Спецслужбы начали перехватывать SMS-коды авторизации Telegram

    Похоже, авторизация по SMS в мессенджере Telegram скомпрометирована. Об этом сегодня предупредил пользователей сам Павел Дуров.

    «Судя по всему, спецслужбы РФ решили начать давить на операторов связи, чтобы те стали осуществлять перехват авторизационного SMS-кода. Обычно такое встречается только в рамках людоедских, не заботящихся о своей репутации режимах — средняя Азия, иногда Ближний Восток. Но внезапно случилось в России (если, конечно, отсечь коррупцию внутри МТС)», — говорит Павел Дуров.

    Рекомендацию для жителей проблемных стран я уже опубликовал; также будем делать массовую Телеграм-рассылку по России с советом всем находящимся под угрозой пользователям включать двухфакторную авторизацию, так как операторы связи РФ как верификатор ненадёжны».

    «Как я пользуюсь Телеграмом: есть двухфакторная авторизация (пароль на аккаунт), аккаунт привязан к сим-карте адекватной юрисдикции, наиболее деликатные моменты обсуждаются в секретных чатах. В принципе, любая из этих мер по отдельности позволяет защитить важную информацию. Риск возникает тогда, когда отсутствует всё вышеперечисленное».

    Историю с перехватом SMS-кода авторизации и взломом аккаунта Telegram подробно описал 29 апреля один из пользователей Олег Козловский.

    Вот как развивались события, с его слов.

    В 2:25 ночи отдел технологической безопасности МТС отключает мне сервис доставки SMS-сообщений.

    Через 15 минут, в 2:40, кто-то с Unix-консоли по IP-адресу 162.247.72.27 (это один из серверов анонимайзера Tor) отправил в Telegram запрос на авторизацию нового устройства с моим номером телефона.

    Мне было отправлено SMS с кодом, которое доставлено не было (сервис для меня отключен).

    В 3:08 злоумышленник вводит код авторизации и получает доступ к моему аккаунту. Telegram присылает мне автоматическое уведомление об этом (которое я прочитаю только утром).

    В 3:12 аналогичным образом с того же IP-адреса (т.е. через ту же сессию Tor) взламывается аккаунт Георгия Албурова.

    В 4:55 отдел технологической безопасности МТС вновь включает мне сервис доставки SMS.

    Причину отключения и включения сервиса МТС мне назвать отказалось, предложив написать письменный запрос.

    Главный вопрос в том, каким образом неизвестные получили доступ к коду, который был отправлен на SMS, но не доставлен. К сожалению, у меня есть только одна версия: через систему СОРМ или напрямую через отдел техбезопасности МТС (например, по звонку из «компетентных органов»). Если есть другие варианты — предлагайте.

    Главная рекомендация для всех пользователей Telegram: подключите двухэтапную авторизацию (т.е. не только SMS, но и пароль). Это делается в настройках безопасности.

    Главная рекомендация для Telegram: не принимать код авторизации, если не пришло подтверждение его доставки.

    Share post

    Comments 254

      +7
      > Главная рекомендация для Telegram: не принимать код авторизации, если не пришло подтверждение его доставки.

      Что мешает злоумышленникам отослать фейковое подтверждение?
        +4

        Смотря кого понимать под злоумышленником. Для сотовой компании отослать подтверждение себе дороже — тогда можно запросить техническую информацию, куда ушло сообщение и кто отправил подтверждение. Сейчас все выглядит более логично — смс не дошло, так как сервис СМС отключен.

          0
          Или просто 2х факторная авторизация
          +3
          А до спецслужб подобным(в плане «воровства» смс подтверждений) занимались жулики, выпуская через знакомых в салонах связи новые сим карты на существующие номера жертв и обналичивая деньги с их банковских счетов.
            +18
            Это совсем не то. Когда жулик выпускает новую симкарту, старая перестаёт работать и это сразу заметно. Тут же телефон работал, просто смс заворачивались «куда надо». Фактически — прослушка.
              0
              Непонятны слова Дурова «Как я пользуюсь Телеграмом: есть двухфакторная авторизация (пароль на аккаунт), аккаунт привязан к сим-карте адекватной юрисдикции»

              СМС по каналам связи оператора-2(предоставляющий услуги роуминга и в чей сети зарегистрирован абонент) от оператора-1(чья сим-карта, но который не предоставляет услуги сотовой связи в месте расположения абонента) легко читается или нет?
                +1
                Не то что легко читается, она plaintext-ом идет :)
                  +5
                  Он ещё выполняет 9.5 правило ведения бизнеса, так что всё OK.
                    0
                    Есть невероятно много мест, где SIM-карту можно купить анонимно. Навскидку — Украина и США. При этом роуминг замечательно работает. Таким образом прочитать, конечно, можно, но вот только неизвестно, кого читать. Ну и до кучи: у многих штатовских операторов есть фишка под названием «Wi-Fi Calling»: при наличии Wi-Fi соединения через него пробрасывается IPSec-туннель прямо до IMS Core родного оператора, и всё начинает ходить через него — и голос, и SMS.
                      0
                      "… вот только неизвестно, кого читать..." — хм, даже по тексту SMS можно идентифицировать. Да и странно думать, что тот, кто Вами интересуется, не знает всех номеров ваших сотовых, которые Вы используете :)

                      "...Wi-Fi Calling… IPSec-туннель прямо до IMS Core родного оператора..." — дело новое ж, сколько десятков там дырок никто ж не знает. Но очевидно что, правоохранители родного оператора, очевидно доступ будут иметь, а местные, как минимум, смогут его отключить.

                      SIM не местного оператора, по-любому, только увеличивает риски :)
                        0
                        "… вот только неизвестно, кого читать..." — хм, даже по тексту SMS можно идентифицировать. Да и странно думать, что тот, кто Вами интересуется, не знает всех номеров ваших сотовых, которые Вы используете :)
                        Речь об использовании такого номера для SMS-авторизации, а не как основного. Если его не раздавать направо-налево, и не публиковать у себя в оппозиционном блоге — как минимум на порядок можно усложнить задачу поиска номера для атаки. Я не знаю, какое количество роуминговых абонентов одновременно активно в той-же Москве, но здравый смысл подсказывает что немало. Да и SIM роуминговая может сегодня в одной сети зарегаться, завтра — в другой. К какому оператору бежать отключать SMS?
                        "...Wi-Fi Calling… IPSec-туннель прямо до IMS Core родного оператора..." — дело новое ж, сколько десятков там дырок никто ж не знает. Но очевидно что, правоохранители родного оператора, очевидно доступ будут иметь, а местные, как минимум, смогут его отключить.
                        IPSec — новое? Разве только если со стандартом GSM сравнивать… Родной оператор — да, безусловно может и читать и спецслужбам сливать, а вот местные сомневаюсь что легко смогут отключить (про читать IPSec с SIM-авторизацией я вообще не говорю): разве только всех провайдеров заставить банить список адресов гейтов буржуйских операторов. Ну и снова-таки у того-же Verizon просто на сайте в личном кабинете все SMS доступны — можно даже в Россию не привозить телефон.
                          0
                          «Если его не раздавать направо-налево» — что значит не раздавать, он же сам для роуминга зарегистрируется. И, если правоохранительным органам (да и любому не пионеру) конкретный субъект интересен, то не составит труда сопоставить места регистраций.

                          «IPSec — новое?» — как сказать, IKEv2 — просто сверхновое, там ещё осталось масса вопросов. А про IKEv1, конечно, все дырки известны, но его редко кто безопасно использует. А вот реализация «Wi-Fi Calling» — это ж терра-инкогнита, насколько небезопасно там IPsec используется и сколько в нём дыр, никому ж неизвестно ж.

                          «Verizon просто на сайте в личном кабинете все SMS доступны» — вай-вай, просто замечательно ж, ну так все правоохранители, как те, так и другие, в этом личном кабинете всё и сделают :)
                            0
                            «Если его не раздавать направо-налево» — что значит не раздавать, он же сам для роуминга зарегистрируется. И, если правоохранительным органам (да и любому не пионеру) конкретный субъект интересен, то не составит труда сопоставить места регистраций.
                            Тут еще вопрос, насколько интересен субъект. Вполне может оказаться достаточно интересен чтобы поискать по фамилии в базе МТС, но недостаточно интересен чтобы заморачиваться с поиском его роуминговой SIM, или IPSec-туннелей.
                            «Verizon просто на сайте в личном кабинете все SMS доступны» — вай-вай, просто замечательно ж, ну так все правоохранители, как те, так и другие, в этом личном кабинете всё и сделают :)
                            «Те» может и сделают (но зачем?!), а «другие» должны будут для начала обнаружить соответствие субъекта и купленной в WalMart за кэш коробочки с телефоном Verizon. Особенно если номер ни разу в РФ-роуминге не светился (и вообще ни в каком роуминге кроме Wi-Fi не светился, ибо CDMA).
                              0
                              "… заморачиваться..." — в контексте спецслужб (или любых не пионеров), здесь нет мороки.

                              "...'Verizon просто на сайте в личном кабинете все SMS'… РФ-роуминге не светился..." — если субъект будет регулярно входить в личный кабинет для проверки SMS, то скорее всего он будет делать это не один. Аккаунт Verizon вряд ли крепче защищён нежели какой-нибудь Facebook или…
                                +1
                                Переоценивать врагов не менее опасно чем недооценивать :) ИМХО и у спецслужб, и у других «не пионеров» есть бюджеты, есть конечное количество ресурсов, а значит есть подобие поля «приоритет» у условных «тикетов» на «разработку» различных субъектов. Даже если почитать сливы Сноудена — сразу видно, что большинство инструментария работает только если у жертвы Windows на компьютере, и Android на телефоне. Таким образом по аналогичному таску «Взлом Telegram» у малозначимого субъекта тикет будет закрыт с формулировкой «не удалось выполнить при помощи стандартных средств», а у субъекта значимого будет закрыт с солюшеном "взломано путём запихивания веб-камеры в голову котэ сцубъекта и подсматривания пароля"…
                                  +1
                                  За кота не скажу, а вот стоимость перехвата SMS едва ли отличима от 0, так же, думаю, как и стоимость блокировки IPsec и/или HTTP(S) на сайт оператора.
                            0
                            P.S.
                            "… всех провайдеров заставить банить список..." — зачем всех? Конкретный субъект ночует (или днюет) в сравнительно одном месте, так что и провайдер один, ну и по трафику буржуйский оператор определяется.

                            P.P.S.
                            Супротив восточной мудрости «Что знают трое — знает и свинья» не попрёшь, все эти мессенджеры небезопасны по определению. Желаете секретничать, будте добры передавать ключики на отделяемых носителя из одних доверенных рук в другие проверенные ручки передавать.
                              0
                              P.S.
                              "… всех провайдеров заставить банить список..." — зачем всех? Конкретный субъект ночует (или днюет) в сравнительно одном месте, так что и провайдер один, ну и по трафику буржуйский оператор определяется.
                              Не проверял, но не удивлюсь если буржуйский оператор использует какой-нибудь AWS, и без последствий для кучи других сайтов заблочить не выйдет. Кроме того, блочить придётся не только у провайдера субъекта, но и у провайдеров его соседей с открытым Wi-Fi, и в McDonalds ближайшем (в России же есть wifi в McDonalds?), у т.д. Снова-таки возвращаемся к вопросу о степени интереса к субъекту, потому как если вы _ДЕЙСТВИТЕЛЬНО_ интересны настолько — рекомендую повнимательнее присмотреться к своему котэ. На всякий случай.
                              P.P.S.
                              Супротив восточной мудрости «Что знают трое — знает и свинья» не попрёшь, все эти мессенджеры небезопасны по определению. Желаете секретничать, будте добры передавать ключики на отделяемых носителя из одних доверенных рук в другие проверенные ручки передавать.
                              Согласен, но ведь не всегда возможно это…
                                0
                                «AWS» — для IPsec? Может быть, конечно, но тогда, во-первых, защищённость этого IPsec вызывает сомнения и, во-вторых, это ж редкость, плюс специфика IPsec подразумевает выделенный адрес или имя для стороны шлюза, так что проблем с блокировкой не должно возникать.

                                "… блочить придётся не только у провайдера субъекта..." — зачем постоянно блокировать? Если задача это подбор пароля (смена/восстановление) второго фактора, так сказать, аутентификации, то перехват SMS нужен на несколько часов/минут в день.

                                "… но ведь не всегда возможно это…", но иначе дело швах. Если потенциальный нарушитель не пионер, а тем более если он спецслужба, то надёжнее использовать открытые каналы. В этом случае, хотя бы, не будет заблуждений на сей счёт: «могут прослушать или нет». Могут, и всякая собака может.
                          +1
                          В Польше есть предоплаченные симки. Можно купить без доков.
                            0
                            Есть, лично покупал ради интернета, правда с тарифами оказалось полная хрень.
                              0
                              Ну незнаю. Мне 10-15 злотых хватает на месяц стабильно.
                        +2
                        Я в плане того что подтверждениям по СМС уже давно нельзя доверять.
                          0
                          старая перестаёт работать и это сразу заметно

                          В два часа ночи это заметно далеко не всем.
                            0
                            С утра он не заработает.
                              0
                              Но денег-то уже не будет
                                0
                                Это совершенно разные вещи. Ворам абсолютно всё равно, что будет с телефоном жертвы после воровства, хоть взорвётся. Деньги уже у них. Тут же была явная попытка поставить телеграмм на прослушку «без шума и пыли», чтобы жертва вообще ничего не заподозрила. Но это не вышло, так как телеграмм присылает сообщение о входе в аккаунт, о чём преступники, видимо, не знали. Уровень операции совершенно другой и не может быть осуществлён рядовым сотрудником.
                                  0
                                  Так глупо спалиться, почему не опробовать на «кошках» своем коллеге. Скорей всего хотели именно «прочитать текущую переписку». Тогда следующий вопрос: кто такой этот Олег, чтобы его переписку кто-то захотел почитать?
                                    +1
                                    А какая разница? Будь он хоть негром преклонных годов, или членом ИГ. Тут прецедент важен. Сегодня он, завтра ты
                                      0
                                      Вся история криптографии это борьба желающих сохранить тайну переписки с желающими поучаствовать в этой переписке наблюдателями.
                                      Если не получается сломать само шифрование, ищут методы перехвата ключей или другие схемы обхода, вариант с перехватом смс самый предсказуемый.
                                      0
                                      Вроде взломали несколько аккаунтов. В твитторе писали что это какие то оппозиционеры.
                                      0
                                      Причем тут «без шума и пыли» и «спалились»?
                                      Задача была просто залогиниться и прочитать переписку. Она подгружается же.
                              0
                              У некоторых банков есть привязка к IMSI конкретной SIM-карты и на новую подтверждение не отправят.
                                0
                                Ещё лет 15 назад на Siemens сделал себе виртуальную карточку прямо в телефоне (была такая хитрая прошивка патченная), которая воспринималась сотовой как родная. Но в то же время если я забывал телефон, вставлял в запасной саму карточку — и вот я снова на связи. Очень удобно. К сожалению, в современных смартах я не знаю, как проделать такой трюк.
                                Это я к тому, что ещё 15 лет назад можно было клонировать SIM-карту вместе с IMSI. А тем более, если всё происходит прямо у опсоса — выдадут какой надо IMSI. Впрочем, я не очень представляю, а как вообще банк может его запросить?
                                  0
                                  Даже тогда не все симки клонировались, а банки проверяют IMSI запросом к оператору. От силовиков это не защитит — они и так читают сообщения СОРМом, а обычные мошенники код не получат.
                                    0
                                    Впрочем, я не очень представляю, а как вообще банк может его запросить?

                                    HLR-запрос. Это доступно не только банку.
                                      0
                                      А можно какой-нибудь надежный сервис? Потому что все, что я видел в открытом доступе (платные, бесплатные, с демо-режимом), верный IMSI выдают только в половине случаев.
                                        0
                                          0
                                          Попробовал на своем номере (Йота) — выдало статус «недоступен», хотя телефон включен.
                                            0
                                            на мегафоне работает. может просто йота из-за виртуальности криво маршрутизируется
                                              0
                                              Про мегафоновский номер пишет «находится в сети», хотя телефон с мегафоновской симкой выключен.
                                –1
                                Вообще странно, что не сделано как у гугла, первая и главная авторизация по логину-паролю с привязкой к почте, вторая смс, т.е. на первое место ставить более защищенный способ, на второй менее защищенный, а Паша видать по привычке как в контакте сделал, думая что первый этап авторизации безопаснее по логину и паролю по https.
                                  +6
                                  дальше всех пошёл Blizzard
                                  image
                                    0
                                    Ого, реально надежно. Пароль = РІN + код
                                    Vasco Digipass Go 6
                                      +2
                                      У Google есть Authenticator, мобильное приложение, которое занимается примерно тем же. Правда, они закрыли исходники, но стандарт один, есть альтернативы — например, редхэтовский FreeOTP.

                                      А ещё для второго фактора мне очень нравится FIDO U2F, там аппартный ключ, который генерирует код подтверждения, причём для каждого сайта разный, а криптографический ключ из него не достать так легко. Из минусов — плохая поддержка смартфонов, из сайтов, поддерживающих его пользуюсь только гуглом с его сервисами, из браузеров — пока только хром. Можно использовать не только на сайтах, например, для SSH. Где-то был список всех, кто его поддерживает.
                                        0
                                        Для винды пользуюсь WinAuth, понимает разные аутентикаторы по стандарту RFC 6238.
                                          0
                                          > например, для SSH
                                          ага, только для убунты есть патчи для ssh 6.7p1… и патчить надо и клиент и сервер… и все это должным образом не протестировано.
                                          так что, пока об этом еще очень рано говорить.
                                            0
                                            Да ну, уже с 6.2 работает одновременно и keyboard interactive и по ключам. Ну и актуальная версия ssh 7.2, а не 6.7
                                              0
                                              Откуда информация про 6.2? Поделитесь источником.
                                              Я руководствуюсь этими:
                                              https://github.com/Yubico/pam-u2f/issues/12
                                              https://bugzilla.mindrot.org/show_bug.cgi?id=2319
                                                0
                                                  0
                                                  То понятно, а мы про U2F говорим.
                                            +1
                                            Мобильное приложение плохо тем, что мобильник может быть скомпрометирован, собтвенно как и компьютер с usb токеном, просто пока и то и другое находится под защитой неуловимого джо в виду малой распространённости.
                                              0
                                              Это уже проблемы владельца. Можно отправлять голубиной почтой. Но голубя может скомпрометировать кот.
                                              0
                                              Рекомендую программный TOTP для OS X и iOS — 1password. https://blog.agilebits.com/2015/01/26/totp-for-1password-users/

                                              TOTP умееют все крупные сервисы: вконтакте, фейсбук, google, github, bitbucket, digital ocean. Давно отвязал второй фактор в виде SMS от всего что можно.
                                                0
                                                Так Google Authenticator/FreeOTP — тоже TOTP ;)
                                                  0
                                                  Но ничто из этого кроме 1password не работает на десктопных ОС-ях.
                                                    0
                                                    Предлагаемый вами вариант — это довольно дорогой комбайн. Версия в которой включена функция TOTP для мобильных устройств так же платная. Выставлять плюсом то, что «второй фактор» можно вынести на десктоп я бы не стал, т.к. в этом случае складываем все яйца в одну корзину, а сама идея двухфакторной авторизации как раз заключается в том, чтобы точки прохождения авторизации разнести на разные узлы. Но если уж готовы на такой риск, то, наверное, лучшее решение — это все же Authy. Бесплатно, кроссплатформено, синхронизируемо между устройствами.
                                                      0
                                                      Есть WinAuth, который упомянули выше. Есть Authy, который работает как приложение в Хроме. Есть консольный oath-toolkit. Есть плагин к KeePass. Есть плагины к браузерам.

                                                      См. http://superuser.com/questions/462478/is-there-a-google-authenticator-desktop-client
                                                    +2
                                                    > 1password
                                                    Проприетарный софт с закрытым исходным кодом? Спасибо, не нужно.
                                                  0
                                                  Да вы видно шутите? OTP Token и всё.
                                                +3
                                                А зачем вообще вся эта авторизация по SMS? Чем не устраивает старый добрый email или вообще без подтверждения: придумал логин, пароль, ввел в форму регистрации — зарегистрировался, ввел в форму авторизации — авторизовался.
                                                  0

                                                  Тем, что такая форма авторизации подвержена самым различным способам взлома. От брутфорса до элементарнного перехвата. Почитайте вот тут, например.

                                                    +3
                                                    Так по СМС хуже, как видите. Почту в адкеватной юрисдикции и со сложным паролем не взломать, а телефон… Всё в этой статье и статьях про перевыпуск симок.
                                                      +4
                                                      Так и с симкой адекватной юрисдикции то же самое. Получается дело не в почта vs симка, а адекватная юрисдикция vs самизнаетечто…
                                                        0
                                                        Подскажите пожалуйста, где взять такую симку?)
                                                          +2
                                                          Было бы интересно, если бы организовали как сервис, то есть смски читать заходя на сайт например, ну и какой-нибудь проброс звонков через интернет, если оно надо. Просто номер в аренду в какой-нибудь Монголии, остальное продавать пакетами.
                                                            +1
                                                            купите британский сотовый номер, например, от Sonetel.
                                                            Входящие СМС автоматически пересылаются на e-mail.
                                                              0
                                                              В стране с адекватной юрисдикцией. Ну, или в стране, по отношении к которой вы — Неуловимый Джо.
                                                              0
                                                              А разве симка со сколь угодно адекватной юрисдикцией, находясь в стране с юрисдикцией другой, менее адекватной, не становится точно такой же уязвимой к описанным видам атак? Роуминг же, все данные идут через сети местного оператора, который точно так же может перехватывать сообщения.
                                                                0
                                                                С симкой же можно работать удаленно, не вывозя ее из страны.
                                                                  0
                                                                  Тогда в той стране должен быть надежный союзник, который будет обеспечивать бесперебойное нахождение симки в сети с подключением к Интернету и организацией удаленного доступа.
                                                                    0
                                                                    Вебкамеру направленную на телефон.
                                                                0
                                                                Получается дело не в почта vs симка, а адекватная юрисдикция vs самизнаетечто…

                                                                Для почты я могу выбрать любой сервис (в том числе тот, который находится в адекватной юрисдикции). С симкой всё сложнее.

                                                                  0
                                                                  Ну, да, сложнее. Полагаю, мессенджеры, завязаные на телефоны делались изначально с упором на удобство, а не на конспирацию.
                                                                  Ну, а теперь есть хороший повод к новому лозунгу, — Паша, приделай к телеграмму электропочту!
                                                                  Занятно, что спецслужбы так по-глупому спалили уязвимость.
                                                                    0
                                                                    Может просто забыть про телеграмм и уйти во всякие signal, threema и tox?
                                                                      0
                                                                      Если они лучше решают круг стоящих перед человеком задач, то почему бы и нет. Я свою паранойю пока удовлетворил включением парольной защиты.
                                                                    0

                                                                    Более того, вы сами можете зарегистрировать домен и поставить почтовый сервер, который будет полностью под вашим контролем. Жаль, что телефонная сеть не такая децентрализованная, как почта/jabber, вроде 21 век уже, а воз и ныне там.

                                                              0
                                                              Например тем, что пароль можно забыть/потерять (под потерять понимается скомпрометировать — забыть разлогиниться, фишинг, MITM, просто просто записать на бумажке). С телефоном это сделать сложнее — вам нужно получить доступ к внутренним сервисам провайдера. Доступ к логину и паролю могут получить миллионы людей, доступ к телефону, без физической кражи и взлома кода доступа в самом телефоне, могут получить единицы.
                                                                +12
                                                                Маркетинговый булшит и иллюзия безопасности: в телеграме по умолчанию вообще никакого пароля нет — только код из смс при авторизации нового устройства. Это мало того, что неудобно, если оказываешься в стране, где у твоего оператора нет соглашения о роуминге, так ещё и крайне глупо. Я знаю случаи, когда у человека сим-карту перевыпускали без его ведома после кучи звонков с левых номеров и пополнения на крупную сумму — очевидно, какая-то дубовая девочка в салоне сочла достаточным ответ на стандартные вопросы типа «последние звонки и баланс на счету» (привязки сим-карты к паспорту у нас нет). Нельзя использовать номер телефона как идентификатор, это неудобно и ненадёжно.
                                                                  +2
                                                                  У нас и с паспортом перевыпускают, привязка к паспорту вообще не гарантия.
                                                                    0
                                                                    > Это мало того, что неудобно, если оказываешься в стране, где у твоего оператора нет соглашения о роуминге, так ещё и крайне глупо.
                                                                    Если есть активная сессия, то уведомление с кодом приходит в само приложение.
                                                                      0
                                                                      +1
                                                                    0
                                                                    потому что получить новый номер сложнее чем новый имейл, это остановило бы поток спамеров и тд
                                                                      0
                                                                      Не сложнее, чуть дороже. Что бы не было спамеров, достаточно сделать режим, в котором тебе могут писать только после подтверждения, как в аське было. Хотя бы опционально.
                                                                        0
                                                                        Это есть в скайпе. Вот только спам приглашениями фильтровать MS не хотят.
                                                                          0
                                                                          В идеале нужна система как в, опять же, была в некоторых клиентах аськи — контрольный вопрос, на который нужно ответить, что бы начать общение. Типа «Какой у меня ник?» или «Как меня зовут?». Такое ботам обойти будет сложновато.
                                                                        0
                                                                        Недавно спамеры «атаковали» тут один чат, 200 аккаунтов у них было. А для мыла всё равно в большинстве случаев нужен или телефон. или капча (да, я знаю про antigate).
                                                                      +8

                                                                      Не проще запилить поддержку FreeOTP и/или Google authentificator? Как тот же Dropbox.

                                                                        0
                                                                        Там есть двухфакторая авторизация. У пользователя она была отключена.
                                                                          0

                                                                          Я просто мессенджерами не пользуюсь, кроме стандартного Hangouts. Мне всегда казалось, что пароль первичен. Если забыл, то на почту под двухфакторной. Или токен/OTP/СМС/распечатка одноразовых паролей плюс основной пароль.

                                                                            0
                                                                            У Телеграма изначально вообще пароля нет, ты ставишь приложение и вводишь код из SMS.
                                                                              +9

                                                                              Одни блондинки вокруг((

                                                                                0
                                                                                Вот хорошее сравнение, параноикам есть из чего выбрать:
                                                                                https://www.eff.org/secure-messaging-scorecard
                                                                                  0
                                                                                  что то там tox'ов нет.
                                                                                  вроде была какая то движуха вокруг репозиториев, даже в вики есть об этом, а как с готовностью? году в 14 штоле здесь был про альфу пост.
                                                                                    0
                                                                                    Работает, работает неплохо. Но людей внутри нет
                                                                                      0
                                                                                      Работает, народу прибывает (хотя сейчас наблюдается «сезонный спад»), РФ на первом месте по суточному количеству нод, появились русскоязычные чаты (бот Kalina), зарождается эра ботоводства (пока в зачаточной стадии, но попытки растут как грибы), народ с нетерпением ждет вливания кода групповых чатов в ядро.
                                                                                        +1
                                                                                        Адекватные клиенты отсутствуют полностью. Обычному человеку нет необходимости скрывать переписку с подружкой от ФСБ если подружка не шахид. А вот качественный UI и стабильную работу будьте добры обеспечьте. Сейчас все клиенты tox выглядят как linux программы ранних 2000х.
                                                                                          0
                                                                                          Обычный человек напишет подружке, что недоволен режимом, или что фрилансом заработал 86 руб 42 коп, а налоги с них не уплатил, и все — пишите письма мелким почерком
                                                                                      0
                                                                                      + i2p bote
                                                                                      куда уж защищеннее ;) но точно не для блондинок (хотя для запуска требуется очень мало телодвижений)
                                                                                      0
                                                                                      Чем это отличается от гугла? Там сначала пароль, потом sms, а тут сначала sms потом пароль.
                                                                                        0
                                                                                        Тем что тут пароль необязательная часть и у большинства пользователей не стоит. В результате авторизация не 2х факторная, а однофакторная.
                                                                                        Причем авторизация только по смс менее безопасна чем даже простая классическая авторизация только по одному паролю.
                                                                                          0
                                                                                          и у гугла СМС это механизм восстановления. Рекомендован всё таки authenticator.
                                                                                +11
                                                                                В реальности это означает, что в одной большой северной стране все каналы общения, где аутентификация основана исключительно на СМС, не могут считаться безопасными по определению. Включая Whatsapp, Signal, Viber.
                                                                                  0
                                                                                  Извиняюсь за ошибку — в Signal можно использовать защиту паролем в дополнение к СМС, в Whatsapp и Viber такой опции я не нашел.
                                                                                    0
                                                                                    В SIgnal ключ генерируется на стороне клиента, при описанном сценарии злоумышленник получит смс и будет «выдавать» себя за вас. Вот только все оппоненты при попытке коммуникации с ним, будь то приватный, или групповой чат, получат ошибку отправления и сообщение о том что идентификатор изменился и, возможно, это больше не Петя Иванов. Вы должны сами решить и подтвердить. Причем если вы кликнули «ОК» в приватной беседе, это не перенимается автоматом на групповые чаты и наоборот.

                                                                                    Защита паролем только самого приложения и не влияет на кражу через смс.

                                                                                    В отличие от остальных, сигнал не разрешит существование нескольких аккаунтов и сообщения не будут «дублироваться» на телефон Пети Иванова и сотрудника заинтересованных служб.
                                                                                    0
                                                                                    Более того, для передачи используется уязвимый протокол который взламывается при наличии пары лишних Тб и не шибко дорого оборудования.
                                                                                      –1
                                                                                      Какой из трех протоколов вы имеете ввиду: Whatsapp, Signal или Viber?
                                                                                        +4
                                                                                        GSM. кто-то куда-то лезет, вам приходит SMSка её читают прямо из эфира и используют по назначению. конечно при этом надо находиться достаточно близко к вышке к которой подключена жертва.
                                                                                          +1
                                                                                          Все дело в цене (за каждым оппозиционером гоняться будет дороговато). Зачем взламывать протокол, если можно прийти к оператору и «вежливо попросить»
                                                                                            +1
                                                                                            Вот именно, дело в цене, точнее в сумме)
                                                                                            Если нечего отжать — какой ты оппозиционер?
                                                                                              +1
                                                                                              Вы что! тем (заказчикам а не исполнителям) кто отжимает доступ у оппозиции, деньги не особо нужны.
                                                                                                0
                                                                                                Как раз таки нужны, раз отжимают.
                                                                                                  0
                                                                                                  Зачем такой длинный маршрут? Они сразу в банк могут обратиться, чтобы отжать деньги и ваши чатики не нужны.
                                                                                      0
                                                                                      Дополнение: в Signal защищается паролем только текущее устройство, ничто не мешает переустановить приложение на другое устройство при доступе к СМС. Доступа к истории звонков и сообщений не будет, но все равно плохо.
                                                                                        0
                                                                                        Вообще то в любой стране все каналы общения не могут считаться по определению безопасными. И можешь чувствовать себя в безопасности пока ты Неуловимый Джо.
                                                                                          +1
                                                                                          Мне всегда казалось, что это общеизвестный факт после историй с мошенниками, которые легко получали новые симки.
                                                                                            +1
                                                                                            Viber использует SMS только для активации первичного устройства. Все остальные устройства считается вторичными и привязываются к первичному только посредством сканирования QR кода в непосредственной видимости.
                                                                                            Если даже злоумышленникам удасться подменить SIM, перехватить SMS и сделать новую активацию первичного устройства, то:
                                                                                            1) изначально первичное устройство будет немедленно деактивировано
                                                                                            2) все вторичные устройства немедленно перейдут в режим ре-активации новым первичным устройством посредством сканирования QR кода
                                                                                            3) история на новое устройство восстановлена не будет, вайбер не хватит историю на серверах
                                                                                            4) все участники в существующих шифрованных группах немедленно получат уведомление, что первичное устройство участника было изменено, а 1to1 чаты помеченые как доверенные, перестанут быть таковыми

                                                                                            То есть пользы от всего этого злоумышленнику будет чрезвычайно мало.
                                                                                              0
                                                                                              США?
                                                                                              –2
                                                                                              Эта новость лишний раз подтверждает догму «Don't Roll Your Own Crypto». По моему мнению, самый безопасный мессенджер — это torchat, который полностью полагается на криптографию, предоставляемую тором. А все сообщения torchat удаляются при выходе из программы — очень разумная политика. По крайней мере, доступ к переписке не будет получен через смс.
                                                                                                +1
                                                                                                я думал самый безопасный всё-же bitmessage
                                                                                                +10
                                                                                                Больше всего жаль, что доступ получили к аккаунту ФБК, а не чиновника какого-нибудь.
                                                                                                  +18
                                                                                                  Ну так коррупционеры для властей опасности не представляют. А вот те кто разоблачает коррупционеров — настоящие враги государства.
                                                                                                  0
                                                                                                  А вот есть ли например почта/мессенжеры, которые имеют следующий способ входа по такой схеме:

                                                                                                  — при регистрации акаунта создается некий сид для алгоритма генерации пароля
                                                                                                  — все пароли одноразовые
                                                                                                  — на компьютере установлена программа в которую либо зашит алгоритм генерации и сид, либо несколько миллионов паролей(при круглосуточной проверке почты раз в минуту миллиона паролей хватит примерно на 2 года), и она выдает пароль на один раз

                                                                                                  Т.е. чтобы воровство пароля было бесполезно, но при этом не было привязки к телефону как в случае например связки webmoney+enum.
                                                                                                    +1

                                                                                                    FreeOTP? Seed + unix time

                                                                                                      0
                                                                                                      Вы придумали клиентский сертификат. Для них инфраструктура лучше развита, поэтому они предпочтительнее.
                                                                                                      –31
                                                                                                      Ну да, людоедские режимы перехватывают смски. Прогрессивные демократии прослушивают весь трафик. https://ru.wikipedia.org/wiki/PRISM_(программа_разведки)
                                                                                                      Когда Гиктайм лезет в политическую пропаганду, это дурно пахнет.
                                                                                                        +13
                                                                                                        В статье всего лишь процитировали слова Дурова, того самого, который добровольно отдал бизнес и уехал из этой страны.
                                                                                                          +12
                                                                                                          Не делай вид, что не понимаешь. «Прогрессивные демократии» слушают трафик (с определенными ограничениями. Например, СМСки от моего провайдера до моего телефона юридически прослушать нельзя, практически они стираются через 30 минут без того, что на них смотрит человек или компьютер), но не меняют и не перехватывают его. Кроме того, «Прогрессивные демократии» в принципе не следят за оппозиционерами (на уровне вторжения в частную жизнь через отслеживания емайлов, смсок и т.д.) — это чревато тяжелыми последствиями. Никсон как-то попытался и получил импичмент. «Прогрессивные демократии» пытаются бороться с наркотрафиком и терроризмом, а достаточно редкие нарушения лишь подтверждают правило, в отличии от «людоедских режимов», единственная цель существования которых — удержание власти, и как следствие, борьба с оппозицией. В «прогрессивной демократии» взлом аккаунта социальной сети/мессенджера политического деятеля властями (без ордера) означал бы очень серьезные последствия для тех кто это сделал и тех, кто приказал это сделать.

                                                                                                          Если бы условный Обама приказал следить за условным Трампом и ФБР начало бы отслеживать его переписку (емайлы и т.д.), то условному Обаме пришел бы импичмент, а его партия пролетела бы на выборах в соотношении 86% / 14%.

                                                                                                          Если бы вы проследили все скандалы связанные с privacy, то увидели бы, что были или решение суда/ордер или перехватывалась открытая информация (которая пересылалась открытым текстом по тем или иным причинам). Последнее возможно из-за того, что переписка на почтовых открытках (а передача незашифрованного трафика в США приравнивается к почтовым открыткам) не защищена тайной переписки, шифрованный траффик приравнивается к письмо в конверте (есть тайна переписки). Таким образом прослушка внутреннего незашифрованного траффика формально разрешена, но вызывает большие скандалы и возражения и власти пытаются найти компромис.

                                                                                                          Дальше, в США тайна электронной переписки распространятся на резидентов США (гражданство иметь не обязательно, достаточно легально находиться в США), поэтому зашифрованный заграничный трафик (из США за границу и в обратном направлении) может анализироваться властями (и вскрываться, если есть возможность). Незашифрованный трафик в этом случае может анализироваться без ограничений. Но провайдеры не обязаны помогать властям в расшифровке траффика (если нет решения суда).

                                                                                                          Думаю, я понятно объяснил, как это работает в «прогрессивных демократиях».
                                                                                                            –23
                                                                                                            Религиозному человеку бесполезно доказывать, что его бог не существует.
                                                                                                            Даже ситуация со Сноуденом и пытками в Гуантанамо не разубедят его в его вере.
                                                                                                              +11
                                                                                                              Ситуация со Сноуденом лишь подтверждает мои слова — власти пытаются отслеживать траффик, где можно (разрешено). Где нельзя — получают ордер и пытаются (не всегда успешно) им воспользоваться.

                                                                                                              Гуантанамо — это не в тему. Честно говоря, судьба «несчастных» талибов меня мало беспокоит. У этих людей нет статуса военнопленных (они не были солдатами афганской армии при режиме талибов), по идее, в любой другой стране их бы расстреляли на законном основании в соответствии со всеми Женевскими конвенциями. Но этих «зеленых человечков» / «шахтеров» / «трактористов» не расстреляли, а содержат в относительно неплохих условиях, если сравнивать с афганскими-сирийскими-иракскими-иранскими тюрьмами.
                                                                                                                –14
                                                                                                                содержат в относительно неплохих условиях
                                                                                                                Немножко насилуют и пытают, а так да все в порядке…
                                                                                                                  +12
                                                                                                                  Тут в Казани людей бутылкой от шампанского насилуют до смерти, в Сочи насиловали ломом, и т.п. Причем, это делается не для какой-то борьбы с террористами, а всего лишь для улучшения статистики.
                                                                                                                  А вы тут про то, что каких-то бедных талибов обижают, которые спокойно людям головы отрезают…
                                                                                                                    0
                                                                                                                    Вы сравниваете преступление (Казань) и принятую «норму» (Гуантаномо). Первое это преступление, второе — это тоже преступление, но под благородной вывеской.

                                                                                                                    А вы тут про то, что каких-то бедных талибов обижают, которые спокойно людям головы отрезают…
                                                                                                                    Не так давно, в исторической перспективе, эти талибы были лучшими друзьями, потому как резали правильные головы.
                                                                                                                      +2

                                                                                                                      Гуантанамо, между прочим, очень хороший пример. То что там творится, с моей точки зрения гадко и мерзко. Не менее чем то, что творилось в одном из казанских РОВД. Различие ситуаций в том, что Гуантанамо воспринимается в США как серьезная проблема. Причем и властью, и обществом. Поэтому даже тем, кто считает Гуантанамо "условно приемлемым злом" приходится прятать это на территории с сомнительной юрисдикцией, а потом пытаться оправдываться. Казанские же маньяки творили свое дело на рабочем месте, будучи уверенными в своей безнаказанности, при том без всякого смысла и хоть какого-то оправдания. Они и не нуждались в оправдании, прежде всего в своих глазах. Сходно то, что и в том, и в другом случае система дала сбой. Только в случае с Гуантанамо система должна была предотвратить его (Гуантанамо) появление, а в Казани — предотвратить последствия для преступников.

                                                                                                                        +4
                                                                                                                        Гуантанамо воспринимается в США как серьезная проблема. Причем и властью, и обществом.
                                                                                                                        Даже больше, лауреат нобелевской премии мира (Ливия, Ирак, Афганистан), по совместительству президент, в своей предвыборной компании говорил, что закроет эту позорную страницу американской демократии и даже, что то пытался делать будучи уже избранным… а воз и ныне там. Её наверное инопланетяне содержат, раз власть и общество ничего не могут сделать. И сравнение с Казанью где было совершено уголовное преступление и Гуантаномо где это «норма» до сих пор, неуместно.
                                                                                                                    +1
                                                                                                                    Бедолага, ты посиди с месяц в любом российском ИВС, ты будешь о Гуантанамо мечтать как о кущах небесных
                                                                                                                  –11
                                                                                                                  Истинно верующему человеку всё что угодно подтверждает его слова. Прослушка, пытки — это всё лишь укрепляет его в его вере.
                                                                                                                    –7
                                                                                                                    Простите, что вмешиваюсь, но при виде вашего ника не могу удержаться.

                                                                                                                    То есть, если у человека нет статуса военнопленного, по-вашему, его можно похищать и держать взаперти (не важно, в каких условиях)?

                                                                                                                    И вы серьезно считаете, что такое право есть у украинских «батальонов» по отношению к противоположной стороне? Ну да, именно к тем, кото вы так пренебрежительно называете «шахтерами»… я говорю, не буду уж молчать, об ополченцах.

                                                                                                                    Но ладно, а статус военнопленного кем присваивается? Ну вот перенесем это на Украину, простите. Типа, если члены «добровольческих батальонов» не убили ополченца, значит, его монжо считать пленным? А если убили — по вашей логике, без этого статуса можно делать с ними что угодно. Знаем мы, в каких «относительно неплохих» условиях их содержат.

                                                                                                                    Мда, наговорил я много… но не могу сдерживаться.
                                                                                                                      +10
                                                                                                                      Ну, если мы говорим об условиях в Гуантанамо, то смертность там среди «шахтеров» и «трактористов» равна нулю, поэтому я бы не особенно тревожиться об условиях содержания.

                                                                                                                      Начет «украинских батальонов по отношению к противоположной стороне»: там все просто:

                                                                                                                      1. Если противоположная сторона — российские солдаты, то в случае взятия в плен они однозначно должны рассматриваться как военнопленные. Хотя о чем это я, ведь сам Национальный Лидер сказал, что ихтамнет.
                                                                                                                      2. Если противоположная сторона — граждане Украины (безусловно, там такие есть) — то согласно действующему законодательству Украины (думаю, до 15 лет за терроризм и убийства светит ребятам, но я не гражданин Украины, не хочу вводить в заблуждение).
                                                                                                                      3. Если противоположная сторона — «шактеры» и «трактористы», «купившие оружие в военторге» ( т.е. не граждане Украины и не военнослужащие российской армии. Но ведь российских войск на Донбасе ихтамнет, правда?), то должен вас огорчить — согласно всем конвенциям их можно расстреливать на месте. Если не расстреляли на месте, то нужно гарантировать жизнь до суда (если будет), расстреливать без суда нельзя. Но можно держать взаперти вплоть до окончания войны и подписания мирного договора (или до суда и приговора. Приговором в теории может быть расстрел, но на Украине нет смертной казни). Кстати, «держать взаперти» до окончания войны можно и первую категорию. Вторую категорию — нельзя. Их наду сразусудить как гражданских лиц.

                                                                                                                      Вот так, даже если это вам не нравится. Есть Женевская Конвенция, есть международные договоры, есть Красный Крест и, к чьему-то сожалению, «шахтеры и трактористы» (С) не подпадают под защиту этих договоров и конвенций. Причем это относится к афганским «шахтерам», «шахтерам» (т.е. не гражданам Сирии и Ирака) ИГИЛа (запрещенной в России террористической организации) и, естественно, «шахтерам и трактористам» на Донбасе.

                                                                                                                      Говорю это как бывший военнослужащий израильской армии, которая достаточно скрупулезно (даже слишком скрупулезно) придерживается всех возможных и невозможных конвенций — за убийство обезвреженного террориста (т.е. «шахтера-тракториста») военнослужащему могут дать приличный срок (были случаи).

                                                                                                                      В очень сжатой форме, о правилах обращения с людоедами «шахтерами и трактористами» рассказывает эта, по-видимому, правдивая, история:

                                                                                                                      30 лет назад, когда начальником Генштаба Израиля был легендарный Рафаэль «Рафуль» Эйтан, на Голаны прорвалась группа террористов. Срочно прибывшая рота спецназа уничтожила всех. Вдогонку приехал Рафуль, и кто-то с возмущением рассказал ему, что двоих террористов уничтожили уже после того, как они подняли руки.
                                                                                                                      Рафуль был в бешенстве и наорал на командира роты. Основная претензия звучала так:
                                                                                                                      – Почему у них оставалось время поднять руки?!
                                                                                                                      +2
                                                                                                                      Простите, что вмешиваюсь, но при виде вашего ника не могу удержаться.


                                                                                                                      Ха, только сейчас понял.

                                                                                                                      Насчет моего ника — посмотрите когда зарегистрирован мой аккаунт и вспомните когда начались известные события. Разница — около четырех лет. Поэтому, ваша вводная фраза не в тему.
                                                                                                                      +3
                                                                                                                      У этих людей нет статуса военнопленных (они не были солдатами афганской армии при режиме талибов), по идее, в любой другой стране их бы расстреляли на законном основании в соответствии со всеми Женевскими конвенциями.
                                                                                                                      Т.е. гражданин страны взявший в руки оружие и выступивший против иностранных войск на своей территории, которая находится в состоянии гражданской войны, подлежит расстрелу o_O. Или, как по вашему, «гуманно» изолирован на военной базе, находящейся за полконтинента, без каких либо прав, т.к. не подпадает ни под какие конвенции и юрисдикции, т.к. формально Гуантаномо не территория США, что тоже «веслый» казус. Прекрасный, чудный мир, прогрессивный и демократичный!
                                                                                                                        +3
                                                                                                                        Вы уж определитесь — разделяете ли вы ценности западной цивилизации — гуманизм, права человека, прайваси или для «людей второго сорта» это не распространяется.
                                                                                                                        –8
                                                                                                                        Все Божья роса… он даже прослушку воспринимает как само собой разумеющееся, т.к. не зашифровано, а значит можно и нужно.
                                                                                                                        +1
                                                                                                                        Ага… А ещё эти «демократии» настолько прогрессивны, что прослушивают телефоны лидеров союзников по НАТО…
                                                                                                                        А ещё — принимают законы, разрешающие взламывать кого угодно за границей. (У себя-то это уже давно норма — людей даже в тюрьмах держат ТОЛЬКО за то, что они нижнее бельё предъявлять отказываются geektimes.ru/post/275200) Конечно, за прослушку Трампа — импичмент, а за Меркель, Берусеони и т.д. — орден. Это же демократия. Безо всяких 2,3,4...-стандартов.
                                                                                                                        То, что Вы ненавидите «кровавый режим ГБ-шников» не делает противостоящий ему заокеанский нежным и пушистым.
                                                                                                                        Кстати, «гбшный» режим — мне тоже как-то не очень.., как и перехват смс. Но и петь дифирамбы, прослезившись, при взгляде на звёздно-полосатый — не тянет. До маразма пока не дожил, а юношеский нигилизм ко всему домашнему без разбора — уже прошёл.
                                                                                                                          +6
                                                                                                                          Кстати, а кто сказал, что всё описанное в сабже безобразие делалось без ордера?
                                                                                                                          Весь ваш поток сердечек в адрес «прогрессивной демократии» строится на том, что «у них» это делается по закону — а у нас — как-то не так… А вдруг — это по закону было? (если вообще что-то было) Всё — разрыв шаблона?

                                                                                                                          И ещё, к слову.
                                                                                                                          Забавные порядки и здесь в местном «демократическом сообществе». Стоит только высказать мысли, идущие вразрезс основной модной «демократической» струей (диванное диссидентство, ортодоксальный опенсорс, винда мастдай и т.п...) — получаешь минус в карму.
                                                                                                                          Не минус посту, как выражение несогласия с высказыванием, а именно в карму, как наказание за отличие в мышлении. И делают это именно люди, с пеной у рта разглагольствующие об идеалах открытости и демократии.
                                                                                                                          Чем руководствуются? «А потому что могу» (с)

                                                                                                                          И заметка администрации.
                                                                                                                          Не стоит ли ввести практику обязательного и содержательного комментирования оценок в карму?
                                                                                                                          И при несодержательности или неадекватности комментария своих действуй — минусовать именно «оценщика».
                                                                                                                          Мне кажется общее качество системы оценок только выиграло бы за счёт, быть может, снижения количества, но повышения качества.
                                                                                                                            +3
                                                                                                                            Забавные порядки и здесь в местном «демократическом сообществе». Стоит только высказать мысли, идущие вразрезс основной модной «демократической» струей

                                                                                                                            Коллега! Это вы еще не тронули Маска, электромобили и зеленую энергетику… прилетает сразу в карму, если есть малейший намек на отступление от «генеральной линии»… проверено.
                                                                                                                              +2
                                                                                                                              Если есть много народа, если критика какой-то вещи превращается в минусы в карму, разве сложно увидеть в этом узкое место своего собственного подхода? Может быть нужно просто менять тактику и пользоваться политтехнологиями (в английском есть привлекательное выражение для этого: public relations, PR, так же известное как «пиар»), а не просто озвучиванием собственного «фу» с помощью первых попавшихся слов?

                                                                                                                              Вы же сами обнаружили, что часто встречается фактор массового сознания и солидарности по какому-то вопросу (читай как: «в некоторых вопросах люди ведут себя как стадо»). Этот фактор — закон природы, а не проблема. Он есть. Если нужно продвигать идеи, нужно иметь ввиду, что он есть. Вместо того, чтобы доставлять дискомфорт отдельным представителям сообщества, заагривая их окружение на защиту, нужно изучать сообщество и понимать, каким способом оно кормится, чтобы тот же самый способ использовать для скармливания собственных идей.

                                                                                                                              Если взять аналогию с какашкой, то не очень круто насмехаться над человеком, показывая пальцем, что он держит в руках дерьмо. Это спровоцирует его негативную реакцию, а ему на помощь обязательно появится кто-нибудь с похожими взглядами на проблему. Они, с их позиции, будут бороться не с тем, чтобы доказать, что они не держат какашку. Они будут бороться с противником, который доставляет им дискомфорт. В этой ситуации всё сведётся к личностям, и вы будете тратить всю жизнь на то, чтобы бороться с людьми по личным вопросам.

                                                                                                                              Вместо этого нужно доносить идею, что, мол, есть «какашка v.2.0». Она может содержать внутри радикально другие идеи, но очень важно показать людям, что она очень похожа на «какашку v.1.0.0.5.0.0», но только гораздо гламурнее, моднее и приятнее на вкус. Нужно рекламировать её так, чтобы владельцы первой версии сами, по-тихому, начали от неё избавляться, чтобы не выглядеть в глазах окружающих ретроградами.

                                                                                                                              Опять же, я повторюсь. Стадный инстинкт — это аксиома. Обвинять людей в том, что у них есть стадный инстинкт — не конструктивно. Это не изменит ровным счётом ничего. Нужно использовать его как инструмент, а не как стенку, о которую можно время от времени побиться.
                                                                                                                                0
                                                                                                                                Всё правильно. Но дело в том, что это сообщество позиционирует себя, как высокоинтеллектуальное, толерантное, свободное от ханжества и предрассудков. Соответствующей реакции я и ожидаю, вступая в какие-то дискуссии. Всё время забываю, что «люди» мы лишь на 5%, а на остальные 95 — животные. Потому и реакция, как у стаи (или стада — в зависимости от убеждений травоядное человек или хищник)…
                                                                                                                                На самом деле, как уже не раз в подобных обсуждениях упоминалось, нормальных людей большинство.., но им нет нужды самоутверждаться, залезая кому-то в профиль и производя какие-то действия… Они прочитают, согласятся-не согласятся, и дальше пойдут. А вот любители самоутвердиться бросками дерьма — это ж счастье для них — возможность кому-то нагадить. Да ещё и лозунги модные распевая.
                                                                                                                                Но оглядываться на стадо — я не вижу смысла. Я рассчитываю на нормальных людей. Концентрация коих тут — всё же сильно выше, чем в среднем по больнице. Даже если с данной конкретной мыслью многие не согласятся. В том и заключается истинная толерантность и свобода мысли.
                                                                                                                                  –5
                                                                                                                                  Оо! А вот и подтверждение вышесказанному… Один из недовольных не поленился зайти и в профиль на Хабре нагадить. Привет тебе, страдалец! Не грусти! У тебя тоже жизнь наладится рано или поздно!
                                                                                                                                  Ещё на Мегамозге можешь нагадить! ;)
                                                                                                                                  0
                                                                                                                                  В целом, совершенно согласен. Но есть нюанс. К тому моменту, когда вы всё-таки сможете объяснить, что «какашка v.2.0 очень похожа на какашку v.1.0.0.5.0.0» придётся менять аккаунт. С другой стороны, не могу сказать, что я не знал, на что иду, пытаясь показывать эту схожесть. Выбор таков, либо пишите статьи, за которые всегда будете в плюсе, или при отсутствии оных — катитесь в забвение, ибо это есть политика администрации ресурса.
                                                                                                                            +14
                                                                                                                            А ещё у них негров линчуют, да-да
                                                                                                                              –1
                                                                                                                              У них негров линчуют, а у нас чюрки русских линчуют
                                                                                                                              +7
                                                                                                                              Нигде в статье не говорится, что это как-то отличается от США. Тот факт, что в штатах что-то плохо — это не оправдание для того, чтобы плохо было в России. Даже в гипотетическом мире, где все страны, кроме России, периодически читают СМС оппозиции, воруют их аккаунты, и садят братьев оппозиционеров в тюрьмы, нормальный человек отнесется к описанному в топике отрицательно. Ненормальный будет сравнивать с тем, как в «прогрессивной демократии».
                                                                                                                                +6
                                                                                                                                Использование штампов «людоедские/кровавые режимы», «развитые демократии», используют только для пиара, чёрного или белого пиара.

                                                                                                                                В данном случае пиар телеграмма, на тему истерии вокруг безопасности, а был ли взлом или это только такая возможность взлома, кто его знает.
                                                                                                                                0
                                                                                                                                Перехват СМС — люди вспомнили статью 2014 года
                                                                                                                                https://habrahabr.ru/company/pt/blog/226977/

                                                                                                                                Проверка на раскрытие частной СМС-переписки. Данная атака является следствием атаки номер 3. В случае успешной атаки входящие СМС начинают приходить на оборудование злоумышленника, прочитать их не составит труда. Чтобы СМС не была доставлена получателю впоследствии, в СМС-центр отправляется уведомление о получении.

                                                                                                                                Но там о внедрении в чужую инфраструктуру сотовой сети.
                                                                                                                                  0
                                                                                                                                  Липовая базовая станция с отключенным шифрованием давно доступна не только спецслужбам.
                                                                                                                                  Просто это еще не стало мэйнстримом.
                                                                                                                                    +1
                                                                                                                                    PS: меня с самого начала изумляло слепое доверие клиентов банков SMS авторизации. Массовый угон денег с обобщенного Liqpay — вопрос времени.
                                                                                                                                    0
                                                                                                                                    Я как раз думал на днях, как отказаться от колхозных смс. Удалить номер центра самый простой вариант. Обилие мессенджеров меня раздражает, коим смс по сути является. Но в итоге все равно есть проблема: смс до сих пор пользуются многие верификационные сервисы.
                                                                                                                                      0
                                                                                                                                      Перехват входящих SMS в GSM сетях сейчас не составляет особых проблем, даже не спецслужбам. Активный перехват (как раз который был в случае с Козловским) можно производить находясь на значительном удалении, главное находиться в той же Location Area что и же и жертва. В целом по железу можно уложиться в 1.5к $ (SDR + Комп c rainbow tables + телефон c baseband Calypso ) ну и необходимо понимание что происходит.
                                                                                                                                        0

                                                                                                                                        А в GSM что, не солят?

                                                                                                                                        0
                                                                                                                                        Смысл взлома, если спалился, telegram не пользуюсь, не знаю можно ли видеть историю переписки с нового авторизованного устройства. Какое значение для спецслужб имеют эти два человека. Здесь проскакивали статьи про портативные базовые станции и sms/gsm/fakesim. Операторов можно прижать везде, вопрос можно ли потом идти с этим в суд. Если суд дал разрешение, какие вопросы. ЧСВ и ФГМ.
                                                                                                                                          +5
                                                                                                                                          вопрос можно ли потом идти с этим в суд

                                                                                                                                          Пф… Тут уже агент ЦРУ Freedom, ходил в суд, после того как его разоблачили на центральных каналах. Пошел выяснять почему его до сих пор не арестовали, но суд сказал, что это его не касается :)
                                                                                                                                            –2
                                                                                                                                            Это единственный контраргумент?
                                                                                                                                              +1
                                                                                                                                              Не единственный, судов уже множество было, все суды которые против властей подавались, тупо даже не регистрировались (причем подавали одно и тоже дело в десяток судов). А в единственном случае когда суд умудлился просто зарегистрировать дело против самого нацлидера — судью уже уволили. Вот и обращайтесь в наш суд.
                                                                                                                                                0
                                                                                                                                                Пруфы есть или с вентилятором решили поиграть? Еще раз, как вот это ваше все касается статьи? Вы ГТ и ЖЖ не попутали?
                                                                                                                                            +2
                                                                                                                                            Какое значение для спецслужб имеют эти два человека.

                                                                                                                                            Ну вы посмотрите, что это за люди.

                                                                                                                                              +1
                                                                                                                                              Посмотрел. Их ценность для спецслужб вообще исчезла.
                                                                                                                                                0

                                                                                                                                                Почему вы так решили?

                                                                                                                                                  0
                                                                                                                                                  А смысл?? Для чего это делается? Что можно сделать с идейным человеком, даже если знать его переписку, какой компромат может быть в этой переписке? Вы безусловно верите словам одного человека. подчеркну — словам? И безусловно уверены, что так и есть? Я не утверждаю, что такого не может быть. Для меня не ясны несколько моментов, откуда известно точное время отключения и включения сервиса и почему нет в этот промежуток звонка оператору с соответствующим вопросом. Кто с 2:25 до 4:55 это мониторит и как. Что мешает моей жене поинтересоваться — А с кем это он там в telegram переписывается? — доступ к телефону есть, почему кто-то по моей просьбе не может имитировать подобную ситуацию, благо можно обвинить людей в черном. Вопросов больше, чем фактов, отсюда и такое мнение. Еще раз, я не утверждаю, что такого не может быть, очень может, но именно в этом случае очень не уверен.
                                                                                                                                                    +2
                                                                                                                                                    Ценность в том, чтобы знать против кого они дела ведут. А потом аккуратно исчезают упоминания об этих лицах в документах, как в случае недавнего дела с зятем нацлидера, Который породнившись с нацлидером, резко стал очень способным миллиадером.
                                                                                                                                                      0
                                                                                                                                                      Я говорил о конкретном случае и о конкретном человеке. О ком, вы, говорите, в статье не сказано, по правде я и не знаю о ком вы. Тем более не понимаю зачем. Как это относится к статье о МТС-СМС и потерпевшему г-ну Козловскому. Даже не смешно же.
                                                                                                                                            +1
                                                                                                                                            Уж что бы там не говорили, но на лицо — факт незаконного посягательство на личную территорию. В данном случае это — аккаунт Телеграмм. Как не глупо это звучит, но он — собственность владельца. Как и телефонный номер. Касательно забора информации с последнего, то это уже вообще попадает под несколько статей. Во-первых, незаконное внедрение в работу компьютерной системы (хакерство, простым языком), во-вторых, использование информации, полученной незаконным путем, с выгодой для себя. Это ведь можно и так трактовать. Проще говоря, я бы советовал автору обращаться в международные инстанции, юрисдикция которых поддерживается законодательством РФ. Кстати, а такие существуют? (ну это уже просто сарказм, не более того) Я бы это просто так не оставлял. Понимаю, что может получится бой с тенью, однако. А вот Дурову не помешает продумать лучше систему авторизации. Почему бы, к примеру, не заставить использовать какой-нить шифрованный ключ, который генерируется системой и хранится только у пользователя. И чтобы войти в аккаунт на неизвестно машине — нужно предоставить тот самый файл. Нечто схожее работает в WebMoney, но в более примитивной форме. СМС, которые раньше считались лучшим вариантом для подтверждения персоны — получился полностью дырявым методом. Может и снизиться удобность работы мессенджера, но, как по мне, важней именно выполнение прямой функции.
                                                                                                                                              +1
                                                                                                                                              Телефонный номер — собственность абонента??.. :)

                                                                                                                                              Пожалуйста, не вводите людей в заблуждение. Телефонный номер арендуется абонентом на время действия договора с оператором связи.

                                                                                                                                              Что же до «незаконного посягательства», так тут уже упоминали возможное наличие судебного ордера у «соответствующих органов». И потом, согласно действующему законодательству РФ, в определённых случаях некоторые действия могут быть произведены и без получения ордера.
                                                                                                                                              «В интересах следствия», так сказать. :)

                                                                                                                                              Так что о «незаконности» говорить, на мой взгляд, пока что рано.
                                                                                                                                              +1
                                                                                                                                              Хотел сначала пошутить про новое дело о картонке с забора, но задумался.
                                                                                                                                              Вы только оцените какое движение в сторону гуманизма. Если раньше к тебе в 7 утра вламывалась опер. группа, по твоему жилью сновали «следователи» без документов, «журналисты» сомнительных изданий и под видом обыска разбойным образом похищали твои телефоны/компьютеры, чтобы получить доступ к нужным сервисам, то сейчас задача решается практически без твоего участия. Быстро и минимум неудобств.
                                                                                                                                                0
                                                                                                                                                > Похоже, авторизация по SMS в мессенджере Telegram скомпрометирована.
                                                                                                                                                Да не, Паш, как ты мог такое подумать.
                                                                                                                                                  +2
                                                                                                                                                  По сути, авторизация по СМС во всех сервисах скомпрометирована. Удивительно, что почти никто не думал об этом раньше. Дуров, кстати, подумал и ввел дополнительную защиту паролем.
                                                                                                                                                    0
                                                                                                                                                    Ты тоже решил подкинуть очевидности на вентилятор?
                                                                                                                                                  0
                                                                                                                                                  Почему при запросе кода не генерироваться ещё один пароль и передавать его по https вместе с введённым кодом?
                                                                                                                                                    +1
                                                                                                                                                    Ни от чего это не спасёт. Поздно было, не сообразил что-то.
                                                                                                                                                    0
                                                                                                                                                    Самое интересное, что у проблемы СМС аутентификации в условиях перехвата сообщений необъяснимого сбоя в МТС, есть решение: можно воспользоваться одним из нескольких сервисов виртуальных номеров (в надежной юрисдикции), позволяющих принимать текстовые сообщения. Регистрируется номер, смски переводятся на условный Gmail (SSL и все такое). «Необъяснимому сбою в МТС» придется, во-первых, понять, кому принадлежит виртуальный номер (что не всегда легко определить, если номер в нормальной юрисдикции без кооперации с этой юрисдикцией), а во-вторых, попытаться взломать SSL encryption, что на сегодняшний день не под силу этому самому «Необъяснимому сбою в МТС» — тупо не хватает вычислительных мощностей.

                                                                                                                                                    Второй вариант — держать настоящую симку в «надежной юрисдикции» у друга-товарища-брата и получать смс подтверждения через другие каналы в той или иной форме (например, через TorChat или email + GPG). При желании процедуру можно автоматизировать. Собственно говоря, сегодня я уже приготовил две сим-карты " по просьбам трудящихся".
                                                                                                                                                      +1
                                                                                                                                                      Второй вариант — держать настоящую симку в «надежной юрисдикции»

                                                                                                                                                      Важно не место, где симка, а от какого она оператора. Если вы отвезете симку МТС в другую страну, МТС все равно будет иметь доступ к смс.

                                                                                                                                                        0
                                                                                                                                                        Имеется ввиду, сим-карта от нероссийского оператора, физически находящаяся вне пределов РФ. Привязывать аккаунт telegram к ней.
                                                                                                                                                      +2
                                                                                                                                                      Простите мой скептицизм, но это что-то из серии «никогда такого не было и вот опять».
                                                                                                                                                      Многие осведомлены, даже самими банками, что СМС-канал не является ни 100% надежным, ни 100% защищенным.
                                                                                                                                                      В истории whatsapp тоже были случаи похожие давно, у банков тоже воровали OTP, честно говоря, чем эта история отличается-то? Никто же давно не воспринимает угон авто с пмощью кодграббера как новость мирового масштаба?
                                                                                                                                                      Все выглядит как очередно пиарчик telegram, после того как WA включил шифрование.

                                                                                                                                                      В настоящих защищенных мессенджерах СМС канал не используется априори. А для казуальных — есть WA.
                                                                                                                                                        +1
                                                                                                                                                        Разница, насколько я понимаю, в том, что теперь сотовый оператор — возможно — сам руку приложил. Зачем-то же был отключён SMS-сервис на операторской стороне как раз в нужный период.
                                                                                                                                                          +1
                                                                                                                                                          Проблема в том, что Telegram навязывает пользователям способ аутентификации через получение SMS.
                                                                                                                                                            0
                                                                                                                                                            Есть такая проблема, и не у них одних. У них есть и двухфакторная (пароль на сервере + SMS), но, понятно, хотелось бы больше вариантов, а для полного счастья — без привязки к номеру. Но речь была не о том — просто Gordon01 выразился в том смысле, что перехват SMS вообще не новость, передаётся открытым текстом, угоняли раньше и угонять будут, и прочая, и прочая… Это и сподвигло меня ответить что, хоть я и не спорю что авторизация по SMS — это, конечно, позор джунглям и попрание основ, но повод для заметки так-таки есть, поскольку тут верблюда увели не в одно криминальное рыло, а с ведома и при поддержке оператора связи — что есть нахальство и отдельная проблема. Проблему с аутенфикацией это, конечно, только обостряет.
                                                                                                                                                        0
                                                                                                                                                        Друзья, а вот mishutka_ua очень интересный вопрос задал: какой смысл от взлома, когда вся переписка храниться у клиента. Т е. взломали ночью — чатов нет, утром увидел — отключился. Что взломщик из этой статьи получил?
                                                                                                                                                          +2
                                                                                                                                                          Несекретные чаты сохраняют историю на серверах, чтобы юзер имел доступ к ней и с компа и с мобилы.
                                                                                                                                                            +1
                                                                                                                                                            Что имеет взломщик? — ну например имеем двух опозиционеров (несогласны/ненужных), взломав и отправив сообщение от одного к другому договоритсмя о месте встречи, где второго будут ждать для «беседы». В случае «фатального» исхода «беседы» можно задержать первого по подозрению, так как место встречи он назначил «со своего» аккаунта.
                                                                                                                                                              0
                                                                                                                                                              Что имеет взломщик?

                                                                                                                                                              А вы не думали, зачем они получили доступ на время, а потом вернули? Они просто выкачали всю переписку, а сейчас спокойно и не спеша её читают. Что может быть интересного в переписке двух политиков, ведущих активную оппозиционную деятельность? Вы даже не представляете. Это как слить переписку верхушки вражеской страны во время войны. Планы, люди, цифры, контакты. За это могут дать десятки миллионов (и, возможно, дали).

                                                                                                                                                                –1
                                                                                                                                                                Ага, вот только человек еще до рассвета обнаружил, что в аккаунт входили и поднял шум. Какова в этом случае вероятность встречи? Зачем отключать полностью сервис смс, если можно перехватить только то, что нужно. Вы серьезно уверены, что так топорно работают люди в черном? Мне вообще нет дела до этого, я из другой страны. Просто привык задавать себе вопросы.
                                                                                                                                                                  0
                                                                                                                                                                  Ну так я как бы намекал что вероятность встречи отправителя и получателя минимальна, «отправитель» сообщения даже не будет в вкурсе что он отправлял, и вместо него придут на встречу с получателем придут совсем другие люди.

                                                                                                                                                                  По поводу второй части — «зачем отключать, если можно перехватить» то тут как раз то что нужно — если не отключить то коды авторизации получит и истиный владелец и может заподозрить что то неладное — как бы он сам никаких кодов авторизации не запрашивал, а ему ночью кто то ломится на акаунт.
                                                                                                                                                                    0
                                                                                                                                                                    А не проще в гости заявиться, не? А нельзя перехватить смс и дальше не пускать, если уже работают на уровне оператора, не?
                                                                                                                                                              0
                                                                                                                                                              Если вы занимаетесь такими делами, что вами интересуются спецслужбы, то сумма в месяц требуемая для оплаты сервиса выделенного виртуального номера для приёма смс в другой стране для вас не будет проблемой, да и вообще например в Англии такие услуги копейки стоят.
                                                                                                                                                                0
                                                                                                                                                                вот как раз в Англии такие услуги страшно покупать
                                                                                                                                                                  +1
                                                                                                                                                                  Вы не подскажете такой сервис проверенный зарубежный, из наших знаю только задарма, им пользуюсь, но хочется иностранный, вроде ничем незаконным или оппозиционным не занимаюсь, но лучше перестрахуюсь.

                                                                                                                                                                  Спасибо.
                                                                                                                                                                    0

                                                                                                                                                                    Я бы сказал, что вам просто нужно выехать в любую другую страну и взять там любую симкарту. Потом просто не забывайте вставлять её в телефон, пополнять баланс и делать какие-нибудь платные действия.

                                                                                                                                                                      0
                                                                                                                                                                      Спасибо большое, но мне всё же хочется виртуальный номер с возможностью получения смс, звонков и в другой стране, так как с такой симкой в роуминге " России" моё смс всё равно может быть перехвачено.
                                                                                                                                                                        0

                                                                                                                                                                        Я бы не рекомендовал виртуальный номер. Его очень легко могут заблокировать, забрать, отменить и т.д.
                                                                                                                                                                        И не думаю, что сотовый будет пытаться перехватить ваши СМС в роуминге.


                                                                                                                                                                        Вообще ситуация, описанная в верху поста, не случилась, если бы жертвы были более осмотрительны в выборе мобильного оператора. Имхо, МТС — это самый проправительственный оператор из большой тройки. Скажем, если остальные предоставят информацию "по звонку", то эти сами позвонят в органы и спросят "не предоставить ли вам какую-нибудь информацию?". Очень недальновидно пользоваться услугами именно этого сотового оператора, являясь активным оппозиционным политиком.

                                                                                                                                                                          0
                                                                                                                                                                          И не думаю, что сотовый будет пытаться перехватить ваши СМС в роуминге.

                                                                                                                                                                          "сотовый" — естественно, я имел в виду "российский сотовый оператор, оказывающий услуги роуминга".

                                                                                                                                                                      +1
                                                                                                                                                                      anveo.com (пожалуй, самый надежный и лучший)
                                                                                                                                                                      pinger.com
                                                                                                                                                                      talkatone.com
                                                                                                                                                                      GoogleVoice (если сможете зарегистрироваться, находясь вне США. Нужен прокси).

                                                                                                                                                                      Имейте ввиду — Whatsapp с этими сервисами не работает (говорит, что не мобильный номер), Viber — работает. Телеграм — не пробовал. Если кому-то надо — могу попробовать (anveo стоит небольшие деньги, но если кому-то действительно необходимо, то проверю. Pinger и GoogleVoice — бесплатные).

                                                                                                                                                                      Настоящая сим-карта — от американского-британского провайдера Lycamobile. Нет ежемесячной оплаты. Можно от T-Mobile, но стоит 3 доллара в месяц.
                                                                                                                                                                        0
                                                                                                                                                                        Хорошие советы. +1 к Google Voice, т.к. там без абонентской платы. Единственная проблема собственно с получением номера гугла, для этого потребуется реальный американский мобильный номер.
                                                                                                                                                                        Тут два варианта
                                                                                                                                                                        1) попросить знакомого временно ответить на подтверждающий звонок от гугла, потом отвязать его номер и получить новый от гугла
                                                                                                                                                                        2) купить какой-нибудь T-Mobile (можно через ebay или какой-нибудь форвардинг даже с доставкой в РФ) и перенести через MNP в Гугл, где-то ~$30-40 стоить будет разово. Не уверен, но возможно это решит проблему сервисов, которые ругаются, что номер не мобильный.

                                                                                                                                                                        Проблема физических симок в том, что за ними надо постоянно следить (пополнять счёт или производить расходные операции, чтоб номер не стал неактивным), что очень неудобно. В Google Voice все смски приходят прямо на приложение на смартфоне (или можно на эл. почту настроить).
                                                                                                                                                                        0
                                                                                                                                                                        В личке.
                                                                                                                                                                      0
                                                                                                                                                                      А не может быть всё намного проще, чем подключение спец. служб, спец. оборудования. Достаточно же подобрать часто 4-ёх значный пароль к интернет помощнику и включить sms переадресацию в составе пакета sms.pro
                                                                                                                                                                        0
                                                                                                                                                                        Переадресация с сервисных номеров не предоставляется в услуге SMS-Pro
                                                                                                                                                                        0
                                                                                                                                                                        Предложение Дурову: внедрить отправку подтверждения через смс на другой номер. То есть, аккаунт Телеграм привязан к номеру ААА, при авторизации на него падает фейковое смс с левым пином. При этом на другой номер ВВВ, который указал пользователь в качестве резервного, падает смс с реальным пином. Задача пользователя — не дать связать второй номер со своей персоной.
                                                                                                                                                                        • UFO just landed and posted this here
                                                                                                                                                                            0
                                                                                                                                                                            Для начала надо узнать какой именно номер надо перехватывать. Т.е. если это будет рандомный номер, записаный на Васю Пупкина, то всё ок, никто и не узнает. Правда такое организовать не очень просто и не уверен что вообще законно.
                                                                                                                                                                              0
                                                                                                                                                                              Если имеющий доступ к сотовой связи всей страны несколько раз запросит прислать СМС приходящие сразу на два номера то сопоставить будет легко.

                                                                                                                                                                              это без рассмотрения привязки номеров по местоположению, физических телефонов…
                                                                                                                                                                            0
                                                                                                                                                                            Зачем лишние телодвижения? Почему бы сразу не зарегистрировать в качестве основного номера, телефон не связанный со своей персоной?
                                                                                                                                                                              0
                                                                                                                                                                              А что делать в случае выхода симки из строя?
                                                                                                                                                                              Понадобится несвязанная персона с паспортом.
                                                                                                                                                                            +4
                                                                                                                                                                            Вообще не понимаю современную манию всюду требовать номер телефона. Не могу представить менее защищенный способ авторизации и идентификации, разве что почтовыми голубями или курьерами-глашатаями. Снаружи конечно «красиво» и «удобно», а на деле кроме того что любой «стандартный» трафик через телефон, будь то звонок или СМС, подвержен десяткам различных уязвимостей, от спецслужб до соц-инженерии в салоне связи, телефонные номера легко (и порой незаметно) теряются, передаются другим абонентам, отключаются по велению левой пятки оператора.
                                                                                                                                                                            Личный пример — у меня пять лет номер, и все пять лет (Карл!) с разной периодичностью мне звонят спрашивают Свету, то ее клиенты, то местная прокуратура, Света промышляла контрабандой из России — лекарства, сигареты итд, обычное дело для граничащих с Россией областей, и я сомневаюсь что разному тупому софту или сервису можно будет так-же легко объяснить «не звоните сюда больше».

                                                                                                                                                                            ИМХО что поможет телеграмму — отвязать аккаунты от номеров и добавить больше вариантов авторизации — по паролю, пароль+емеил, пароль+смс, софт-токен, физический токен, классическое смс (для самозлобных буратин). Аналогично и с регистрацией, может где-то телефонный номер это уникально и валидно, но я могу придти в киоск и сказать «дайте мне полкило вон тех синеньких симок» (что я и сделал когда регистрировался в телеге), емеил порой сложнее зарегистрировать.
                                                                                                                                                                              0
                                                                                                                                                                              Главная причина «мании» — удобство синхронизации с записной книжкой, чтобы не надо было каждого знакомого вручную вбивать в мессенджер. Но действительно могли бы сделать это один раз при регистрации, а потом позволить спокойно отвязаться от номера и заменить надёжными способами авторизации.
                                                                                                                                                                                +1
                                                                                                                                                                                Очень сомнительное решение, не менее сомнительное чем auth по СМС. Приведу только два пункта, которых, хватит по самые уши: 1 — мне (да и не только мне, с сантехником или горгазом в телеграме картиночками меняться?) нахрен не сдались все номера телефонной книги в мессенджере, 2 — приложение, оно на телефоне, зачем ему нужен номер что-бы посмотреть в книгу на том-же телефоне? А если оно не на телефоне — то и номер и книга не нужны.
                                                                                                                                                                                  0
                                                                                                                                                                                  Какие-то левые аргументы
                                                                                                                                                                                  1. @ с сантехником или горгазом.
                                                                                                                                                                                  Во-первых, у горгаза не мобильник, так что в телеграме поговорить не получится.
                                                                                                                                                                                  Во-вторых, у вас что, реальных знакомых в записной книжке не встречается?
                                                                                                                                                                                  Повторюсь — синхронизация нужна, чтобы все знакомые сразу же в контактах мессенджера оказались и не нужно было с каждым заново связываться для выяснения id в новом мессенджере — это главный барьер на пути адаптации любого «социального» продукта, и утрирование с горгазом помогает этот барьер снизить примерно никак.

                                                                                                                                                                                  @ зачем ему нужен номер что-бы посмотреть в книгу на том-же телефоне?
                                                                                                                                                                                  Чтобы узнать номер других людей, с которыми у вас есть социальные связи (установленные через номер телефона) и чтобы другим людям было так же просто это сделать.

                                                                                                                                                                                  @А если оно не на телефоне — то и номер и книга не нужны.
                                                                                                                                                                                  Конечно, нужны. Слышали, что контакты с телефонами можно вне телефона хранить?

                                                                                                                                                                                  @мне… не сдались
                                                                                                                                                                                  Ну, вам не сдались, а другим сдались, и просить других перейти на защищённую переписку на порядок легче через простую установку приложения, чем через установку+воссоздания части записной книжки через поиск людей и установление контакта заново.
                                                                                                                                                                                    0
                                                                                                                                                                                    Похоже мы смотрим из противоположных позиций. Я исхожу из того, что софт должен выполнять СВОЙ функционал и не лезть во все остальное. Мне на почте не предлагают подписку на журнал «рыбалка и охота» потому-что «вот вы дважды писали Иванову, а он выписывает этот журнал» — почта это средство доставки. А мессенджер абсолютно точно не должен строить из меня график социальных связей (ваш пункт 2), шариться по моему компьютеру в поисках, якобы, контактов (ваш пункт 3), и тем-более заниматься диванным анализом всего этого найденного (ваш пункт 1), даже на тему «а это не мобильный номер — не добавляем».

                                                                                                                                                                                    Вообще вы как-то странно постоянно напоминаете о синхронизации и хранении контактов — это же все решается в 2 функции — хранение контакт листа на сервере, запрос на новом устройстве «хотите ли добавить контакты из книги контактов».
                                                                                                                                                                                      0
                                                                                                                                                                                      Разговор начался с того, что вы «не поняли манию». Вам теперь понятно, что это делается для обеспечения удобства т.н. discoverability? Или всё ещё непонятно?
                                                                                                                                                                                      Не согласны — не пользуйтесь этим доп. удобством, но и не надо свои ограничения другим навязывать.

                                                                                                                                                                                      Он и выполняет СВОЙ функционал — позволяет мне отправлять и получать мгновенные зашифрованные сообщения моим знакомым. Аналогия ваша левая, т.к. вообще никак не связана тем, что происходит в телеграмме — он не следит за подписками Иванова, а всего лишь говорит вам, зарегистрирован Иванов или нет в зависимости от идентификатора (№ телефона), который Иванов оставил при регистрации для того, чтобы его можно было легче найти. Более правильная аналогия — вы звоните в справочную и пытаетесь узнать, какой у Иванова номер телефона, чтобы с ним связаться, обладая идентификатором ФИО. Только в данном случае всё происходит автоматом.

                                                                                                                                                                                      1. Никакого анализа и не происходит, данный результат получается автоматом просто потому, что фиксированный номер не зарегистрируешь в телеграмме. Может, всё-таки не стоит придумывать несуществующие проблемы, когда аргументов не хватает?
                                                                                                                                                                                      2. Чем ваша «абсолютная точность» обосновывается?
                                                                                                                                                                                      3. Почему якобы? Кто и где шарится? У меня при установке попросил доступ к контактам и их загрузил на сервер, нигде больше не «шарился». При установке на компе тоже нигде не шарился, даже не спрашивал про доступ, просто подгрузил контакты с сервера (я редко десктопным клиентом пользуюсь, поэтому могу ошибаться, но вроде телеграм только с телефонной контактной книгой синхроинизируется).
                                                                                                                                                                                      Не понял, чем ваше предложение про две функции отличается от того, что есть сейчас — телеграм просит доступ к контактам, получает его и хранит контакт лист на сервере.

                                                                                                                                                                                      @постоянно напоминаете о синхронизации и хранении контактов
                                                                                                                                                                                      Нет, постоянно я напоминаю о другом — об удобстве поиска знакомых в новом мессенджере, что является одним из важных препятствий на пути к использованию нового приложения.
                                                                                                                                                                              +1
                                                                                                                                                                              Доставку SMS вполне можно отключить через ihelper.mts.ru (уязвимость, украденный пароль, вход через соцсеть).
                                                                                                                                                                              Возможно есть и уязвимость позволяющая подбирать коды к мессенджеру, либо опять же через личный кабинет МТС («Сервис «SMS-архив» запущен в тестовую эксплуатацию.»).
                                                                                                                                                                              • UFO just landed and posted this here
                                                                                                                                                                                  +2
                                                                                                                                                                                  ИМХО обычный пиар телеграмма, есть куча способов взлома без СМС, Дуров еще на ВК рефлексирует к сожалению(
                                                                                                                                                                                • UFO just landed and posted this here
                                                                                                                                                                                    0
                                                                                                                                                                                    Там вроде бы server-side пароль. То есть в приложении тоже есть, но это, насколько я понимаю, отдельная и независимая функция, а двухфакторная, о которой речь в статье — это сервер будет спрашивать пароль у каждого нового авторизуемого устройства.