Хакеры получили доступ к аккаунтам пользователей Telegram в Иране

    Журналисты Reuters сообщают, что мессенджер Telegram в Иране подвергся самой масштабной компрометации аккаунтов пользователей за всю историю. В результате хакерам удалось раскрыть информацию по более чем 15 млн. номеров телефонов пользователей мессенджера, а также получить доступ к десятку аккаунтов. Хакеры воспользовались наиболее уязвимым в Telegram местом — процесс активации новых устройств, который основан на отправке текстовых SMS-сообщениях.



    Telegram является очень распространенным мессенджером в Иране, его аудитория достигает 20 млн. человек. Мессенджером пользуются многие гражданские активисты, а также журналисты, так как он предоставляет высокий уровень защищенности пересылаемых данных. При активации пользователем нового устройства, Telegram посылает на него код активации в специальном SMS-сообщении. Данный код может быть перехвачен на уровне телекоммуникационной компании и оказаться в руках хакеров.

    Согласно комментариям экспертов Reuters, это далеко не первый случай компрометации аккаунтов сервиса Telegram за счет перехвата кодов активации в SMS-сообщениях. Когда речь идет о гражданских активистах, которые хотят защититься от любого типа вовлечения государства в их деятельность, доступ телекоммуникационных компаний к этому процессу может быть критическим для безопасности.

    Iranian hackers have compromised more than a dozen accounts on the Telegram instant messaging service and identified the phone numbers of 15 million Iranian users, the largest known breach of the encrypted communications system.

    Полученная в результате атаки информация может использоваться для деанонимизации пользователей и определения их территориального местоположения, что на руку спецслужбам, которые работают в интересах государства. Получив в свое распоряжение код активации, атакующие могут добавить к аккаунту жертвы свое устройство и получить доступ к переписке. В то же время, такой тип атаки не касается сообщений, которые были отправлены в режиме секретного чата, поскольку они не хранятся в облаке и доступны только с того устройства, которое инициировало безопасное подключение.

    Telegram критикуется security-экспертами не только за вышеупомянутое уязвимое место, но и за закрытость протокола шифрования MTProto для открытого аудита. Кроме этого, в отличие от WhatsApp или iMessage, Telegram не использует E2EE по умолчанию, что также может использоваться как изъян в безопасности, поскольку, как правило, пользователи используют стандартные настройки использования мессенджера, не переключаясь в режим защищенного чата.
    ESET NOD32
    0.00
    Company
    Share post

    Comments 56

      +11
      Может быть, уже пора сделать регистрацию без привязки к мобильному?
      Иногда самое простое решение является верным.
        0
        И предлагать пользователю на входе в приложение способ регистрации. Как, например, у protonmail.
          0
          Tox, tox& tox
            0
            tox пока что не годен к использованию, там многолетняя проблема — контакты становятся оффлайн и их статус перестает обновляться, помогает только перезапуск или кнопка reconnect в клиенте.
              0

              используйте в клиенте те ноды, которые онлайн, не будет траблов с коннектом в целом.
              Я сижу на qtox и toxic на сервере — проблем нет.

                0
                Проблем с коннектом нет, но контакты которые на самом деле онлайн становятся оффлайн. Разработчики спустя несколько лет все таки признали проблему в ядре (соединение не восстанавливает если оно по любым причинам было оборвано на продолжительное время), но пока не починили.
            0
            Другого способа защиты от флуда созданием фейковых аккаунтов кроме привязки к мобильному пока не нашли, так что вряд ли отвяжут.
            А вот заставить всех пароль установить как дополнительную защиту было бы простым решением.
            +4
            А какая отсюда мораль? sms-код для ряда операций, вроде добавления нового устройства надо принимать только вместе с паролем пользователя.
              –1
              del
                0
                Лично я считаю, что использование кодов типа GoogleAuth более безопасны. Не вижу возможности перехватить такой код. Как раз замечаю такую тенденцию отказа от СМС в пользу таких паролей
                  0
                  а если Гугл заблокируют?
                    0
                    Microsoft Authenticator
                    А если у Вас заблокированы Гугл и Майкрософт — думаю, защищаться уже поздно.
                +1
                >Кроме этого, в отличие от WhatsApp или iMessage, Telegram не использует E2EE
                Шифрование в вацапе надежное, потому что вацап об этом в каждом вацаповском чатике написано? Ну-ну.
                  0
                  а) Что мешает проверить «зарегистрированность» номеров в других мессенджерах?
                  б) Двухфакторка в телеграме есть весьма давно и нет ни одной причины её не включать
                    0
                    б) Она бесполезна: https://geektimes.ru/post/276238/
                      0
                      Уже убрали же возможность удаления только по коду из смски?
                    +3
                    Анонимность и водить свой номер *facepalm.jpg*
                    До сих пор не пользуюсь. Чем он лучше месенджеров в Торе? Ничем кроме свистелок и перделок.
                      +1
                      А кто-то говорит про анонимность?
                        0
                        Анонимность — хорошее дополнение к приватности, в нашем дивном новом мире.
                          0
                          Хорошее, но тот же сигнал и ватсапп ничуть не более анонимные чем телеграм
                            +1
                            nikitasius верно говорит

                            Tox, tox& tox


                            А вот моя история использования Tox.
                              0

                              Как правильно сегодня заметили на канале (тема дискуссии фейл пашаграмма)


                              [13:19:38] []Sǚll[]: people werent born understanding how technology works on the inside
                              [13:19:44] []Sǚll[]: everyone is at a different level of understanding
                              [13:20:06] []Sǚll[]: they think just making a new gmail is anonymous
                              [13:20:13] []Sǚll[]: they dont understand all the things tracking them
                              [13:20:28] []Sǚll[]: just like with everything else is life… it needs education

                              Так что пока жизнь не обяжет, они не зашевелятся использовать анонимные средста коммуникации в дополнение к своим приватным аспектам жизни.


                              З.Ы, к сожалению хабр режет юникод из ников.

                          +2
                          Заметил, что многие путают понятия анонимность (неизвестность автора сообщения) и приватность (переписка доступна только участникам переписки). И приписывают мессенджерам, подобным Telegram то, что они не заявляют.
                            +1
                            О том и речь, лично я не помню, чтобы телеграмовцы где-то заявляли об анонимности, да и фичи вроде отправки контакт-листа на сервер прямо противоположны этому.
                            0
                            да, мой фейл, я скорее имел ввиду что это бред регистрировать через номер, я живу в разных странах и у меня разные номера, нахрен нужен этот геморрой с телефонами. Переехал в другую страну, и не можешь войти, оператор не работает.

                            Но там в первых комментах уже ответили. Так что обойдусь без него.
                            0
                            Отличная альтернатива скайпу (который на андроиде представляет из себя кусок непонятной субстанции, жрущей батарею и CPU) для простых людей. Можно, конечно, пересаживать людей на jabber или ещё чего, но не со всеми выходит.
                              0

                              Не только на андройде, но и на IOS тоже.

                              +2
                              > Чем он лучше месенджеров в Торе?
                              Тем, что им кто-то пользуется.
                              +3

                              Официальный ответ Telegram.

                                0
                                Ох уж эта секта свидетей Драматического Отличия Авторизации От Аутентификации И Их Обоих От Идентификации.
                                Как мне кажется, общественность взбудоражил не сам факт взлома некоего приложения, а тот факт, что конкретный оператор сотовой связи по чьей-то прихоти (возможно, одного конкретного сотрудника, возможно, по просьбе извне) без уведомления отключил на длительное время службы SMS и мобильного интернета, а затем включил их обратно, что пришлось как раз на момент взлома. If it looks like a duck, swims like a duck and quacks like a duck, then it probably is a duck.
                                  0
                                  По слухам подобными вещами МТС в России балуется. И тоже с телеграмом.
                                  0
                                  На мой взгляд, это очень глупо со стороны гражданских активистов вестись на пиар-компанию Телеграмма, с его очевидными уязвимостями(про которые говорится не раз и не два), а не пользоваться, например, Jabber+OTR или Tor'ом, в конце-то концов. Все-таки не свистоперделки и модное оформление обеспечивают безопасность.

                                  Использовать Телеграм как некий мессенджер или как «отличную альтернативу скайпу» еще бог с ним, но не для серьезных переговоров же.
                                    0
                                    > это очень глупо
                                    Когда вся страна использует один и тот же мессенжер, то ты хочешь или не хочешь, а тоже будешь в нём сидеть, хотя бы просто чтобы иметь возможность общаться.

                                    > со стороны гражданских активистов вестись на пиар-компанию Телеграмма
                                    Опять-же, возможно те, кто реально опасается таких случаев использует секретные чаты? В таком случае, они не пострадали.
                                      +1
                                      Так одно дело в нем сидеть и общаться и другое обсуждать там «гражданско-активистские дела».

                                      По своему опыту могу сказать, что из общей массы гражданских активистов разных мастей лишь незначительный процент из них действительно запаривается по секретным чатам, шифрованию данных и прочему. Подавляющая масса же их может(и так и делает) обсуждать свои дела даже не то чтобы в телеграме, а просто в контактике или фейсбуке каком.
                                    0
                                    Эм, «хакерам удалось раскрыть информацию по более чем 15 млн. номеров телефонов пользователей мессенджера», и при чем здесь телеграм, или я чего-то не понимаю? То, что операторы выдают направо-налево номера телефонов, это не проблемы мессенджера. А чтобы никто не получил доступ к переписке, используйте двухфакторную аутентификацию, в чём проблема?
                                      0
                                      Пора для активации использовать сразу несколько средств, например мобильный + сообщение в аккаунт соц сети, не ввел данные из обеих — активация не пройдена.
                                        0
                                        В большинстве случаев достаточно мобильный + пароль по-умолчанию
                                        0
                                        Надо вообще отменить регистрации.
                                        Берем пример с tox. Локально сделали файлик, прописали пачку нод в клиенте, подключились и пользуйтесь, обменивайтесь картинками, музыкой, фильмами, софтом, просто чатитесь.
                                        Если нужны пуши, мобильный трафик, плакать на канал #tox-dev и в github.

                                        Если у декабре 2015го траффик ноды за сутки был 2-2.5Гб, сейчас 5.5-6Гб. И теперь 55 нод вместо 20.
                                          0
                                          Это мне кажется, или этот текст действительно пытается без технических аргументов вложить мне мысль о том, что телеграм не стоит того чтобы им пользоваться? Хорошая попытка, товарищ.
                                            –1

                                            Любая система, в котором требуется регистрация не считается анонимной.
                                            Пашинграм


                                            • в телеграмме рега на телефон (симка или покупается в переходе или легально) — 0 баллов
                                            • коннекты на сервера телеграмма, а не в DHT сеть (можно использовать прокси и tor, если последний пропустит на порт) — 0 баллов
                                            • вся архитектура на серверах паши — -1 балл
                                              итого: -1 балл

                                            Токс


                                            • реги нету — 1 балл
                                            • коннекты к нодам в DHT сети — 1 балл
                                            • архитектура в DHT сети (именно поэтому там нет чатов с 0 пользователей) — 1 балл
                                              Итого: — 3 балла
                                              0
                                              Кстати, как там Токс поживает? Последний раз, когда его пробовал, он был еще достаточно сырой и неуклюжий, что ли.
                                                0
                                                Удобство использования и нормальные клиенты для подавляющего большинства гораздо важнее. Ну и наличие людей с кем можно общаться и их поиск.
                                                  0
                                                  для подавляющего большинства

                                                  Куда ж без них, #comment_9731166
                                                    0
                                                    А с чего вы решили, что анонимность использования ужасно важна для этих людей? Вы серъезно рассчитываете, что обычные люди будут страдать и грызть кактус ради этой самой анонимности?
                                                      0
                                                      Мне вообще нет дела до остальных людей. Я лишь показал на красную таблетку.
                                                        0
                                                        Если вам нет дела до остальных людей, то для чего вам вообще мессенджер? :)
                                                        0
                                                        Анонимность и безопасность крайне важна для все тех же гражданских активистов, про которых, по сути, и идет речь в статье, так как именно они попадут под раздачу из-за атаки и своей возможной промашки с информационной безопасностью. Обычных людей сейчас хоть и тоже интересует анонимность и шифрование, но скорей для просто сохранения своей личной жизни и информации о ней. Поэтому «обычным» грызть кактус хоть и нужно, но не так сильно. Правда, я все равно не понимаю, в чем «кактус» у того же джаббера с OTR, по моему опыту этот кактус заключается лишь в лени его установить.
                                                          0
                                                          У джаббера плохо с пушами, плохо с поиском нужных контактов, плохо с мобильными клиентами, плохо с синхронизацией при многих клиентах. Использовать джаббер это действительно грызть кактус в сравнении с телеграмом для большинства сценариев использования.
                                                            +1
                                                            Не знаю, не знаю. Мне из всех этих пунктов только мобильные клиенты действительно показались «кактусами». Но это все, разумеется, чисто субъективные вещи.
                                                    0
                                                    Честно, лично для меня все эти три балла с легкостью перевешиваются тремя фичами телеграма:

                                                    1. Реально удобные клиенты под все нужные мне платформы
                                                    2. Молниеносные пуши
                                                    3. Нормальная синхронизация истории и использование нескольких устройств одновременно

                                                    Для моих сценариев использования (вечерком поговорить с коллегами в общем чате, да позадавать вопросов в конфе про рельсы) меня телеграм устраивает на все 130%, если мне понадобится анонимность — тогда уже будет смысл искать что-то такое, даже принося в жертву удобство использования, но все остальное время бороться с приколами распределенных систем а-ля Tox я причин не вижу.
                                                      0
                                                      Полностью согласен.
                                                      Если чист перед законом, то лучше пользоваться тем, что удобно, а не то, что типа «анонимно».
                                                      0
                                                      • вся архитектура на серверах паши — -1 балл

                                                      Я слышал что можно свой локальный сервер поднять, не правильно слышал?
                                                        0
                                                        Неправильно слышал:
                                                        Our architecture does not support federation yet. Telegram is a unified cloud service, so creating forks where two users might end up on two different Telegram clouds is unacceptable. To enable you to run your own Telegram server while retaining both speed and security is a task in itself. At the moment, we are undecided on whether or not Telegram should go in this direction.
                                                          0
                                                          В принципе протокол открыт. Можно свой сервер реализовать.
                                                        0
                                                        Note: Tox is still under heavy development — expect to run into some bugs: -1
                                                        Отсутствие родного клиента для всех платформ, необходимость выбирать между сторонними реализациями разной степени доделанности (даже на сайте у них висят 2 клиента под Win64 без объяснения разницы): -1
                                                        Как мы понимаем, полная приватность и анонимность важны гражданским активистам и прочим, кому надо спрятаться, а также тем гражданам, которые настолько ценят неприкосновенность своей личной жизни.
                                                        А вот DHT-сеть, в которой надо забивать список нод вручную и, к тому же, они регулярно теряются, а также отсутствие клиентов в официальных магазинах приложений (а для WinMobile — так и вообще отсутствие клиента) и поиск собеседника по Tox ID, боюсь, не позволят сделать его системой, которой реально можно пользоваться в повседневной жизни.
                                                        Возможно, что-то поменяется потом, а пока так.
                                                      0
                                                      Не наговаривайте на супер-безопасный мессенджер, который спасёт нас всех от цензуры и кровавой гебни.

                                                      Only users with full accounts can post comments. Log in, please.