не мог сделать
Ну вот я летом был неделю в гораз без связи. Если б что-то и случилось, не смог бы никак среагировать.
Есть противоречие между возможностью сменить идентификацию и защитой от угона. Но лично я бы хотел иметь код, выдаваемый при генерации и нечитаемый позднее в профиле, по которому я бы мог восстановить доступ без возможности меня выбросить. Код одноразовый, с выдачей нового сразу после первого входа, чтобы не использовать в качестве пароля.
Тогда при любом угоне у меня был бы надёжный механизм возврата.
Введение профилактики не означает, что на лечение можно забить.
Пароль в телеграм тоже можно обойти, сбросить его через электронную почту. А адрес почты указать прямо перед сбросом пароля. Т. е. угнать аккаунт вообще зная только номер телефона
Почту вроде можно указывать только в каком-то небольшом списке стран. Для остальных такой возможности нет в принципе.
Проверил - я ошибся, не так, чтобы совсем зная только номер.
Чтобы завладеть аккаунтом не зная пароль, нужно иметь возможность получить код на телефон или ранее привязанное устройство.
А потом, уже, введя почту, можно сбросить пароль. Т. е. не стоит забывать авторизованные в телеграмм устройства там, где их могут найти и использовать против вас.
Обычно телега - далеко не самое критичное приложение на "забытом и разблокированном устройстве". Но ещё не скоро наступят (если вообще наступят когда-нибудь) те времена, когда обычные юзеры будут адекватно следить за безопасностью своих устройств.
Если не критичное приложение, за которым можно не следить (с родственниками-друзьями общение), то и пофиг на аккаунт, создать новый вроде не слишком сложно/дорого. Прекрасный способ отписаться от старого мусора.
Если же потеря аккаунта критична, довольно странно ожидать что заботиться о его сохранности и бороться с ошибками и разгильдяйством владельца аккаунта должен кто-то другой.
Я вообще-то совсем другую мысль имел в виду: что на таком устройстве обычно есть намного более ценные данные/приложения, поэтому за ним нужно следить, защищать и не терять вовсе не ради телеги.
Если же потеря аккаунта критична, довольно странно ожидать что заботиться о его сохранности и бороться с ошибками и разгильдяйством владельца аккаунта должен кто-то другой.
А лично Вы уже забрали все свои деньги (кроме мелочи на текущие расходы) из банков и перенесли в крипту на некастодиальном кошельке? Если нет, то почему Вы ожидаете, что о сохранности Ваших средств будут заботиться сторонние организации вроде банков?
Далеко не все, кто выглядят взрослыми - реально в состоянии сами о себе позаботиться. Множество "вроде бы взрослых" людей предпочитает доверять заботу о себе совершенно посторонним людям, лишь бы не напрягаться самим. И да, потом они сильно удивляются, когда эти посторонние люди блокируют им доступ к их же собственным деньгам/аккаунтам/etc. Удивляются, возмущаются, иногда даже статьи про это "безобразие" пишут - но ничего в своей жизни не меняют.
намного более ценные данные/приложения, поэтому за ним нужно следить, защищать и не терять вовсе не ради телеги.
+!00500
А лично Вы уже забрали все свои деньги (кроме мелочи на текущие расходы) из банков и перенесли в крипту на некастодиальном кошельке?
А я и не жду. Если я просру карточку, предварительно написав на ней пинкод, я не буду банку претензии предъявлять. Даже если сам физически был в другой стране и точно не сам у банкомата стоял.
Аналогично и с "потерял разблокированный телефон", "установил себе какой-то вредонос". При этом я прекрасно понимаю, что от такого не застрахован. Но валить на банк (или кого бы то ни было) собственный факап - не мой стиль.
Что делаю, так это раскидываю средства мелкими кучками по разным банкам, в т.ч. в СНГ, чтобы в случае чего терять не катастрофически все.
почему Вы ожидаете, что о сохранности Ваших средств будут заботиться сторонние организации вроде банков?
потому что так в договоре/законах прописано?
А, ну тогда всё в порядке! Ведь когда всё пойдёт по плохому сценарию Вы сможете подать в суд, и… а, собственно, что?
Вам вернут ваши деньги? Восстановят доступ к аккаунту в телеге или гмэйл (тут в соседней статье как раз история про потерю доступа к гмэйл - объединяет их то, что у гмэйла тоже саппорта нет :-))? Сильно в этом сомневаюсь. Если банк лопнул или криптобиржа соскамилась, то, возможно, какую-то часть денег и вернут - спустя годы. А в плане аккаунтов телеги/гмэйл чтобы там не решил местный суд - и гугл и Дуров будут иметь это решение…
Но чаще всего суд в принципе не решит в Вашу пользу, просто потому, что согласно упомянутому Вами договору выяснится, что никто ничего Вам не должен и Вы с этим когда-то согласились, подписав этот договор. Потому что не прочитали его достаточно внимательно. Или прочитали внимательно, не со всем согласились, но никто ради Вас уникальный договор составлять не собирался, и весь выбор, который у Вас был - или не открывать счёт в этом банке, или открывать на не устраивающих Вас условиях. Выбор без выбора, по сути, потому что у других банков в договорах всё то же самое написано. Или, ещё смешнее, когда-то согласились с тем, что договор может меняться в одностороннем порядке без предупреждения тупо путём обновления выложенного публичного договора на сайте компании.
Не поймите неправильно. Да, договора и законы работают. Но - только между равными. Два человека могут судиться между собой, два банка могут судиться… и тогда договора, законы и юристы смогут на что-то повлиять. Что характерно, между равными никто не может навязать шаблонный договор в стиле "подписывай как есть или иди нафиг", между равными есть возможность при заключении договора его предварительно согласовать. Только тогда можно надеяться, что договор Вас может защитить. И то, без гарантий.
то и пофиг на аккаунт, создать новый вроде не слишком сложно
Новый аккаунт к тому же самому номеру? А так можно? Тогда о чем вообще весь разговор?
те времена, когда обычные юзеры будут адекватно следить за безопасностью своих устройств.
Адекватно чему? Тому отбитоголовому гику который придумал из телефона сделать сейф со всем своим имуществом и деньгами и таскать его с собой?
На самом деле это конечно не глупость, а целая гигантская индустрия решения созданных ими же проблем за вполне себе реальные бабки пользователей.
А мне это, простите, зачем? Мне не надо в пятницу вечером в кабаке брать ипотеку или продавать квартиру. Но я не могу отказаться от этой "прекрасной" возможности. Чьё-то удобство не должно создавать для меня обязанности. Развлекайтесь за своё счет.
Мне телефон и телега нужны только чтобы с любовницей интимными фото обмениваться. Ну сопрут его у меня. Получат обшарпанный телефон за 5 тыщ на авито и символичное фото МПХ на котором я вертел этих мошенников. Вполне приемлемый риск для меня, чтобы пьяным оставить в кабаке телефон.
Адекватно важности тех данных, которые вы сами на это устройство добавили. Только что купленный телефон не имеет доступа ни к вашему банку, ни к вашей почте, ни к вашим паролям, ни к вашей телеге… И пока всего этого на нём нет - теряйте его на здоровье.
Гики много чего придумали хорошего (включая гораздо более безопасные мессенджеры, чем телега). Но юзеры на свои телефоны ставят то, что они хотят, а не что им гики придумали-и-рекомендуют, к сожалению.
И пока всего этого на нём нет - теряйте его на здоровье.
Вот вы и попались.
Вам не надо ставить приложение банка на смартфон чтобы у вас его украли. Его вор поставит сам. На симках сей-час даже по умолчанию нет пинкода. Достаём симку из телефона и ставим приложение банка с полным доступом. Понадобится код из СМС и +/- от банка некоторпое количество публичной по сути информации (вроде номера карты). Есть разные защиты в виде суток охлаждения, которые не дают гарантий и при желании элементарно обходятся. Отказаться от такого доступа на сколько я знаю в РФ нельзя ни в одном крупном банке и скорее всего вообще ни в одном.
С продажей квартиры вы просто потеряете 2/3 клиентов если не установите какую-то стрёмную туфту на телефон под разговоры представителя банка "да не парьтесь, всё будет нормально, все лохи так делают".
Есть огромное количество сервисов от которых или вообще нельзя отказаться или у них нет альтернативы и их по сути навязывают вам.
Отдельный телефон который дома лежит на полке (а зачем он мне вообще?) только для этих целей тоже не панацея, т.к. вы устраняете одни риски и приобретаете/усиливаете другие.
В любом случае, сотни тысяч кинутых мошенниками людей, миллирды украденных денег, говорят о том что в консерватории что-то не так. Не важно кто "дурак", достаточно события.
которые вы сами на это устройство добавили. Только что купленный телефон не имеет доступа ни к вашему банку
К вашему банку имеет доступ симка. Ваш телефон не нужен, вашу симку перевыпустит "маринка" в Биробиджане. Ваш пароль тоже не нужен, его сбросят по коду из смс, которая придёт на симку, которую перевыпустит "маринка" в Биробиджане.
Нормальные банки ещё обычно проверяли какая именно симка использовалась (они как-то её индентификатор видят) и могли не пустить всё равно в акк.
Подробности не расскажу, т.к. симку менял давно, ещё до возможности перехода между операторами с сохранением номера. Возможно уже всё поменялось с тех пор
Не проверяют уже давно. Как максимум, сутки вам банковские смс приходить не будут. Банку не выгодно, чтобы вы ходили в отделение и отвлекали сотрудника. А прскольку риски несёте вы, на безопасность вашиж денег банку плевать.
А основная (настоящая) симка после этого становится мусором и ее можно выбросить? (то есть, атака, хотя бы заметной будет). Или будет работать после отключения симки жулика?
на основную сим придет смс что "вы меняете симкарту". Если эту смс успеть заметить, то можно успеть звонить в опсос - но делать это надо с другой симки - т.к. эта быстро из сети вылетит прямо в процессе разговора (на форумах банки.ру делились печальным опытом).
Но если жулик предусмотрительно предварительно симку заблокирует как потерянную (у некоторых опсосов, если нет кодового слова, это может сделать любой по звонку в опсос, зная номер телефона и паспортные данные), то на сим-жертву даже смс не придет, в сети она перестанет регистрироваться, и да, можно выбросить
На опыте - в Райфе, при указанной в ЛК почте, для доступа в ЛК только смс недостаточно - код для сброса пароля высылается на почту (пароль от которой, к счастью тоже не сбрасывался по смс :)
Первый адекватный комментарий. Он этого безумия, которое сотворили с мобильными телефонами, от ситуации, когде все деньги человека в банке защищены только кодом из смс с симки, которая человеку не принадлежит и может быть перевцыпущена кем угодно где угодно, волосы давно шевелятся в самых нескромных местах. А больше всего я офигеваю от того, что когда пишу об этом тут специалистам, мне в ответ говорят: "а чо, нормально же, удобно, ты ретроград"...
Сброс пароля срабатывает через неделю после уведомления. За это время его можно отменить.
Почта по каким то критериям разрешается, по типу сидел на одном устройстве много дней
Т. е. угнать аккаунт вообще зная только номер телефона
Нет, нужно иметь доступ к другой сессии или устройству, чтобы получить код верификации.
А адрес почты указать прямо перед сбросом пароля
Нельзя так сделать. Если почта не указана появится сообщение, что можно только сделать reset аккаунта. Это совсем не то же самое, что "указать почту прямо перед сбросом пароля". Если бы так можно было, это было бы просто смехотворно. 2FA пароль в телеге - это весьма надёжное средство против угона аккаунта, только почту не надо указывать.
Можете пояснить, почему почту не надо указывать?
Потому что почту часто ломают в первую очередь. На неё у большинства всё завязано. Если злоумышленник получит доступ к вашей почте, он сможет обойти 2FA. Смысл 2FA просто теряется. 2FA должен быть настолько надёжным, насколько возможно. В большинстве случаев доступ с 2FA восстанавливается одноразовыми кодами, которые надо хранить в надёжном месте или только через службу поддержки (которой в телеграме нет (-: ).
Почту можно указать, но такую, которую никто не знает, и которая больше ни для чего не используется. Можно использовать сервис для анонимизации почты, например, SimpleLogin.
Резонно, спасибо.
Но если сама почта защищена 2FA, то вроде это уже не проблема — указать её для восстановления телеги (подразумевая, что ваш почтовый сервис не мэйлру-подобная контора, ЕВПОЧЯ).
UPD: от почты, имхо, есть ещё одна польза: если вы-таки потеряли доступ к телеге, то телега с большей вероятностью пришлёт вам письмо на почту, чем отошлёт смс (платный) или сделает звонок (тоже, вероятно, платный). Мне, например, при переносе телеги на другой смартфон не приходил смс, а код на старый смарт *в телегу* не приходил, пока я не задал через него email для восстановления — не уверен правда, связаны ли эти две вещи. Смс я так и не дождался, а 2FA включён, разумеется.
Если злоумышленник получит доступ к вашей почте
Если.
Мне нравится идея привязки к почте, потому что почт - много разных, вплоть до собственной. Соответственно, соблюдается идеальное (на мой взгляд) сочетание безопасности - у вас будет именно такая почта для логинов, безопасность которой вас устраивает.
Это не поможет, если пользоваться помимо кода ввёл и этот пароль. Да, вы можете смеяться над такими пользователями, что они сами дураки и вообще не очень умные по жизни. Но не все довольно опытные и осторожные в этой жизни. Речь в статье идёт о том, что даже если пользователь оступился один раз, то аккаунт ему не восстановить, так как телеграм построил удобную систему для злоумышленника, но не для пользователя.
Нет. Если пользователь и ввёл пароль от 2FA, то атакующий сможет зайти, но не сможет ни поменять пароль, ни выкинуть пользователя из системы. Потребуется снова ввод ключа 2FA.
Если пользователь несколько раз предоставил ключи 2FA, то... ну не надо такому иметь аккаунт в телеграме, хорошо?
Здесь же люди хотят традиционную схему "всё через почту, почте доверяем полностью". Которая надёжна с точки зрения сервиса, но вот утрата почты ведёт к безоговорочной утрате всего, что к ней привязано. То есть СМС мы не доверяем, а вот mail.ru мы доверяем, да.
Пароль 2FA вводится пользователем на специальном фишинговым сайте, поэтому после первого же ввода злоумышленник знает его и спокойно убирает через время. Попробую следовать вашему совету и сказать людям, которые пользуются телеграмом, что им следует удалить аккаунты, раз они такие безграмотные.
Здесь люди хотят адекватного механизма возврата аккаунта. Пусть через почту будет недоступно восстановление, но хотя бы будет сброс аккаунта, как раньше у телеграма работало через их сайт и смс код.
2FA вводится пользователем на специальном фишинговым сайте, поэтому после первого же ввода злоумышленник знает его и спокойно убирает через время
А, так вы даже не знаете что такое 2FA и как оно работает...
Подскажите, вы состоите в каком-то сообществе, которое не может распространяться про 2FA или вам снобизм подсказывает общаться загадочными предложениями, мешая раскрыть мысль?
в телеге можно нормальный второй фактор подключить? там по-моему обычный текстовый пароль и все
edit
Ну т.е. код из SMS первый фактор, текстовый пароль второй. Я щас специально зашел в настройки, не нашел больше ничего, думал, неужели наконец-то нормальную аутентификацию завезли :(
Ну так-то это нормальная двухфакторка. Один фактор - "я знаю" - пароль, второй - "я имею" - SIM-карта или девайс с уже авторизованным аппом.
Проблемы тут в другом:
2ФА не гарантирует защиты, т.к. авторизовать новый девайс можно при помощи фишинга или там кейлоггера, а после выдерживания какой-то паузы он станет доверенным и с него можно будет гасить другие сессии;
способа восстановить доступ, если эту 2ФА таки умудрились обойти, в принципе нет.
Да, это хреново, что нет TOTP. Но от многократного фишинга или от кейлоггера на устройстве и TOTP плохо поможет.
в Телеграме есть отдельные подтверждения по СМС на добавить устройство, удалить устройство, а убрать пароль можно только зная пароль.
Внимание, вопрос: если телефон перехвачен и/или пользователь искренне отвечает на несколько последовательных фишинговых запросов, то какая вообще схема идентификации это выдержит? Аппаратный ключ и то не поможет - можно будет отвязать его. Привязка аккаунта к Госуслугам?
Так что да, схема защиты в Телеге не лучшая, но далека от неадекватной или небезопасной. Если б в ней были детские дыры, Дурова сачком бы не ловили.
отдельные подтверждения по СМС на [...] удалить устройство
Где? Вот только что отключил сессию на другом устройстве без малейших подтверждений. Клиент для Андроида, стандартный, из стора.
Попробую ещё новую создать, выждать сутки, чтобы она перестала новой считаться, и с ней поэкспериментировать, но вообще гасил старые сессии не раз, и вообще не помню, чтобы когда-нибудь подтверждений просили.
Старые гасятся мгновенно. Только что это делал в связи с "переездом". интересно еще, что пока не подтвердишь, что авторизовал устройство, второе добавить нельзя.
Ну т.е. я сперва в браузере авторищзовался по быстрому. Так пока не подтвердил на авторизованном, что все ОК, приложеньку авторизовать не мог.
Возможно идея для параноиков - третий фактор защиты - не подтверждать фиктивную сессию из инкогнито браузера, пусть висит на экране, зато новый не подключить :)
Так вы расскажете о 2FA в телеграме, про который я не знаю по вашему мнению или мне необходимо вас умолять об этом?
Внимание, вопрос: если телефон перехвачен и/или пользователь искренне отвечает на несколько последовательных фишинговых запросов, то какая вообще схема идентификации это выдержит? Аппаратный ключ и то не поможет - можно будет отвязать его. Привязка аккаунта к Госуслугам?
Подписание заявление у нотариуса и заверение нотариусом подписи?
Ньюанс в том что как минимум часть (возможно это вообще общее требование?, я только про конкретные случаи знаю) нотариусов откажется даже просто заверять подпись если не понимает смысл заявления а уж если по мнению нотариуса клиент не понимает что подписывает - не будет точно заверять.
Но - это совсем не бесплатно и не мгновенно.
авторизовать новый девайс можно при помощи фишинга или там кейлоггера
Это как? Или вы имеете ввиду, что надо и пароль украсть, и устройство (ну или код с СИМ карты хотя бы)?
Ну вот есть у меня девайс с уже авторизованной аппой. Я ставлю телегу на новый комп. Он выдает QR код. Я сканирую его с уже авторизованного устройства. Либо я могу получить SMS при наличии СИМ карты.
На этом все. Появляется окно ввода пароля.
Конечно, можно придумать вектор атаки, когда некоторое устройство живет долго, и только потом на него устанавливается Телеграм. Причем все это время на устройстве живет кейлоггер, никаких других гадостей не делающий (не ворующий другие учетки, не интересующийся банковскими приложениями и т.п.), а исключительно поджидающий, когда же вы сподобитесь установить Телеграм, чтобы угнать ваш 2FA пароль.
И тот же самый злоумышленник должен иметь "первый фактор" (код из СМС, ваше авторизованное устройство...)
Больше похоже на очень большую и дорогую заказуху, чем на реальный сценарий угона телеги у обычного пользователя.
Нету, так оно и есть. Я уже лет 10 жду появления F2A в телеграмм, периодически мониторю, но они даже не думают делать эту систему. По какой-то причине. За то в том же steam я не знаю на сколько голов выше безопасность…
Согласен. У знакомых ребёнок 5 лет потерял аккаунт. Вернуть не получается. Вот если бы можно было прислать, например, данные из переписки, чтобы подтвердить свою личность, как это у мейл ру сделано
Уточняю, а то сам забыл: конкретно у Телеграма одноразовые ключи на операции рассылаются обязательно, в то время как подключение традиционного постоянного пароля опционально(и называется вторым фактором). Суть это не меняет, но нужно не запутаться в терминологии.
Нет. Если пользователь и ввёл пароль от 2FA, то атакующий сможет зайти, но не сможет ни поменять пароль, ни выкинуть пользователя из системы. Потребуется снова ввод ключа 2FA.
Вы знаете, как-то очень даже меняет суть вашего утверждения выше. А именно, что злоумышленник всё же может спокойно убрать облачный пароль, что вы категорически отрицаете.
У меня была включена 2FA. Но одним прекрасным утром меня разлогинило со всех устройств. И нет, это был не взлом, просто сервер решил прекратить все мои сессии на устройствах. Код для логина мне не приходил. Писал в поддержку, как и автор, везде где можно (каналов несколько). Ответа ни где не получил за несколько месяцев. В итоге пришлось отправлять симку почтой в другую страну, упорно гуглить эзотерические методы снисхождения кода авторизации и проводить шаманский обряд.
Доступ к своей телеге в итоге вернул, но как и автор - убедился в полном отсутствии суппорта в телеграм. И это ещё без взлома, просто каприз системы. Если бы мне ещё кто-то противодействовал я бы вообще вряд ли чего-то добился.
Почему никто не интересуется, каким образом крадется ("взламывается") аккаунт? Хочу вам рассказать, как это происходит в наши дни (да, был грешен, когда-то был замешан в разработке стилеров): на компе жертвы вредонос ищет папку "tdata" и просто пересылает содержимое этой папки на сервер стилера. Имея эту папку, злоумышленнику даже не нужно знать номер вашего телефона! Дальше есть несколько вариантов:
1) Редкий сценарий (в основном у начинающих): скачивается Telegram Portable, рядом с ним кладется папка "tdata", которую злоумышленник благополучно украл у жертвы и ТА-ДАМ, телеграм как ни в чем не бывало открывает аккаунт жертвы, минуя все проверки (да-да, 2FA тоже, так как телега думает что это та же самая сессия, которая была у жертвы). Никаких уведомлений тоже не приходит, так как сессия то старая (единственное, Telegram может выкинуть второго юзера, если он зайдет в то же время).
2) Наиболее популярный сценарий: сессия скриптами переводится в формат .session и ваш аккаунт отправляется на площадки (lolz guru яркий пример, там даже происхождение аккаунта указывается как "стилер"). При этом покупателю даже не нужно скачивать Telegram Portable, если он хочет проверить аккаунт: скрипты умеют извлекать из tdata нужные ключи и подставлять их в web.telegram.org, юзер просто переходит по ссылке и видит сразу авторизованный аккаунт)
Почему Telegram хотя-бы на уровне железа не введет проверку (серийник ЖД, MAC-адрес, другие fingerprint'ы) и в случае их смены запросит повторно тот-же самый 2FA - для меня вопрос риторический.
Как от этого защититься? Единственный рабочий способ - поставить пароль на приложение (именно на приложение, а не на аккаунт). Никто не будет заморачиваться вашим аккаунтом, если вы не являетесть целью злоумышленника. А если у злоумышленника поставлена цель взломать именно вас - тут уже в игру вступают другие "способы". Ну и не качать всякие кряки, активаторы Windows и т.д., особенно если в инструкции написано, что нужно отключать антивирус. Никто никогда не работает бесплатно - разработчики кряков в том числе.
Нет никакого достоверного способа убедится в том, что ваша сессия не украдена - вы узнаете об этом только после того как кто-то приобрет ваш аккаунт и начнет рассылать спам другим людям. Поэтому мой совет - обновляйте сессии хотя-бы раз в полгода (даже если она у вас единственная)!
А не известно, как вот эти смс-коды получают? Мне приходили сообщения вроде:
Incomplete login attempt. Dear QQQQ, we detected an attempt to log into your account from a new device on 22/06/2024 at 07:09:43 UTC.
Device: Telegram iOS, 10.14.1 (29180) , iPhone XR, iOS, 16.3.1
Location: Douala, Cameroon
Nobody gained access to your chats because the login was not completed. The code was entered correctly, but no correct password was given.
поясните плиз про "поставить пароль на приложение" - как он защищает сессию?..
вероятно, сам дурак;
На этом можно было статью заканчивать и выключать обиженку.
Если пользователю из каждого утюга предлагают защитить свой аккаунт более сложным паролем и двухфакторкой, а тот плюёт на это.... Конечно же пользователь не виноват.
С одной стороны да, но с другой стороны - телега очевидно бабки приличные рубит, в чём проблема завести нормальную тех.поддержку?
В убыточности компании с момента основания?
А она всё таки убыточная?
Да, на каждого пользователя 30 центов убытков за прошлый год или $170 млн убытков при доходе в $340 млн
На что такие огромные суммы уходят? Не уж то надо настолько много мощностей чтобы поддержать мессенджер и где брать столько денег, где найти столько спонсоров?
Телеграм изначально создавался с совершенно другой философией и целью.
Цель создания телеграм - безопасный, приватный месседжер. Доходность видимо на втором плане. Что мы и наблюдаем всё время существования телеграм.
Но на счёт безопасного Телеграм я сомневаюсь, т.к. сам лично наблюдал паранормальщину, которая побудила меня отказаться от мобильной и десктопной версии и перехода только на веб версию через браузер с запуском из jail/fairjail.
Если коротко, то кто-то из разработчиков запилил код в телеграм клиенте, позволяющий выполнять удалённо что-то, возможно даже что угодно, вплоть до полного управления Android-ом, т.к. паранормальщину зафиксировал на андройде.
Чуть подробнее: более 2 лет назад я установил на андройд программу джаммер, опенсурсную из репозитория F-DROID, чтобы блокировать микрофон всем приложениям, когда смартфон не используется. Android недавно перепрошил, установил фаервол NetGuard из репозитория F-DROID и установил только 1 программу с сетевым функционалом, работающую постоянно, даже в фоне с выключенным экраном - это был Телеграм, тоже установленный из репозитория F-DROID.
Напоминаю, что все программы из F-DROID собираются из исходного кода и лог сборки доступен всем для ознакомления.
С 22:00 до 9:00 мой смартфон автоматически переводится в режим "Не беспокоить" и все звуки отключаются.
И ровно в эту же ночь я просыпаюсь от жужащего непонятного звука (такой звук я слышал впервые), понимаю, что это жужжит смартфон, беру в руки смартфон, открываю фаервол NetGuard и вижу 2 новых установленных TCP соединения, которые появились меньше минуты назад, т.е. ещё до того как я включил экран смартфона и открыл NetGuard. К тому же тот, кто эксплуатировал данную уязвимость ещё как то могут обходить установленные настройки андройда, т.к. звуки были отключены.
Совпадение? Не думаю.
Толи до этого случая, толи после когда я начал интересоваться подобной паранормальщиной я нашёл какой то смартфон в продаже, позиционирующийся как безопасный с защитой от спецслужб. Я задал пару вопросов компании и толи на следующий день толи позже я видел сам лично, как зазвонил кнопочный телефон бати, ответить на звонок никто не успел, но после того я начал смотреть кто звонил, во входящих вообще отсутствовал пропущенный звонок. Такие фокусы могут делатся при звонке напрямую на модем, когда факт звонка даже не доходит до операционной системы, поэтому звонок не фиксируется во входящих. Такое оборудование для таких звонов не продают обычным физ. и юр. лицам, это возможности гос-спецслужб.
Вот и вопрос - какова вероятность, что официальный клиент забекдорен именно под спецслужб? Ответ очевиден.
Павел Дуров, если вдруг прочтёшь это сообщение - у тебя среди разработчиков похоже предатель/агент, пишуший уязвимый код, позволяющий творить с андройдом что угодно.
История звучит почти как крипипаста)
Ну вот вам ещё один пример паранормальщины, как вы такое можете объяснить.
Калуга, Билайн, Мобильный интернет.
Имеем SSH соединение, а потом бац и в соединении появляется HTTP пакет с редиректом на билайновскую заглушку и флагами "FIN, PSH, ACK":
HTTP/1.1 307 Temporary Redirect
Location: http://blackhole.beeline.ru
а потом ssh клиент инициирует разрыв, а пакеты не доходят до ssh сервера, как результат ssh соединение отваливается по таймауту.
Ничё так, да?
Откуда в SSH соединении HTTP пакет? Http пакеты не стандартизированы в RFC SSH.
Сейчас поднял обсуждение на NTC, присоединяйтесь.
HTTP - да банально DPI сработал, у вас в трафике паттерн попался похожий на веб запрос, а Билайн любит перехватывать незащищённые соединения и вставлять свои данные.
Вибрация в прошлой истории - какой-нибудь PUSH SMS от оператора, бывает, но никакой магии. TCP соединения внезапно создались - в андроиде много всяких сервисов на каждый чих в сеть лезут, вот вообще не сюрприз.
В мире нет магии, всё объяснимо и обычно ответ достаточно банален
Билайн любит перехватывать незащищённые соединения
Так в том то и дело, что у меня SSH сессия, защищённая.
в андроиде много всяких сервисов на каждый чих в сеть лезут
1) У меня андройд прошивка без гугло-сервисов
2) сетевых онлайн приложений, лезущих в сеть нет, только телеграм один клиент
3) у меня запущен фаервол NetGuard, доступ в интернет разрешён у единичных программ. К тому же установлен режим отключать интернет у всех приложений при выключенном экране, кроме телеграм.
какой-нибудь PUSH SMS от оператора
1) у меня беззвучный режим был
2) это не повод жужжать в течении 5-7 секунд непонятными звуками
3) смс от операторов не лезут в интернет. Возьмите AOSP, LineageOS и посмотрите как она работает, там ни одного лишнего пакета/пинга нету. Это чистая ось без блоатваре-кода.
В мире нет магии
Есть. Например, то что когда я иду куда то, то все уже знают что там буду я и когда и с какой целью. А когда террористы идут совершать теракт, то почему то никто не знает ничего.
DPI работает с потоком данных, ему показалось, что это HTTP, он и послал редирект.
Беззвучный режим работает только на уведомления. Например, на моем телефоне он не влияет на вибрацию системных штук
А про знания - скорее всего в таких случаях вы идете туда, куда вас направили, прямо или косвенно (реклама, намеки). А террористы сами проявляют инициативу
сетевых онлайн приложений, лезущих в сеть нет, только телеграм один клиент
А фаерволл стоит с белым списком, чтобы всё лишнее в инет не рвалось?
Потому как бывает, что у некоторых прог рекламные модули занимают большую часть проги, чем собственно основной функционал.
Бывает глянешь через MyAndroidTools или App Manager, а в проге рекламы и трекеры понапиханы в сервисы, активити, службы и провайдеры.
Да, в фаерволе NetGuard по умолчанию доступ запрещён всем приложениям и только тем, кому надо я разрешаю доступ или полный или к отдельным ip/хостам.
Приложений с рекламой вообще нет, почти всё опенсурсное с репозитория f-droid было.
Поэтому при выключенном экране доступ в интернет был только у телеграма.
У меня андройд прошивка без гугло-сервисов
Я тут однажды криптокошелёк запустил, так программа устанавливающая время по NTP сразу рута запросила. Так что осторожнее.
Кстати тоже не разрешённый для меня вопрос остался. Иногда при работе в браузере Firefox на андройде, могут появляться http/https запросы через root пользователя. Бывает такое очень редко.
Так же бывает и при работе с другими приложениями.
Что это такое - остаётся под вопросом.
Общался с разработчиком NetGuard, он говорит, что это реальный запрос от root пользователя. Но у меня есть предположение, что это какой то глюк в android. Не знаю, надо тоже выносить этот вопрос на публичное обсуждение где нибудь.
Кому интересно - ставьте фаервол NetGuard и наблюдайте в течении нескольких месяцев.
История выглядит как шизофрения.
Если коротко, то кто-то из разработчиков запилил код в телеграм клиенте, позволяющий выполнять удалённо что-то, возможно даже что угодно, вплоть до полного управления Android-ом, т.к. паранормальщину зафиксировал на андройде.
Существует как минимум 2 официальных клиента телеги под андроид: в гуглплее (с урезаным функционалом по требованию гугла) и на оф.сайте телеги (полнофункциональный).
Кроме того под телегу создано её с десяток сторонних клиентов (с различающимися дополнительными возможностями). Не говоря о том, что существуют ещё и моды всех клиентов (чаще всего с доп.плюшками типа локального премиума и/или вырезаной рекламой).
Ещё хорошо было бы указать версию ведроида и прошивку смарта. Потому как чнм свежее ведроид, тем туже затягивают гайки безопасности (тут моги, а вот тут - не моги). Те же права приложения в настройке системы (некоторые можно предоставить в любом режиме, а другие в активном, чтобы в фоне не работало). В последних версиях даже в статусбаре включаются индикаторы активности камеры и микрофона.
Ну и вообще для таких подозрительных выложены исходники официального клиента на гитхабе: https://github.com/DrKLO/Telegram
Да, у F-DROD версии телеграма, свой репозиторий - https://github.com/Telegram-FOSS-Team/Telegram-FOSS
и на весну 2021 года, когда я обнаружил эту паранормальщину, тоже был этот репозиторий.
На весну (февраль-март) 2021 года я пользовался Xiaomi Redmi Note 7, прошивка была LineageOS или crDroid, менее вероятно прошивка "/e/".
Это получается Android 10 или 11 (возможно 10).
Вот это интересно. В google play урезанная версия? А что там отрезали?
емнип это на оф.странице телеги должно быть где-то указано, но я не помню где
Telegram для Android
Здесь можно скачать клиент Telegram для Android. Эта версия приложения автоматически обновляется напрямую с сайта telegram.org — и в ней меньше ограничений.
Вот новость про выход версии не в гугл плей, а на оф.сайте: https://www.ixbt.com/news/2021/04/14/vypushena-oficialnaja-versija-telegram-pod-android-dlja-ljubitelej-piratskogo-kontenta.html
Ну и вообще для таких подозрительных выложены исходники официального клиента на гитхабе: https://github.com/DrKLO/Telegram
Наличие исходников не всегда может помочь, т.к. запутанный код и сложность внедрения уязвимости может свести на нет возможность найти её.
Если не задаваться прям специально искать подобные уязвимости, то вы возможно и не найдёте её никогда.
Напомнило: "По моему овчарка за одно с пастухом..."
какова вероятность, что официальный клиент забекдорен именно под спецслужб?
А какова вероятность, что забэкдорена tglib, которой пользуются, наверное, почти все альтернативные клиенты?
Зачем что-то бэкдорить, когда end-to-end шифрование только приватных чатах, а 99% народа сидит в обычных?
Только если понадобится «прослушка» чьего-то телефона, а так спецслужбе достаточно получить ключи доступа к серверу БД и читать и переписки, и знать о создании секретных чатов между пользователями, многие из которых, вероятно, создавали аккаунт с реальным номером телефона.
Зачем что-то бэкдорить, когда end-to-end шифрование только приватных чатах, а 99% народа сидит в обычных?
artptr86 почти ответил на вопрос.
Если кто то смог с серверной стороны телеграма инициировать подключение к моему клиенту на смартфоне и воспроизвести какой то звук, предствьте, что можно сделать ещё со смартфоном или даже хотябы с самим клиентом телеграм:
- получить ВСЮ переписку всех личных чатов в том числе с end-to-end шифрованием
- вытащить ключи шифрования приватных чатов (end-to-end шифрование), если их можно как то применить (не знаю как и где)
- заранее создать свою пропатченную версию телеграм и переустановить клиент на свою версию, которая визуально не будет отличаться, а обновляться будет уже со своих серверов. Не профессионал не заметит этого никогда. Да и я возможно не обращу внимание.
- если уязвимость куда более функциональная, так вообще тупо установить скрытый бекдор, который вообще постоянно будет иметь коннект с удалённым сервером. Записывать все звонки, пересылать смс и т.д.
Возможности безграничные.
Вы про это говорите в контексте того, что могут просниффать трафик? Или что спросят Пашу и он им все передаст на блюдечке с каемочкой?
установил на андройд
В Тайланде?
Если это шутка, то я не понял.
Если не шутка, то я сам всё устанавливаю и перепрошиваю.
На f-drod PilferShush Jammer единственный похоже джаммер.
какая разница, сколько она там рубит бабок? Покупатели премиума видели точный список плюшек, которые они получают за свою подписку, видели же? В остальном они такие же юзеры как и без подписки.
А то что это злоумышленник - известно только владельцу акка, а со стороны ТГ все выглядит уже не так очевидно - сидит чел онлайн, а к нему кто-то ломится с кодами доступа))
Если добавлять дополнительные способы "восстановления" аккаунта, это облегчит их угон у тех, кому аккаунт важен, и кто не тыкает, куда попало.
Ну просто по определению - чем больше способ получит доступ к аккаунту - тем проще получить доступ к аакаунту. В том числе чужому.
Понижать уровень безопасности тех, кому аккаунт важен, ради тех, кому пофиг, кто не хочет с этим заморачиваться - довольно странно.
Вы правы, но можно ведь не заставлять эти дополнительные способы использовать вообще всем. Если их будут использовать только те, кто не уверен в своих способностях защитить свой аккаунт, то это скорее улучшит ситуацию с защитой аккаунтов, а не ухудшит. А вот когда эти дополнительные способы навязывают вообще всем - да, бесит страшно (и ладно ещё если это обязательные вопросы из серии "как звали вашего кота" - тут можно случайный сильный пароль в ответ задать и забыть, а вот когда начинают вымогать номер телефона - это уже за гранью добра и зла).
Выбор - это хорошо, не спорю. Но вижу нюанс.
Если не включать "облегчайки" принудительно, будет все равно, что их нет, мало кто ими воспользуется. А делать самый низкий уровень защиты по умолчанию - такое идет в разрез со всеми практиками безопасности.
Есть такое, но всё-равно, есть разница, между "обязательно нужно использовать" и "предлагается использовать по умолчанию, но можно от этого отказаться". Второго варианта более чем достаточно, чтобы большинство им воспользовалось, а отказывались в основном те, кто понимает (или думает, что понимает) что делает.
Кроме смс кода есть еще и пароль. Что еще нужно им сделать? Аппаратный токен?
Аппаратный токен?
А было бы неплохо.
Несколько одновременно валидных токенов безопасности?
Профанация двух-факторной авторизации.
Несколько одновременно валидных токенов безопасности? Профанация двух-факторной авторизации.
При правильном использовании, скорее всего нет. Тут надо делать так, чтобы зайти можно было по, условно, двум артефактам входа. С оповещением на все залогиненные устройства, разумеется. Но вот сменить креды (и тем самым угнать учетку), или заменить утраченный артефакт - уже нужно три.
Артефакт входа - это логино-пароль/otp код/подтверждение на уже залогиненом устройстве/ссылка из почты/железный токен/резервный вход с бумажки.
Всего же таких - где-нибудь четыре должно быть. Чтобы если один утратил - у тебя на руках те самые три штуки для логина и создания нового были.
Не совсем. Аппаратный токен == высший приоритет при входе. Т.е. если у вас токен - то вы точно владелец и можете войти в любой момент и сделать что угодно.
Аппаратный токен
Технически не отличается от 'пользователь держит на полке второй залогиненный телефон'. Который сам по себе токен. Второй телефон даже лучше - у него экран есть, на котором можно что-то спросить. Так что стоит ли им связываться именно с поддержкой токенов - не очень очевидно.
А если украли токен?
А зачем вы носите токен в места, где его могут украсть? Пусть лежит дома на полке.
Вопрос в формулировках 'Аппаратный токен == высший приоритет при входе.'
Очевидно, что токен можно утратить даже самому. Т.е. в это момент появляется необходимость в механизме, позволяющем уже привязанный токен заменить/отвязать.
Но тогда этим же самым механизмом, не имея токена, может воспользоваться злодей для тех же целей (заменить мой токен на свой). И тогда 'высший приоритет' становится не таким уж привлекательными, как кажется.
Я ниже писал про бэкап-токен. Можно сделать что-то типа рекомендации подключить второй/третий для бэкапа, либо чекбокс с красными буквами "я понимаю риски и согласен чтобы был только один токен".
Все это уже давно пережевано в других областях, где токены давно используются.
Я живу на съемной квартире с двумя соседями для экономии. Ношу с собой потому, что так спокойнее. Накоплю денег, обязательно перееду в Форт-Нокс и воспользуюсь вашим советом.
Тогда:
Добавляете второй-третий токен в аккаунт как запасные.
Токены храните в разных местах (если приходится носить с собой - то можете арендовать ячейку в банке или заныкать еще где-нибудь в тайном месте).
На токенах не лепите стикеры с текстом вроде "токен от телеги, номер +6 666 6666 66").
Никому не говорите, что у вас в телеге все по токенам.
Кстати, а у вас есть план Б на случай если у вас украдут документы/телефон/банковские карты (и вероятно все одновременно)?
Добавляете второй-третий токен в аккаунт как запасные.
Если речь идет о fido-образных, то, боюсь большая часть ресурсов будет забивать на рекомендации давать несколько кличиков привязывать
На токенах не лепите стикеры с текстом вроде "токен от телеги, номер +6 666 6666 66").
Никому не говорите, что у вас в телеге все по токенам.
Атака, я подозреваю, будет выглядеть не так. Его просто сопрут (те, кто знает, что такое токен) и потом посмотрят, от каких ресурсов на нем ключи есть.
Правда, им еще придётся как-то добывать пин, это да.
Его просто сопрут (те, кто знает, что такое токен)
Как минимум надо знать что такое токен и зачем он. Что уже заметно сужает категорию.
и потом посмотрят, от каких ресурсов на нем ключи есть.
А оттуда разве можно эту инфу вытащить?
Плюс еще нужно узнать для какого пользователя этот ключ. Что уже намекает на адресность атаки, и в этом случае "у меня для вас плохие новости".
А оттуда разве можно эту инфу вытащить?
Оно, если я правильно помню описания процесса для внешней железки (своей нет), спрашивает "какой именно учеткой логинится будем? Для текущего сайта есть вот такие", в своей Passkeys реинкарнации. До того, как предложит разные пин-ы набрать.
Я сейчас пару видосиков про Yubikey посмотрел - ничего такого не спрашивают, логинишься как обычно, в качестве 2 фактора просят ключ, и все.
Речь шла про WebAuthn/Passkeys реинкарнацию, где сервису вообще все равно, как ключи учетки защищены.
Вот ссылка в спецификацию, если я правильно понимаю. В общем, так выходит - что чтобы учетка не была видна штатными средствами при входе - это надо отдельно за этим следить. И мне совершенно не очевидно, что это означает, что оно родным софтом конфигурации токена не будет показываться.
Кстати, а у вас есть план Б на случай если у вас украдут документы/телефон/банковские карты (и вероятно все одновременно)?
На документы и банковские карты моё влияне ограничено, но все цифровые ништяки включая все накопившиеся наработки, аккаунты от всего, запас крипты на пару месяцев и т.п. я могу восстановить практически из воздуха.
Т.е. у вас есть некоторый физический носитель, на котором базы паролей/ключи/кошельки где-то в секретной заначке (раз не опасаетесь что его тоже украдут)? Ну вот туда можно и токен положить (а я бы еще и запас налички и нотариально заверенные копии документов закинул, плюс, возможно, и карточку с запасом денег другого банка).
Пока вы его не посеяли (ну или у вас его не забрали вместе с телефоном представители разных структур, телефон может даже и вернули а токен "потеряли")
Нужно сделать адекватное восстановление аккаунта. Тот же вайбер и вацап позволяют вам восстановиться по номеру телефона. Телеграм, хоть и требует обязательного заполнения телефона для аккаунта, в дальнейшем не позволяет с помощью него восстановить доступ. Вы можете парировать, что по телефону не очень безопасно. Согласен, однак в этом случае хотя бы чтобы можно было обнулить аккаунт.
Аккаунт уничтожается через определенный промежуток времени бездействия задаваемый в настройках. К тому же я не представляю что нужно сделать чтобы быть забаненным в телеге. Ну это лирика. А что мешает создать другой аккаунт? Это же не соцсеть где реально может быть больно от потери.
Это же не соцсеть где реально может быть больно от потери.
Ничего что у многих людей в телеге буквально годы переписки, памятных фоток, заметок и прочего? И далеко не каждый периодически архивирует всю эту переписку.
Я, например, не самый активный пользователь и общаюсь в основном текстом, но даже у меня экспорт истории выходит в 10 гигов.
Хранить что-либо чувствительное в облаках - самая плохая идея.
у многих людей в телеге буквально годы переписки, памятных фоток, заметок и прочего?
Очередные любители облака, которые считают, что облако будет всегда доступно, владелец оного не потрёт данные в нём даже случайно и при этом в облаке всё многократно продублировано, чтобы не дай Б~г не потерять ценнейшие фоточки юзверя с котиками?
ССЗБ
Тут на хабре чуть ли не через пост в комментах встречаются сообщения про бэкапы и про то, что люди делятся на 2 типа: тех, кто уже делает бэкапы, и тех, кто ещё не начал это делать (я скорее ко вторым отношусь, хе-хе, правда и существенно важного мне не терял).
Очередные любители облака
Ой, простите что в 2024 году люди используют для переписки телегу вместо векторного гипертекстового фидонета.
Конечно же в случае взлома или потери контента который в этом "облаке" и генерируется это сама домохозяйка виновата что не настроила себе бекап по крону.
У нас ведь 100% населения - технически грамотные красноглазики, а кто не такой - сам виноват. Ишь че удумали - требовать от мессенджера защиты аккаунтов! Сами виноваты!
Если картинка/видео была скачана и открыта в клиенте и при этом в чате не включен запрет на копирование, то эти медиа можно просто сохранить в галерею прямо из этого чата.
Важные переписки можно даже тупо скопипастить или заскринить (если опять таки не включен запрет в чате).
А если решили больше никуда не бэкапить ни в каком виде, то какие претензии могут быть?
Лично я каждые пару месяцев делаю полный экспорт всего что есть в телеге, со всем контентом. Но я технически грамотный пользователь. 95% юзеров даже не знают о возможности экспорта истории, телега нигде в интерфейсе не "рекламирует" эту возможность.
Нормальные продукты должны быть рассчитаны на обычного пользователя, который этого не делает. И это не его вина, никто не будет каждую субботу по телевизору рассказывать о важности бекапа.
Подход "сами виноваты" это всё равно что отделить пешеходную часть дороги от автомобильной не бордюром а обычной дорожной разметкой и потом говорить жертвам дтп "сами виноваты, всё видно было".
К тому же в данном случае речь идёт о том что "можно просто сделать новый аккаунт", причем в контексте того что в текущем виде у телеги слабая система восстановления угнанных аккаунтов. Нет, аккаунты в телеге для многих имеют большую ценность и должны быть защищены сильнее чем сейчас на стороне самого телеграма.
Что может быть в телеграме капец, какого критичного, от потери чего станет очень больно?
Я могу представить "фотки ребенка", но использовать Телеграм для их хранения на случай утери телефона...
Переписки с близкими людьми, очевидно, полные приятных и важных моментов. Телеграм в данном случае не костыльное место хранения а место в котором этот контент прям появляется и закономерно хранится там же.
Злоумышленники, завладев аккаунтом, держат его активным довольно долго. С кейсами, с которыми я сталкивался, от взломанных аккаунтов начинается рассылка таких же сообщений с попыткой завладения чужим аккаунтом и сообщений вида "Привет такой-то, одолжи N денег, завтра вечером отдам". И я видел, что на последние сообщения велись даже те люди, которые довольно осторожно относятся ко всему.
Другой аккаунт мешает создаёт отсутствие другого номера телефона. В некоторых странах симки не продаются просто так.
Можете подробнее рассказать как происходит угон аккаунта? Кроме тривиальных случаев потери/отжатия телефона. Очень интересно.
В последних кейсах присылают ссылку на "проголосуй за моего сына на конкурсе, там надо будет ввести код проверки, чтобы не было накруток". Пользователь пытается проголосовать, вводит код "защиты от накруток", который ему пришёл в телеграм, пусть и с текстом "никому не говорите этот код". Если есть облачный пароль, то сразу запрашивается и он. Некоторые всё ещё ничего не подозревают и вводят. Далее благодарственное письмо, за то что проголосовал. У пользователя чужая сессия висит некоторое время затаив дыхание. Через N часов или дней чужая сессия выкидывает все другие сессии и начинает рассылку сообщений друзьям пользователя с просьбой проголосовать или перекинуть денег. Если пользователю каким-то образом удалось авторизоваться заново, например через код пришедший на заранее указанную почту, то его через несколько секунд выкидывает скрипт злоумышленников. Даже если успеть добраться до кнопки "завершить все сеансы", сессия злоумышленников останется, так как она "старая", а пользователя "новая".
Так а каким образом возникает новая сессия на стороне злоумышленника? Если пользователь вводит все коды на том же девайсе что и обычно.
Далее благодарственное письмо, за то что проголосовал.
А чуть позднее (когда этим всеми данными злодей воспользовался) сообщение "в учетку залогинилось другое устройство" или что-то в этом духе. Причем очень быстро должно быть - если ждать, код перестанет походить. Нет?
В этот момент полагается пугаться и выкидывать эту новую сессию до того, как той сессии такое право дадут.
У телеграма уведомление сделано довольно незаметно в виде отдельного чата, который сливается с другими. Вот если бы высвечивалось прямо в приложении окном, в котором было бы написано что-то вроде "Кто-то вошёл в ваш аккаунт из города ТАКОГО-ТО", кнопками "Да, это я вошёл" и "Нет, это злоумышленник". При чём чтобы Да можно было нажать секунд через 10, то наверное случаев кражи было бы существенно меньше.
У телеграма уведомление сделано довольно незаметно в виде отдельного чата,
Вроде бы это тот же самый чат, куда упомянутый код приходит, который у тебя выманивали?
Чиво???
В самом верху экрана появляется вопрос. Причем если не ответишь, следующая авторизация не пройдет.
А в "отдельном чате" просто информационное сообщение сохраняется.
Такое уже есть. По крайней мере на мобильном андроид клиенте над списком чатов появляется текст, который явно контрастирует со списком чатов, с информацией о том, что кто-то получил доступ к вашему списку чатов залогинившись с такого-то устройства, в таком-то месте в какое-то время. Под текстом две кнопки: подтвердить или опровергнуть, что это сделали вы.
Я, когда авторизуюсь на другом устройстве, мне ТГ во все устройства сразу же присылает - с такого-то устройства в такое-то время с такого-то айпи вы аторизовались и далее Если это сделали не Вы, перейдите в Настройки > Устройства (или Конфиденциальность > Активные сеансы) и проверьте активные сеансы.
И как это можно не заметить? 🤔
Думаю так же как и фразу "Не давайте этот код никому, даже если они говорят что они от Телеграма". Я подозреваю, что дело в том, что люди подписаны на большое количество каналов, которые спамят уведомлениями и имеют кучу непрочитанных сообщений, поэтому чат сообщением о входе фильтруется пользователями психологически. Что же до мобильного приложения, уведомление о входе не такое уже и заметно на фоне чатов.
Ну и кто в этом виноват , кроме пользователя который не читает текст - никому не говорите этот код ? Куда уж очевиднее то ? телефон должен блокироваться ? или в милицию смс отправлять, что нужно срочно помочь человеку разобраться и нужно выслать наряд? или что ?
Именно по причине того, что вот под таких пытаются подстроиться , появляются операционные системы, которые считают, что они умнее пользователей и т.д. А проще было бы все оставить как есть и все кому лень читать и включать мозг вымерли бы в процессе естественной эволюции.
"Или что" в различных вариантах пользователи предложили выше в комментариях, не вижу смысла дублировать.
Я думаю вы радикально подходите к делу, считая, что пользователь не имеет право на ошибку. Телеграм пока что с вами солидарен, не давая истиному владельцу восстановить или сбросить свой аккаунт. Если говорить не только о телеграме, скорее всего вы тоже бывали ситуации, где вам было что-то лень читать и включать мозг.
По телефону можно восстановить доступ через сброс аккаунта, но это занимает неделю, и каждый день приходит уведомления на все устройства, что инициирована сброс аккаунта, который можно отменить.
Я прям представляю, как автор сидит слюнями и соплями кидается пока пишет статью в углу комнаты, обняв ноги и катается туда-сюда 🤣
Если верить статье, то да, ты нашел тот самый кейс с безопасностью. А если серьёзно, то включай все этапы защиты, меняй чаще пароль и будть аккуратнее в интернете.
Не вижу причин проявлять снобизм вами и некоторыми пользователями выше. У автора возникла проблема, он не поленился и оформил это в статью. Тем более кейс, описанный им, довольно распространён сейчас.
Автор жалуется на последствия собственной криворукости.
Я с таким же успехом могу накатать слезливую статью "почему производители бензопил позволяют отпилить себе ногу"
Авто жалуется на отстутствие возможности возврата аккаунта.
Ваши знакомые часто себе отпиливают ноги бензопилами? Вот среди моих знакомых или знакомых знакомых уже более десятка случаев в с телеграмом, но с бензопилой пока что ни одного. Статью про безнопилы и ноги я прочитать не против, так что напишите, пожалуйста.
Тогда не бензопилы, а УШМ: «Поцчему мне разлетевшимся диском располовинило физиономию?! Раз я купил болгарку, то имею право работать без защиты и с отсоединённым щитком когда захочу!»
Хотя чаще всего такое писать уже некому.
Просто у вас другой круг знакомых другой, думаю если лесорубов в штатах поспрашивать про телеграмм они тоже скажут 0 угонов телеграмов, зато куча знакомых пальцы себе поотрезало.
Использование приложений требует определенных знаний, но т.к. это не приводит к трагичным последствиям, то никто не заставляет вас сдавать экзамены на использование телеграм, но используете вы его на свой страх и риск и проблемы возникающие изза его использования исключительно ваши, а не разработчиков. Сделать так чтобы это было абсолютно удобно и безопасно для любого невозможно в принице. Если вы не можете пользоваться из коробки, может стоит пройти курсы использования телеграм клиентом ?! :) Статью стоит переименовать в Пару плаксовых о телеграмм )
Можно продолжать дальше ржать над жертвами, надеясь, что тебя не коснётся. Но текущая реализация сделана отвратительно. Почему? Это вопрос. А еще интересный вопрос, почему спам идет исключительно с платных аккаунтов...
Раз уж зашла речь об очевидных вещах, хочу напомнить автору что секреты, токены, ключи в репозиторий не надо комитить
ну волонтеры на почти миллиард людей, это и правда проблемка...
Я еще столкнулась с тем, что при попытке восстановиться через электронную почту или через код (я, если честно, не очень помню деталей, было около года назад и у меня не было к нему доступа через другое устройство), телеграмм прямо писал, что это возможно ТОЛЬКО с премиумом, а если у вас нет премиума на аккаунте, на который вы не можете зайти, то ПОПРОСИТЕ ДРУЗЕЙ ПОДАРИТЬ ЕГО ВАМ =) А если и друзей у вас нет, то сидите без телеги вообще.
И еще интересный момент, автор который здесь сам же и указывает. Старую сессию с нового устройства не грохнуть.
Уведомления приходят в чаты на других устройствах. Получается комбо )
нет облачного пароля
уведомления о входе автор проигнорировал
виновата телега
ага, самое главное причем тут саппорт, ведь, как я уже отписался в соседней ветке, то что это злоумышленник - известно только автору, а со стороны телеги все выглядит уже не так очевидно - сидит чел онлайн, до получки не может дотянуть, просит у кентов денег взайм, а к нему кто-то упорно ломится с кодами доступа с нового устройства))
Не понятен момент с особенностью завершения сессий. Есть скриншоты, подтвержадющие, что с устройства с новой сессией невозможно завершить более старые уже отрытые сессии других устройств. Но как тогда злоумышленники смогли завершить по определению все более старые сессии законного владельца? У них есть доступ к недокументированным функциям?
Злоумышленники, зная об этой особенности, подключаются и ждут, пока пройдет время этого ограничения (тут есть окно возможности отреагировать на новый вход). Только потом начинают действовать.
А сколько дней надо, чтобы новая сессия в телеграме перестала считаться новой?
Могу ошибаться, но вроде 24 часа
Выставляется в настройках. У меня неделя стоит. Далее закрываются все сессии старше автоматом.
Не нашёл такой настройки. Что именно сессия считается новой.
Скорее это только когда дисконнектить без вмешательства юзверя: в клиенте показывает список с чего сейчас открыта сессия и когда она была начата.
Но какая считается старой там явно нигде не указано, емнип.
Ну как не указано. Сам задаешь. В данном случае неделя - старая сессия. Можно жеж вообще все сессии сразу терминейтед. Я не понимаю что еще можно было сделать разработчикам телеграмма в плане безопасности?
TOTP аутентификацию? Возможность сброса всех сессий через подтверждение по коду из СМС один раз в какой-то период?
Возможность удаления всех сообщений для всех абонентов по-моему покрывает все возможные кейсы.
Номера телефонов часто передают от одних абонентов другим? Я бы не хотел чтобы новый владелец моего номера телефона смог сразу сбросить все мои сеансы.
Зависит от страны. Думаю, если в телеграме жёсткая привязка к телефону, то стоит озаботиться, чтобы привязываемый номер был во владении всегда.
Вы не владеете номером, вы не можете этим озаботиться никак. Именно поэтому, завязывать безопасность на сим-карту и номер нельзя.
Именно поэтому, завязывать безопасность на сим-карту и номер нельзя.
На сим карту, как железку, а не на связанный с ней номер - более-менее можно. Но, похоже, это настолько трудно, что этого никто не делает.
Бывает же, что после перевыпуска SIM карты банки "берут паузу". Т.е. они видят ее номер (а не только номер телефона) Но используют это знание крайне редко. Хотя, казалось бы, действительно "имею" (даже если номер телефона сменится/заблокируется).
Кроме того, в SIMку ведь можно аппы загружать. Практически аппаратный TOTP, илиподписывать чем-то "внутренним, неотторгаемым" может....
Бывает же, что после перевыпуска SIM карты банки "берут паузу". Т.е. они видят ее номер (а не только номер телефона)
Нет, я про ее использование вообще мимо сотовой связи.
Кроме того, в SIMку ведь можно аппы загружать. Практически аппаратный TOTP, илиподписывать чем-то "внутренним, неотторгаемым" может...
Да, вот именно так. Я подозреваю, если использовать уже существующий протокол каким-нибудь слегка нестандартным образом - можно даже без загрузки дополнительных приложений обойтись. Нам же нужно проверить, что SIM-ка именна та, что есть. Там наверняка во всей этой мути (вроде бы нужная PDF-ка) есть что-нибудь, что позволит убедиться, что это именно тот, чип, что нужен.
если использовать уже существующий протокол каким-нибудь слегка нестандартным образом - можно даже без загрузки дополнительных приложений обойтись. Нам же нужно проверить, что SIM-ка именна та, что есть. Там наверняка во всей этой мути (вроде бы нужная PDF-ка) есть что-нибудь
Я немножко в этой теме ковырялся: у приложений вообще нет доступа к SIM и к протоколу из PDF-ки -- с ней работает модем (отдельный чип, имеющий доступ к той же памяти, что и ЦП), и сделать с SIM что-то нестандартное можно только эксплуатируя баги в (недокументированном) протоколе общения между ЦП и модемом (такие баги периодически находят и патчат).
Я немножко в этой теме ковырялся: у приложений вообще нет доступа к SIM и к протоколу из PDF-ки
Мне казалось, что все методы, которые упоминают APDU -это доступ прямо к симке.
Ну ладно, то, что в TelephonyManager - закрыто разрешениями, которые кому попало не дают.
Но с тех пор вроде бы еще изобрели еще какой-то Open Mobile API (PDF) (или тут на сайте андроида, или тут) который про доступ к разным защищенным хранилищам, включая SIM-ки.
И, кроме того, судя по всему, приблизительно все смарты отдают доступ к симке через bluetooth по SIM Access Profile (текущие спеки без регистрации читать не дают, но можно взять прошлый вариант) - это для использования телефона для авторизации автомобильных систем сделали, как я понимаю.
Бывает же, что после перевыпуска SIM карты банки "берут паузу".
Раньше после смены сим-карты мне банк блокировал доступ и заставлял топать с паспортом в отделение. Теперь банк решил сэкономить и так больше не делает, ведь деньгами рискую я, а не он.
Теперь опсос блокирует на сутки банковские смс, но нажёжность такого решения сомнительная. Во-первых, с какого рожна я должен сидеть сутки без доступа в банк, если симку поменял я. Во-вторых, я могу быть на рыбалке, где связь не ловит или в реанимации, потому что мне дали по башке как раз чтобы украсть мои деньги.
Кроме того, в SIMку ведь можно аппы загружать. Практически аппаратный TOTP
Сейчас все на есим переходят, там оно как работает?
Кроме того, в SIMку ведь можно аппы загружать.
В чистую да, там жава-машина, правда, весьма специфичная. В выданную симку или БК уже ничего не зальешь - они наглухо залочены ключами оператора/банка, и никто эти ключи не даст.
Можно только при условии, что эта железка не превратится в тыкву по дистанционной команде опсоса.
Можно только при условии, что эта железка не превратится в тыкву по дистанционной команде опсоса.
Это уж очень целевая атака - окирпичивать SIM до состояния, когда она на локальные команды не реагирует. Просто отобрать номер и даже полностью запретить авторизацию ее в сети (которая для службы спасения используется) для этого явно недостаточно.
Ну я не знаю, как оно работает. При перевыпуске со старой симкой к сети не подключишься, допускаю, что опсос может на неё при этом какую-нибудь команду отправлять, чтобы она и как ключ перестала работать. Что-то типа отзыва полномочий.
Просто отобрать номер и даже полностью запретить авторизацию ее в сети (которая для службы спасения используется) для этого явно недостаточно.
В службу спасения вроде можно вообще без симки звонить.
При перевыпуске со старой симкой к сети не подключишься, допускаю, что опсос может на неё при этом какую-нибудь команду отправлять, чтобы она и как ключ перестала работать. Что-то типа отзыва полномочий.
Может, но будет ли? Потому что оно ему надо?
Кроме того, большая часть таких перевыпускается потому что старая "в тумбочке" лежала. У меня цела горстка таких - звонить по ним, разумеется, нельзя. Но если в ридер смарт-карт сунуть - вполне отзываются и даже, например, те контакты/SMS, что в них хранились, позволяют достать.
В службу спасения вроде можно вообще без симки звонить.
Пардон, да. Наврал.
Просто сидят тихо минимальный срок на угоняемом аккаунте, после чего удаляют все, кроме себя любимых сессии и начинают спамить.
в такой ситуации есть дейсвенный метод, запросить удаление учетки через спец. страницу в телеге. После удаления сможете заново зарегать ее на свой номер, только архив сообщений потеряется, т.к. это тезнически новый профиль. Но это меньшее зло.
Каким образом это можно? Потому что для того же удаления учётки на сайте телеграма приходит код в сессию к злоумышленникам.
это надо делать параллельно с шагом в секунду после входа в основную сессию. Обычно вашу сессию сбрасывает но не мгновенно, поэтому есть время войти, тут-же запросить удаление, получить код длясброса. за несколько секунд можно уложиться.
Код можно запросить и в виде СМС.
Этот способ давно невозможен
https://habr.com/ru/articles/820569/comments/#comment_26934387
Половина эмоции, но проблема действительно есть. Она в том, что Telegram жестко экономит на SMS и звонках, чем убивает пользовательский опыт в отдельных сценариях.
Решение, казалось бы простое:
при восстановлении доступа пользователь выбирает, как это сделать,
при входе разавторизуем все устройства, предлагаем обновить настройки безопасности.
У меня есть ещё один кейс от такой политики - регистрация в Telegram на новый номер.
Аккаунт на номере не существует, но при вводе телега пишет, что код отправлен на другое устройство в Telegram. (Чиво?!) Кнопку отправить SMS не предлагают. Поддержка не отвечает в принципе.
Войти можно только через другое устройство, где есть авторизованный (опять же другой) аккаунт. Секурно... Нужно:
добавить второй (новый) аккаунт,
ввести номер,
прочитать про код на другом устройстве,
тут уже есть ссылка "подтвердить звонком", она рассчитана на автоматическую обработку - не отвечать, но у нас симкарта в другом смартфоне и нужно ее все равно нажать,
подождать 2 минуты,
нажать на ссылку "получить SMS",
ввести код,
войти на новом устройстве и ввести код, который теперь действительно "придет на другое устройство, где используется Telegram",
выйти из аккаунта на другом устройстве.
Что хочется сказать после этого?!. - Пару ласковых о Telegram.
Но (про убытки уже упоминалось) ситуация вряд ли изменится.
Просто телега уже была кем-то регнута на этом номере ранее.
>>Аккаунт на номере не существует - мне интересно как вот вы это узнали ?
Первая мысль была такой, что номер нам перепродали. Но по косвенным признакам:
Telegram по контактам из телефона не находит учетку, говорит, что не в Telegram и предлагает пригласить, отправив SMS от себя лично. В нем - ссылка на скачивание приложения.
После успешного входа аккаунт чистый.
Тем, кто успел добавить новый номер в контакты, пришло уведомление, что он теперь в Telegram.
получается, что аккаунта на момент моих попыток не существовало. Даже если он был раньше, а затем удален, сообщения от Telegram про код на другом устройстве не объяснить.
у меня на втором номере телега авто-удалилась после 6 месяцев неактивности
попытка заново зарегаться всегда возвращала "код отправлен на другое активное устройство", но другого активного устройства гарантированно нет, т.к. акк автоматически удалился самим же телеграммом.
и СМС отправить не предлагается нигде и никак, постоянно только одно "код на другом активном устройстве"
в итоге, смс удалось отправить только скачав Telegram-X (альтернативный клиент), тогда рега прошла и появилось реальное активное устройство, с помощью которого уже смог залогиниться в основном приложении телеги
Как вариант решения для телеграм клиента - это выпуск секретных кодов, которые будут работать как коды для аварийного восстановления доступа к аккаунту. Использовать такие коды можно только с двухфакторной защитой, что подтверждает использование кодов настоящим владельцем аккаунта.
В случае использования таких кодов, все текущие сессии уничтожаются и остаётся одна единственная текущая сессия.
Почему нельзя просто привязать почту и сделать механизм закрытия все сессий? Вводишь в форму свой email, на него приходит ссылка для сброса. Переходишь на неё - все сессии закрываются и появляется форма ввода нового пароля. Можно ещё какие-то дополнительные проверки добавить.
Вариант, но с кодами безопаснее, их можно распечатать и хранить отдельно от смартфонов/ПК. Т.к. если злоумышленник получил удалённый доступ к устройству, то к почте тоже можно получить доступ.
А коды можно распечатать и положить в папочку, в сейф, в тумбочку, под подушку.
Ну и в случае утраты доступа к почте, тоже встаёт вопрос - а чё делать теперь?
Перевыпуск кодов требует так же подтверждения владельца: двухфакторка и т.д.
Украли email - идёшь жаловаться на Хабр...
Вообще-то email не гарантирует конфиденциальную передачу данных. Думаю что шифрование у одного 2-Х человек на хабре настроено и то я оптимист.
Хотите безопасности и надежности - мигрируйте на DeltaChat и поднимайте свои сервера для него.
Если сами отселе не позаботитесь- никто отвар не позаботится …
Т.е. статья просто называет владельца устройства злоумышленником и говорит, что неплохо бы запретить владельцу устройства пользоваться им, видите ли это небезопасно
Мне кажется, или статей с руганием ТГ стало слишком много и это не случайно?
Ну как бы эта практика вообще везде. Если кому то, где то, что то не понравилось, сразу бегут постить посты куда угодно. Почитайте отзывы о товарах на популярных маркеплейсах, там тоже самое.
Телеграм ругали и раньше, просто до последних событий подобные статьи сразу подвергали жёсткой критике. То же самое было с CrowdStrike — критиковать его было «нельзя».
Злоумышленник завершил все мои активные сессии
При появлении нового устройства на все остальные приходит сообщение о логине (и удалить их можно только с того устройства где смотришь, завершить другие сессии можно не ранее чем через неделю. То есть вы не заметили на нескольких устройствах сообщение о входе, и не замечали неделю что кто-то вошел.
Стоит ли говорить ещё про двухфакторную аутентификацию?
Как показывает практика, некоторые люди не замечают эти сообщения. Да и привычку хотя бы раз в неделю проверять активные сессии мало кто имеет.
Двухфакторная аутентификация у телеграма сводится к отдельному паролю, которые некоторые не заводят, к сожалению, либо также вводят на фишинговой странице, после чего можно считать, что он уже не преграда.
Очередная проплаченая статейка с обливанием телеги говном. Так случайно конечно совпало, что опубликована сразу после закрытия Дурова. Вся эта куча статеек, раскачивающих лодку, конечно случайно вдруг появилась. Чистое совпадение. Ага.
Ну почему же. Автор указал на реальные просчеты, например, отсутствие поддержки.
Вот другой пример. Есть абсолютно новый номер (из нового пула). Регистрируюсь в телеграме. Телеграм мне сообщает, что отправил код на другое устройство. На какое, если такого номера в телеге еще нет. Поддержки нет. Код не приходит.
Решается установкой сначала Telegram X, и регистрации через него. И чудо, код пришел на это устройство. Потом можно уже зайти в обычное приложение, настроить пароль и прочее.
Мало того, некоторые ещё год назад знали, что Дурова закроют, поэтому писали подобные статьи и раньше. </s>
"Очередная проплаченный комментарий с облизыванием телеги языком. Так случайно конечно совпало, что опубликован комментарий после закрытия Дурова. Вся эта куча комментариев, раскачивающих лодку, конечно случайно вдруг появилась. Чистое совпадение. Ага."
Вы там в своём уме? Этим проблемам уже много лет. Тех. поддержки нету. Акканты угоняют, номера телефонов угоняют. На пользователей кладут болт, на безопасность кладут болт. Всегда так было в этом пробитом ведре.
О да. Как я вас понимаю.
У меня на личном телефоне телеграма не было. Приходит "смс" на почту с кодом. Думаю какого чёрта, аккаунта у меня не было и я его и не хотел. В итоге на мой телефон кто-то зарегистрировал аккаунт и начал спамить.
Почему пришло "смс" на почту, а не на мобильник и как его перехватили - хз. Похоже если телефон связан с гуглопочтой могут угнать номер телефона. В логах гугла из подключений только я. Возможно на телефон поставил скам приложение и не уследил за правами. Но я совсем уж не уверен как так вышло, ничего не ставил, ничего не разрешал. Возможно есть какая-то уязвимость при пересылке кода подобным образом.
Сбросить аккаунт не могу - заблокированно изначально из-за большого количества попыток подключений (ЭТО ЧТОБЫ УГОНЩИКИ ОТ МЕНЯ МОГЛИ ЗАЩИТИТЬСЯ?). Тех поддержка не ответила даже спустя ПОЛ ГОДА! Писал обращений штук 5 на разных языках. Им просто плевать.
В итоге у меня личный телефон забанен в телеграме для использования телеграма, вероятно навсегда.
Да пошли они к чёрту с такими историям. Не хочу я использовать приложение, требующее номер телефона, как и сам телефон. Пускай выкручиваются, как хотят, но пока приложение требует мой телефон у меня язык не повернется назвать его защищенным и приватным.
А когда при регистрации ПО ТЕЛЕФОНУ, верификация этого телефона использует хер пойми что, а не этот же самый телефон я могу обозвать приложение и безопасность дуршлаком ***ным.
Если в вашем регионе работает GDPR или аналоги, вы можете запросить удаление ваших данных. В том числе номера телефона и почты.
Запросить у кого? У телеграма есть какая-то форма? Это меня как-то обезопасит от повторных инцидентов? Думаю всё бесполезно.
Гуглите и обрящете:
вот FAQ
вот европейский GDPR-представитель
Довольно популярная история для всяких туристических симок, у которых номер раньше принадлежал другому человеку и использовался для интернет-спама. Покупают симки пачками только для создания ТГ-ботов. Симки не оплачивают, они протухают и номера продают другим людям.
Можно попробовать выполнить сброс аккаунта телеграмма по номеру телефона. Если злоумышленники этот телеграмм не проверяют, то через неделю или две аккаунт будет пересоздан, и вы сможете в него войти. Если они будут отменять сброс, то можно периодически инициировать его заново. Спамеры такое не любят, и если аккаунт для них не слишком ценный, то через некоторое могут от него отказаться.
Ну тут прикол что номер принадлежал мне лет 20).
Тем более попробуйте сброс. Информацию потеряете, но привязку к номеру вернёте. Если сброс начнётся, но будет отменён, то я бы сильно занервничал, так как есть хорошая вероятность, что это адресная атака с перехватом вашей симки. Такое случается, но это дорого и сложно - кто-то очень сильно должен был заинтересоваться.
Ну тут прикол что из-за экономии на смс, код приходит не по смс, а на почту (которая нигде не указывалась).
Информации и не было никакой, у меня вообще телеграма не было. Сам номер уже заблокирован для использования в телеграме, если я когда-нибудь захочу это сделать.
Ну и сброс я сделать не мог. Он был заблокирован большим количеством попыток сброса от спаммера.
Мой кейс использования ТГ:
сменил страну проживания и потерял доступ к сим, на которую был зарегистрирован аккаунт. "Не беда, ведь есть активные сессии, куда всегда приходят коды", подумал я.
Решил все же сменить номер на новый , но вот незадача: коды на новый номер для смены номера не приходят, хотя зарегистрировать аккаунт на новый номер успешно удалось.
Ок, раз такие пироги, добавлю новый акк в качестве владельца/админа в созданные со старого аккаунта группы.
В процессе смены владельца для второй группы меня выбрасывает из старого аккаунта и его тупо удаляют.
Поддержка, конечно, отсутствует.
Решил все же сменить номер на новый , но вот незадача: коды на новый номер для смены номера не приходят, хотя зарегистрировать аккаунт на новый номер успешно удалось.
Вы пытались получать коды от старого аккаунта на новый номер, на который зарегистрировали новый аккаунт?
Нет.
Специально для Вас напишу, как происходит процесс смены номера: настройки -> номер телефона -> сменить номер телефона -> вводим новый номер телефона и ожидаем код с смс на него или звонок.
Никаких кодов на новый номер я не дождался (пробовал несколько дней подряд). Потом плюнул и успешно зарегистрировал новый аккаунт на новый номер, на который почему-то не приходили коды для смены телефона, но прекрасно пришёл код для регистрации аккаунта.
Каюсь, в 2013-2014 активно продвигал его среди знакомых вместо WA и VK, а теперь плююсь каждый раз, когда приходится пользоваться этим монстром Франкенштейна.
Подтверждаю, техподдержки у ТГ нет. Просто нет, отсутствует от слова совсем.
2020 год, нашу группу в тг начал убивать спамер, тупо бот слал потоки мата, флуда и прочего (админ исчез, возможно умер). Писали в техподдержку все скопом - как понимаете, до сих пор нет ни ответа ни привета, группа умерла, аккаунт злоумышленника жив.
Создать новую группу и перейти туда всем было нельзя что ли? Что там было такого гвоздями приколочено?
И почему в группе был только один админ и даже без модераторов? Даже боты существуют, которые админить помогают в таких случаях.
От меня пример, недавно у меня снесли все что было в избранных сообщениях за 8 лет. Нет, это был не я, других устройств не авторизовывалось, просто в один момент чат пропал и все. Узнать что это было вообще или хоть какие то логи нет возможности, поддержки нет. После этого момента я даже поддерживаю французов, пусть телеграм что то делает с этим
В итоге так и сделали , но сам факт.
Модеров не было, ботов тоже.
Учитывая, что "бизнес" телеграма приносит стабильный убыток, не удивляет, что поддержка оказывается добровольцами на безвозмездной основе. Для премиума могли бы нанять людей, конечно.
Возможно, здесь причина и следствие поменялись местами. Была бы адекватная поддержка и иные отзывы на ресурсах типа Хабра, глядишь, и желающих платить за премиум было бы больше, а убыток меньше. Я вот лично вполне готов платить, зная, что случись чего, сервис придет мне на помощь. А так... не вижу смысла.
И, кстати, буквально 2 дня назад у жены друга угнали аккаунт. Восстановить не смогли. Прочитали про Recover Bot, в котором предусмотрено восстановление доступа через отправку подтверждения твоими контактами. Нормальная такая идея, жаль только, что бот не работает.
Была бы адекватная поддержка и иные отзывы на ресурсах типа Хабра, глядишь, и желающих платить за премиум было бы больше
В интернете пишут, что убытки компании составляют 260 миллионов долларов. Подписка стоит 60 долларов в год. Из них телеграму достаётся, допустим, половина. То есть, чтобы выйти в плюс, надо добавить 10 млн. платных подписок к пяти уже существующим. Это порядка полутора процентов аудитории. Сравнимо с результатами ютюба. Можно ли этого достичь? Ютюб заставляет пользователей смотреть много рекламы, чтобы убедить их подписаться. То есть, вставляет пользователям в задницу довольно тёплую кочергу. Поскольку у телеграма такой кочерги нету, то мне лично не очень понятно, как он мог бы убедить достаточно пользователей купить подписку.
Смысл платить в том, чтобы уменьшить вероятность, что телега умрёт, и все перейдут в вайбер/вотсап. Потому что при всех её недостатках лучше уж телега, чем остальные "популярные" альтернативы.
Просто Вы смотрите однобоко, и не будь у ТГ этих недостатков Вы бы нашли другие:
При этом, код всегда сначала отправляется на устройство злоумышленника, видимо, чтобы он мог подготовиться к завершению вашей сессии.
Почему при угоне код сначала отправляется на устройство злоумышленника, а не на мое.
Завершите сессии с более старого устройства или подождите несколько часов
Почему злоумышленники при угоне сразу могут завершить сессию.
Интересно, обеспечением приватности данных пользователей Телеги тоже волонтеры занимаются?
Интересно почему у ТГ только платные подписки от $50 в мес.
Попыток заблокировать взломанный аккаунт по причинам подозрительной активности со стороны Телеги не предпринималось.
Хотел попросить у жены пополнить телефон и аккаунт автоматом улетел в бан, в самый неподходящий момент.
Ну и т.д.
Мой личный кейс с поделием Дурова.
Одна непорядочная личность разместила у себя в публичном телеграм-канале с ~ 3К подписчиками контактные данные моей супруги (скриншот из ватсапа - фото, фамилия-имя, телефон, город), приправив всё это ехидными комментариями.
Висит уже больше года, несмотря на неоднократные жалобы о разглашении персональных данных, письма в техподдержку и обращения к добровольцам.
Никаких мер к нарушителю не предпринимается. Вообще никакой реакции и обратной связи!
О какой техподдержке можно говорить, если оно даже в элементарную модерацию не умеет?
вам в правоохранительные органы надо обращаться. Размещение персональных данных в публичном доступе — это преступление.
Увы, это обратная сторона анонимности каналов. Я прекрасно вас понимаю, но точно так же выкладываются данные военных преступников, пропагандистов и коррупционеров. И если облегчить вам удаление ваших данных, то и они смогут этим воспользоваться.
К сожалению, это не имеет простого решения, сложно обеспечить защиту персональных данных только хороших людей.
Смени супругу
Ну вы же компутерщики. Напишите свое приложение на базе TDLib и сделайте там хоть 50-факторную авторизацию. И особые фичи для девочек.
Разве это воспрепятствует "стандартному" подключению к серверу по предусмотренным им протоколам?
Это позволит сразу блокировать подозрительные подключения:
https://core.telegram.org/tdlib/docs/classtd_1_1td__api_1_1update_authorization_state.html
Я не настолько продвинут, чтобы это с разбегу понять. В моем представлении сервер предоставляет определенный интерфейс. И на своей стороне выполняет проверки "с другого устройства", "через СМС", "пароль" - это все фичи сервера.
В клиенте можно прикрутить хоть "приложи к считывателю биометрический паспорт", но если сервер такого не поддерживает, ваш клиент в итоге все равно серверу передаст просто пароль. И серверу пофиг, какие приседания были, чтобы его достать из суперзащищенного хранилища. Стандартный клиент передаст тот же пароль безо всякого паспорта.
Если же сервер предлагает дополнительные методы аутентификации, не используемые стандартным клиентом, но которые можно дополнительно задействовать через кастомного клиента, к примеру, passkey с токена - другое дело (тогда никакими силами стандартным клиентом не подключиться),
Для дополнительной защиты аккаунта достаточно чтобы у вас на смартфоне, сервере или домашнем компьютере работало простенькое самописное приложение которое обрабатывает один-единственный коллбэк и спрашивает вас при авторизации нового клиента: "оставляем этого клиента или отрубаем"?
То есть Телеграм предоставляет продвинутым пользователям инструмент контроля над авторизацией клиентов.
и сразу получите бан
Я использовал TDLib и меня не банили.
Надо просто вырезать рекламу и выложить клиент в открытый доступ ;-)
Регистрация уже только через официальный мобильный клиент, возможно, какие-то другие ограничения для кастомов есть. Ещё интересное наблюдение: FOSS клиент старается использовать отправку сообщений с кодами подтверждений в другие сессии, официальный клиент может при этом требовать перейти на получение кодов через почту (для регионов с дорогими смс), не отправляя коды в другие сессии совсем.
никого в комментах не слушай - отзывай платежи в банках с комментарием и сюппорт сам к тебе побежит
Неистово плюсую, буквально под каждым словом автора и подтверждаю. Любимая тёща столкнулась с точно такой же проблемой увода аккаунта. Ну я думаю, ща верну акк. Фигвам, сказала, телега. Точнее она (поддержка телеги) вообще ничего не сказала, ни в фб, на по почте, ни в твиттере. Со всей ответственностю заявляю - суппорта в этой шараге, под названием телега просто нет. Вообще нет.
И не будет. Телеграмм да и большинство других сервисов -это не про поддержку.
Давайте уж наконец признаём, что централизованные сервисы это зло.
Да, они снижают порог вхождения, но в результате ваши данные уже не ваши.
И если завтра у вас решать забрать аккаунт то вы ничего сделать не сможете.
Думаю даже в суд не сможете обратиться, так как у вас НЕТ ПРАВ на аккаунт в телеге/ и т.д.
Более того, даже номер телефона вам не принадлежит.
В отличии от доменного имени, на которое распространяется нормальная юридическая защита. Т.е. есть шанс в суде вернуть себе доменное имя.
Поэтому, как уже писали- каждый сам себе хостер -если вам нужен надежный сервис/ гарантии. И т.д.
Вот эту статью изучали?
https://tginfo.me/how-to-retrieve-telegram-account/
Вроде инфа сравнительно свежая и не всё из неё использовалось тут.
Ерунда эта статья. Особенно порадовали п.2.1-2.2. Автор, вроде, написал про это + я добавлю что было у меня. Все устройства были выгнаны из аккаунта, при попытке войти - запрашивал 2FA (пароль), который в моём случае тёщей даже не был установлен. ps Да, да в курсе, это не есть хорошо, но тут акцент на том, что я за всё время активных попыток решения проблемы - так и не вышел на суппорт телеги ни по одному из каналов.
Странный аргумент в защиту отсутствия тех.поддержки, "а вы знаете, что телеграм убыточный?!" Не можешь содержать закрывай. Не закрывают, значит прибыль есть или ее рассчитывают получить в будущем.
Не знаю, у меня стоит в довесок облачный пароль, так что не так просто зайти будет в мой аккаунт. Вся проблема в том что Вы сами не используйте доп защиты, такие как облачный пароль или Эл.почта и так далее
моему ребенку это не помогло.
у него стоял и облачный пароль, и почта привязана была.
говорит никаких кодов не приходило, ничего никуда не вводил.
но в один момент этим летом просто прилетела нотификашка "вход с нового устройства. локация СПб, Россия."
он, конечно, оперативно новые сессии выкинул со своей сессии.
но через несколько минут прилетело: "ваш облачный пароль и почта изменены. локация USA"
после этого решилось только удалением акка
и созданием нового.
В этом плане воцап при авторизации нескольких устройств имеет ровно такой же механизм. Вчера пытались восстановить доступ, в итоге всё же пришёл звонок с кодом, но после ввода кода вышло сообщение, что номером вообще больше нельзя пользоваться в воцап.
Покупать премиум само по себе как бы вызывает вопросы. Триста рублей буквально ни за что. Такая большая портянка текста с тем что даёт премиум а по факту для мамонтов. Один месяц купил с пьяных глаз на дне рождении , так и не понял прикола, видео грузится быстрей не стали , телега вообще позорна в этом плане. На телефоне через ВПН инста моментом грузит видео а телега думает даже с своим супер премом. Перевод текста голосовых, ну не за 300. Отсутствие рекламы? Да меня и присутствие не так чтобы напрягло...короче очередной тест на нетакусика мажора этот ваш премиум.
Некоторое время назад возникла проблема с аккаунтом, выкинуло из всех сессий, и не удавалось войти, при этом, вроде левых сессий не было. То есть, похоже на взлом, но вроде никто от моего имени денег не просил, никаких признаков других сессий, ну ладно, тут уже точно не сказать, была эта ошибка Телеграм, или кто-то взломал, несмотря на двухфакторную аутентификацию со сложным паролем, идея в том, что общение с поддержкой общение шло по тому же принципу, что и у автора статьи: отправляю сообщение, получаю автоматический ответ, что вопрос будет отправлен волонтёрам, и от них никакого ответа. При том, что второй год плачу за подписку Премиум, и тешил себя иллюзией, что платные пользователи могут рассчитывать на оперативный ответ в случае проблем.
Что интересно, когда дошёл до этапа, где войти не удаётся из-за слишком большого количества попыток, мне всё равно удалось войти через Telegram X. То есть, обычный клиент Telegram не пускал, а через Telegram X при этом удалось войти в аккаунт, там тоже выкидывало, но гораздо реже.
А поддержка молчит до сих пор. В общем, в целом стоит вспомнить про мессенджеры, которые можешь сам контролировать, про тот де Jabber например.
Я, конечно, понимаю, что одна история не может быть стандартной, но тем не менее поделюсь своей, о техподдержке ТГ и возврате аккаунта.
Примерно около года назад я, сидя с одного из множества своих аккаунтов - зашёл в незакрытые комментарии нескольких региональных чиновников и военкоров, и написал несколько постов, явно неприятного для администраторов этих каналов содержания. Не знаю, на какой именно пост среагировал ботнет жалобщиков, но там были и тексты и изображения.
Через час я не смог зайти в аккаунт - он был удален, прям вообще - "удаленный аккаунт". Ну я не расстроился, аккаунтов у меня много, но все же решил написать в техподдержку, причем обычное письмо, без "волшебных слов", передающих на рассмотрение людям. Написал и забыл.
Иногда видел этот аккаунт, помеченный как удаленный - в своих группах. И каково же было мое удивление, когда спустя 2 месяца аккаунт восстановился - со всеми переписками, подписками и даже историей звонков.
Это я к чему - к тому, что иногда техподдержка работает
Боже...
Скажите, что это неправда.
Объясните, что произошло за последние года, что так испортило Хабр, и из сообщества гиков и умных людей превратилось в сообщество нытья и просто дилетантства, где вот такие статьи получают отклик выше, чем технические статьи и DIY? У нас тут что, Пикабу или ЯПлакалъ? Этой статье в ее виде место там.
С некоторых комментаторов в отдельном шоке. Типичные тэйки неграмотных людей, несколько историй на грани шизофрении, обвинение других, кроме себя. А, ну и отсутствие умения слушать собеседника.
Вот реально, сейчас встретить более адекватное ядро умных людей можно там, где раньше, казалось, что всё безнадежно.
Shame! Shame!
Мне никогда телеграмм особо не нравился, функционала через графику с гулькин нос. Ориентироваться по чатам и всему интерфейсу не лучше чем в вайбере. Общение по голосу не имеет норм шумодава. А видео трансляции примитивные параметры. Единственное что понравилось это большой лимит на загрузку файлов. И что когда сообщение не влазит в лимит само разбивается на несколько.
В остальном же дискорд куда функциональнее, понятнее и полезнее. Более универсален на все случаи жизни.
Теперь вы знаете, зачем нужны аналитики. И теперь мы знаем, что у Телеграмма их нет. 😁
Дно полное. Месяц назад удалили мой аккаунт с премиумом и деньгами на кошельке. Ответа — ноль.
Читала много отзывов — многие пострадали на крупные суммы.
Но, честно говоря, мне не хотелось дарить этой помойке свои 100 долларов. Но наши попытки не увенчались успехом.
В итоге мы в Твиттере пожелали "ФриДураку", чтобы его по судам затягали. И, о чудо, спустя три дня его арестовали. 😂
Те, кто не пострадал, явно будут яро защищать этот мессенджер.
Но для меня это скамерская помойка, и я более чем уверена, что это дело рук их команды. Увы.
Про F2A, который должен помочь усложнить взлом вашего аккаунта, а на деле делает невозможным получения доступа к аккаунту настоящего владельца.
Вот, к примеру, взять gmail, был аккаунт, пользовался им 20 лет. Конечно же, в целях безопасности, включена двухфакторная авторизация. По глупости, утерян доступ к номеру телефона (номер есть, но сменилось государство и код страны, был +38071, стал +7949) и теперь при вводе сложного пароля, который регулярно обновлялся, google отправляет код на уже несуществующее android устройство или отправляет смс на недоступный номер.
@aio350А как вы все-таки добились, чтобы пришла смс на телефон? Когда пытаюсь зайти по номеру телефона пишет, что отправил в телеграмм код, хотя доступа к этому девайсу нет. Писал уже в Саппорт и волонетерам и в Твиттер - везде тишина полная. Непонятно как добиться, чтобы хотя бы приходила смс на телефон, а не в телеграмм непонятно куда в открытую сессию.
Это статья была бы полезна, если бы автор раскрыл - как именно у него увели аккаунт. Это явно произошло в силу его кнокретных и осознанных действий, о которых автор деликатно умалчивает. А ценность опыта - именно в том, чтобы поделиться этим. Тогда и статья будет именть ценность. А так это выглядит как статья обиженного ребенка на жизнь, что он сам дал дяде игрушку, а дядя подишь-ты - забрал игрушку. Так при чем тут Телеграм?
С другой стороны - невозможность восстановить по зарегестрированному телефону - это таки абсурд 80-го левла ИМХО.
Могу свой случай рассказать. Вернее, не свой, а случай трех коллег, который полгода назад ломанули. Сценарий прост: приходит сообщение от якобы коллеги, содержания "Моя дочь участвует в конкурсе на лучший рисунок, прошу поддержать и проголосовать по ссылке ....". Добросердечный наивный человек нажимает ссылку - нажимает "подтвердить", не прочитав, и.. все.
Возможно я не знаю этой функции телеграма - восстанавливать доступ по ссылке. Можно подробнее? Так же в любом случае придет сообщение с кодом. Т.е. если нажали ссылку - то по определению есть интернет и придет сообщение в телеграм. Поэтому окончание "и все" - более чем не очевидно.
Код для доступа в телеграм люди обычно заказывают, когда у них НЕТ ДОСТУПА в телеграм. И когда запрашиваемый код приходит В ТЕЛЕГРАМ, то как его оттуда добыть, не имея доступа - загадка. :)
Разработчикам следовало сделать возможность отправки кода иным способом - в почту, на сайте, в СМС (вариантов много) и сброс всех сессий после ввода правильного кода, кроме той, что установилась при вводе. И мошенники сразу мимо.
А где здесь взлом?
Телеграм - лучший из мессенджеров, а их прошло через руки не менее десятка. В нем есть все нужное и много ненужного, но за один только мультилогин им благодарность бесконечная.
НО...
За столько лет телеграм так и не научился отсортировывать "вверх" те каналы, в которых включены уведомления и есть новые сообщения (т.е. с "зелененьким" счетчиком сообщений"). Это жутко неудобно, чтобы найти канал, который содержит сообщения, увеличивающие тебе циферку на иконке мессенджера - приходится листать ленту из 500+ каналов, выискивая "зелененькую" цифру. При элементарной реализации такой кривой и неудобный функционал. :(
А также печально, что в телеге.. вообще нет НИКАКОЙ техподдержки. В случае проблем - максимум тебе предстоит пообщаться с ботом, который отвечает фразами из FAQ. Живого человека, который бы вник в проблему и решил ее - нет. Что-то там пишут про "если найдется добрый волонтер, которому не лень - то он вам поможет", но что-то это из области фантастики. Возможно, это личный опыт и кому-то повезло больше.
Ну и самое гениальное - это придумка, когда код доступа при утрате доступа в телеграм, приходящий.. в телеграм (ба-дум-тыщщщ!). Не на почту, не на телефон СМС, а сообщением в месенджер. Куда нет доступа, поэтому и запрашивается код. Тот, кто это придумал - дай бог тебе здоровья и врача хорошего.
Злодей, уведший аккаунт, обрубивший все сессии, кроме собственной, очень веселится, наверняка, когда получает сообщения с кодами доступа.
мой аккаунт взломали
Что значит "аккаунт взломали"?
Каким образом можно ВЗЛОМАТЬ аккаунт?
Есть противоречие между возможностью сменить идентификацию и защитой от угона. Но лично я бы хотел иметь код, выдаваемый при генерации и нечитаемый позднее в профиле, по которому я бы мог восстановить доступ без возможности меня выбросить. Код одноразовый, с выдачей нового сразу после первого входа, чтобы не использовать в качестве пароля.
Тогда при любом угоне у меня был бы надёжный механизм возврата.
Недавно племяннице восстанавливал доступ. Говорит и двухфакторная была включена, и облачный пароль, и по ссылкам не переходили. Однако её выкинули и начали денег просить у контактов. Каким-то чудом удалось через смс зайти и сутки тихо просидеть, потом выкинуть злоумышленника. Подключение из Софии, что в Болгарии, наверное Киркоров был. Волонтёры до сих пор не ответили.
Пару ласковых о Telegram