Мессенджеры в опасности

    Телеграм живи
    Share post

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 176

      +4
      Где-то это уже было…
      habr.com/post/329982
        0
        Т.е. лимиты остались те же, как в статье по ссылке и комментах к ней?
        Есть 2 лимита: на общее количество контактов, и ограничение для предотвращения брутфорса.
        Первый лимит — 10 000, если мне не изменяет память.
        Второй лимит — что-то около 5000.
          +4
          Ни с какими лимитами или ограничениями я не столкнулся. В течение нескольких часов тестировал по максимуму.

          Около 100к номеров прогнал на одном аккаунте. Фото у всех пробивались
            +2
            Извините, но считаю, что кто-то должен это перепроверить. Я просто не верю, что такое возможно. Тем более, что ранее люди натыкались на эти лимиты.
            Есть и другие факторы которые заставляют меня сомневаться.
              +2

              Раньше трава была зелене, а супер-группы по 1000 тел максимум. А сейчас? Лимиты ростут как на дрожжах.


              Однако, всё же проверю.

        –6
        Я стесняюсь спросить, но зачем вам несколько миллионов фото?
          +4
          Здравствуйте.
          Суть в том, чтобы собрать базу из фото: номер.
          А далее использовать ее для того, чтобы узнать у какого-либо пользователя с логином — его номер.
          Чтоб собрать базу — надо прогонять по 10-20 тысяч номеров через телеграм, дабы узнать их фото.
          Фото — единственный идентификатор, с помощью которого можно найти номер какого-либо человека
            –24
            Простите, но это полная фигня. Ни одна соцсеть не требует реального фото для привязки к профилю. У меня, например, вообще котики стоят.
              +13
              Прочитайте статью, если не читали еще.
              Тематика аватара пользователя не важна. Пусть хоть там будут котики, хоть наркотики.
              Важно, чтоб она просто стояла в профиле!
              Мы подбираем номер телефона к логину через фото.
              Если фото, которое выдал нам телеграм, когда мы добавили случайный номер в телефонную книгу, Совпало с фото пользователя, которого мы добавили по логину ранее, то мы узнали номер этого пользователя.
              Некий брут номера телефона юзера по фото.
              Фото — как пароль. Подобрав его, узнаем и номер
                –23
                Читал. Одного не пойму, нафига это всё нужно?
                  +18
                  Это нужно спецслужбам.
                  Ну же, у вас ведь орел на аве.
                  Легко же понять
                    –61
                    Ты орла моего не трожь.
                      +24

                      А это не ваш орёл.

                        +1
                        … да и не орёл даже, в принципе
                      0
                      А что если например у нескольких пользователей совпадают фотографии? Ведь по идее их base64 будет одинаковым, а значит опять же сопоставить номер с аккаунтом по данному признаку будет сложно. Вроде как делают иначе — добавляют контакты на тот же девайс и в телеграме соответственно он получает то же имя, что и в телефонной книжке. Так легче ведь, чем сравнивать по аватарке (кроме того даже в вашем посте написано, что её может и не быть)
                        +1

                        Получится десяток номеров, которые, при целенаправленной "разработке" аккаунта, можно дальше анализировать другими методами.

                        0

                        Наличие логина в системе не отвечает на вопрос об использовании. Telegram удаляет учетку после полугода, но заходить раз в полгода ради поддержания учетки — не проблема.

                        +15
                        Это нужно для деаномизации конкретного пользователя. Цели этого — у всех различные. И вовсе это необязательно спецслужбы. Такой возможностью с радостью воспользуеются мошеннки различных мастей. Но фишка даже не в этом: какого ***** мессенджер, который позиционировался как самый-самый зашифрованный и надёжный позволяет вытворять такую фигню?
                          +7
                          Анонимность и зашифрованность — не синонимы. Допустим, ваш провайдер, прекрасно знает, какой абонент подключён в такой-то порт на коммутаторе. Но он не знает, какая информация передаётся внутри установленного вами VPN-туннеля.

                          Telegram не обещает вам анонимности, хотя достичь её можно: использовать для регистрации сервисы, позволяющие принять SMS, либо одноразовые симки в одноразовых копеечных телефонах; для подключения использовать прокси и т.д.
                            0
                            Согласен. Но непонятно, зачем нужно было оставлять такую дыру. Причём она уже стара как я не знаю что. Ведь в общем-то несложно затруднить её эксплуатацию, а воз и ныне там.
                              0
                              использовать для регистрации сервисы, позволяющие принять SMS

                              Не надо так делать, вы попадаете ещё на одну уязвимость, которая помимо прочего позволит угнать ваш аккаунт.
                                +1
                                А с двухфакторной авторизацией? Когда кроме обладания сим-картой нужно ещё обладать и паролем.

                                Доверять исключительно наличию сим-карты нельзя не только в Telegram, но и вообще везде. Симку не очень трудно перевыпустить без согласия владельца.
                                  0
                                  Двухфакторке мешает перевыпуск симок на один и тот же номер, если симкой давно не пользовались. Иначе пользователь новой симки, на которой кто-то уже был, просто не сможет зарегаться. Потому существует процедура реги по одной смс, а мера защиты — задержка.
                              +1

                              А ещё Сбербанк при отправке перевода показывает имя и отчество получателя. Да, оно может не совпадать с ФИО владельца номера, но это не такая уж частая ситуация.

                                +1
                                Тут уже двояко. Банковские переводы — априори не анонимные. Это ж не крипта) Подразумевается, что я знаю, кому отправляю. И знание имени и отчества, а так же первой буквы фамилии здорово минимизирует ошибку перевода. С другой стороны, третья сторона может собрать массив из четырёх последних цифр карты, ИО и первой буквы фамилии.
                                  +1
                                  Мыслим дальше и шире. Через телеграм связали номер и логин, а далее через сбербанк вытащили ФИО (если человек есть в сбере), далее делаем что нам надо. Начиная от простого To: HorsePhuker Msg: Идоцкий Виктор Фигович, мы знаем, что вы предпочитаете. и заканчивая «Это служба поддержки сбербанк онлайн в телеге.»
                                  –2

                                  Уже давно пофиксили эту хрень, у Вас старая информация. Теперь данные маскируются и полные ФИО Вы не узнаете.
                                  Если же Вы ещё где-то нашли подобное, то это уже надо опять фиксить, ибо дыра. НЕ поделитесь алгоритмом, где такое видели?

                                  –2
                                  мессенджер, который позиционировался как самый-самый зашифрованный

                                  А хомячки этому тупо верили :)
                                  Позиционировался он так лишь для того, чтобы набрать миллионы пользователей.
                                  На самом деле телеграм практически не зашифрованный. Шифруются только секретные чаты, которые возможны только на двух мобильных устройствах. Обычная переписка не шифруется.
                                    0
                                    Да это понятное дело. Просто в памяти-то осталось же его изначальное позиционирование, которое к нему и «приклеилось». Даже на хабре в комментах к статьям тех лет отношение к телеге было несколько иное, чем, допустим, сейчас в этой статье. Хотя изначально всё было понятно из-за привязки к номеру телефона.
                                      –1
                                      Всё шифруется, но немного по разному. Секретные чаты end-to-end с ключами только на устройствах, и доступа к ним без конкретных устройств не получить. У обычных чатов шифрование идет через сервер, что позволяет синхронизировать их и так далее, и доступ к ним идет через аккаунт, к чему доступ получить относительно проще.
                                      –1
                                      Готов спорить на пол биткоина что залатают в ближайшем обновлении.
                                        0
                                        Этой, не то что б дыре, а, так скажем, эксплуатационной возможности уже года три! Причём в прошлом году её на хабре уже обмусоливали вроде)
                                      0
                                      есть 2 таблицы данных. В одной 2 столбца: логин и фото, в другой 2 столбца: номер телефона и фото.
                                      И есть задача — сопоставить логин и номер телефона.
                                      Подумайте, как в этих условиях можно использовать фото
                                      +1

                                      люди вполне могут стать одинаковые аватары.

                                        0
                                        Согласен. Фото, как и другие данные не дают 100÷ гарантии что при совпадении фото пользователя из первого и втрого списка контактов это будет один и тотже пользователь. Как вариант, сравнение на идентичность производть используя дополнительные данные, в идеале UUID. Для этих целей можно подумать о вариантах использования API телеграм бота. Такой подход возможно даже позволит автоматизировать процесс идентификации.
                                      –2
                                      Есть большая вероятность, что аватар из контактов телеги используется где-нибудь ещё. Как впрочем и логин. Я понимаю, что статья заказная, но проблема указана верно: аватар является ещё одним фактором, с помощью которого можно вычислить жертву. Кстати, имея базу телефонов можно запустить вайбер, вацап, фконтакт и прочие любители шариться по списку контактов и нарыть дополнительную информацию.
                                        0
                                        Можно полюбопытствовать. Кем заказана статья? У меня просто мнения, подобного вашему, не сложилось.
                                          0
                                          Я так думаю, подобное можно проделать и с более популярными мессенджерами. Но статьи почему-то практически все про телегу. Один раз — случайность, два раза — совпадение, три раза — закономерность.
                                  0
                                  Простите я не понял
                                  Таким образом, мы знаем, кому принадлежит данный номер, но по прежнему не знаем логина и реального имени пользователя. Чтобы узнать логин пользователя, нам нужен другой аккаунт в телеграмме, с ранее добавленными пользователями по их логину.

                                  Если он уже у меня добавлен, зачем мне его узнавать?
                                    +5
                                    Вы когда добавляете в телеграм человека по логину, его номер телефона показывает?
                                    Отвечу за вас — нет.
                                      –1

                                      Если его номер уже есть в записной книжке то покажет. Или это уже пофиксили?

                                        +4
                                        Я знаю твой логин в телеграме, но не знаю твоего телефона.
                                        Беру 20 000 номеров и сравниваю с твоим логином. Совпадений не нахожу, беру еще 20 000, повторяю, и так до победы.
                                        В результате имею пару [твой логин: твой номер] связанную признаком [твой аватар].
                                        Зная твой номер, нахожу твоё имя и адрес регистрации, номер авто, место работы, устанавливаю личности родителей, жены, детей, круг общения, интересов…
                                        Продолжать?
                                          +1

                                          Так это ж, блин, одна из разновидеостей "соц.сетей", которая не обещает анонимности и никогда не обещала. Не хочешь чтоб тебя можно было найти — либо не пользуйся в принципе, либо регайся в разных местах с разными никами/аватарками/телефонами.
                                          Те кто хотят анонимности знают что делать, те кто не хотят — им пофигу на такие методы. На диванных анонимов пофигу, пусть продолжают прожигать диван по любому поводу.

                                        –1

                                        Что означает "добавляете в телеграм"? Начинаете чат? Заносите в адресную книгу? Но в адресной книге те, кто уже с номерами.


                                        Мысли в слух: раз есть аватарки, то должна быть и другая мета-информация о пользователях. Опять же, проверю, но сдаётся мне, что если написать кастомный клиент, то можно разом гораздо больше сливок снять.

                                      +15
                                      Это все из-за маниакального стремления Дурова собирать личные данные. Если бы ТГ можно было пользоваться без номера телефона и email, уязвимости бы считай и не было.
                                        +1
                                        Есть мессенджеры с привязкой к некому ID. Например, Antox или Ring. Но они значительно менее распространены.
                                          0

                                          Ну Antox очень не стабильный. Ну и первый контакт сложный. Можно конечно QR код сканировать но я вручную хеш вводил.

                                            +1
                                            Есть Tox ID сервера, вроде toxme.io, они разве не решают эту проблему?
                                              +1

                                              Вариант но это снова слив данных третьему лицу: имя, IP, ID. Ну и подменить ID он может в любой момент.

                                            +1
                                            поддерживаю! Токс, несмотря на проблемы с мобильными версиями, на мой взгляд, вне конкуренции.
                                              0
                                              Ring — это SIP клиент с добавленной фичей отправки сообщений. Если вам нужен SIP клиент — то да, он не плох. Но насчет секьюрности… Ни про то, как устроена отправка сообщений в Ring, ни каких бы то ни было других технических описаний самой сети (если они не используют для тех же целей SIP) я не нашел. Так же, по правде сказать, я ранее не встречал на него никаких ссылок или рекомендаций в IS рассылках.

                                              Я пользуюсь его предшествующей версией — SFLPhone, и она отличная. Но это только для SIP.
                                                0
                                                SFLPhone, и она отличная

                                                А проблем с совместимостью нет? Он же вроде уже давно не развивается.
                                              +2
                                              Рега по номеру и соответственно вытекающий отсюда доступ к записной книжке — это 2 самые большие дыры в мессенджерах.
                                              Что толку от супер-пупер шифрования, если можно человека на раз деаномизировать.
                                              Именно поэтому мы сделали свой мессенджер без реги по номеру и запретили доступ к записной.
                                                +11
                                                Что толку от супер-пупер шифрования, если можно человека на раз деаномизировать.
                                                Конфиденциальность и анонимность — не связанные между собой понятия. Называть «дырой» это неправильно, это отличительная особенность многих мессенджеров.
                                                  +2
                                                  Одновременно рега по номеру и большое удобство. От пользователя на смартфоне не требуется вообще ничего. И большинству пользователей анонимность до лампочки.
                                                  Ещё асечный UIN был довольно удобен. А вот необходимость придумывать и подбирать обычный логин, это неудобно совсем. Все благозвучные и короткие быстро становятся заняты. Приходится использовать длинный, кривой и плохо диктующийся по телефону.
                                                    0

                                                    А uin продиктовать не получалось по каким-то причинам? Всего 9

                                                      +2
                                                      UIN как раз удобный, это имелось в виду, а у кого-то и короче, чем 9 цифр был.
                                                      +1
                                                      Вспомнилось, кстати, как достаточно легко в случае необходимости по совершенно анонимному на вид е-мейлу при помощи гугла и яндекса раскручивалась информация. Люди на досках объявлений, форумах, сайтах типа линкедин и прочих ресурсах этот е-мейл размещали рядом с ФИО, местом жительства, местом работы, номером телефона и прочими персональными данными, ещё и другие способы связи указывали — аська, скайп.
                                                      Так что, если человек не хочет быть деанонимизированным, то лучше вообще интернетом не пользоваться.
                                                        0
                                                        Как мне видится — есть несколько степеней публичности/приватности.
                                                        1. Есть имя-фамилия-мэйл-страница в ВК и ФБ — которые публичны и соответствуют реальному человеку. Для официальных контактов.
                                                        2. Все то же — но НЕ СООТВЕТСТВУЮЩЕЕ реальному человеку, с абстрактным ником и котятками на автарках. Для неофициальных контактов, из которых впрочем человек не делает особой тайны.
                                                        3. Отдельный ноут с ТОРом с которого человек выходит в сеть в секретных местах в усах, парике, темных очках и занимается своими страшно-секретными делами.
                                                        Проблема в пункте 2. Можно случайно выложить э… неправильный демотиватор или поругать не тех кого можно.
                                                          0
                                                          По пункту 2 найдут и по IP адресу, привязка к телефону тут не столь принципиальна.
                                                          0
                                                          Вспомнилось, кстати, как достаточно легко в случае необходимости по совершенно анонимному на вид е-мейлу при помощи гугла и яндекса раскручивалась информация. Люди на досках объявлений, форумах, сайтах типа линкедин и прочих ресурсах этот е-мейл размещали рядом с ФИО, местом жительства, местом работы, номером телефона и прочими персональными данными, ещё и другие способы связи указывали — аська, скайп.


                                                          А если и емейла нет для реги в мессенджере?
                                                          У нас так, можно и без мейла.
                                                            0
                                                            Ну так ваш контакт будет указан на доске объявлений или в резюме на хедхантере вместе со всей остальной персональной информацией. Какая разница. Речь о том, что отсутствие привязки к телефонному номеру не даёт в общем случае ничего. И анонимность востребована очень, очень маленьким количеством пользователей, часто по надуманным причинам.
                                                            «Продать» это миллионам пользователей не получится.
                                                              +2
                                                              И анонимность востребована очень, очень маленьким количеством пользователей, часто по надуманным причинам.


                                                              Расскажите пожалуйста, какие у вас были «надуманные» причины фигурировать на Хабре под ником wlr398, а не под настоящим вашим ФИО?

                                                                0
                                                                Не задумывался вообще над этим вопросом. Просто по озвученным выше причинам приходится регистрировать вот такие дурацкие е-мейл, Хабр требует для регистрации е-мейл, дальше оно само подставилось.
                                                                Думаю, если «кому надо» понадобится меня найти, то это у них получится.

                                                                Месенджер, где семья, работа, абсолютно не волнует, что он на телефонный номер.
                                                                  0
                                                                  Ну вы как нерусский, что-ли =) Когда заходит речь об идентификаторе в сети, хочется что-то легко запоминающееся — и вроде бы ФИО тут подходит… Но — нужно латиницей писать. Оппа. Я знаю человека, у которого на кредитке (!) фамилия была написана «К». Просто «К», потому что остальное — имя, больше не влезло. Транслит очень сильно раздувает многие буквы русского (Ш — уже две буквы). И даже если мы решаем смириться с этим, вылазит вторая проблема — коллизии. И вместо простого ФИО мы уже внезапно ФИО5. И приходится помнить, что на этом сайте ты 5-й, а на этом второй. И тут приходит мысль — если логин всё равно запоминать/записывать, почему не взять ник и сократить его как душе угодно? Если честно, я не вспомню ни одного человека из знакомых, у кого бы ник был длиннее фамилии и имени.
                                                            0
                                                            Можно использовать номер телефона в качестве логина — вряд ли он будет занят.
                                                              0
                                                              Можно телефон. Можно имя.фамилия, как делают в компаниях. Но это ведь деанонимизация.
                                                                0
                                                                Я к тому, что система (назовём её системой #1), в которой можно выбирать себе произвольный (но не использованный другим пользователем) логин точно не хуже системы (#2), где логины совпадают с номером телефона.
                                                                Если пользователю важна анонимность, то он просто не воспользуется системой #2.
                                                                Если не важна, и он не хочет придумывать и подбирать что-либо, то в качестве логина он может просто взять свой номер телефона.
                                                                По этому критерию, система #1 точно не хуже системы #2, поэтому возможность выбора мне сложно посчитать недостатком.
                                                                  0
                                                                  С точки зрения пользовательского опыта, система с номером телефона чуть-чуть лучше, потому что в ней полностью отсутствует процедура регистрации, достаточно проинсталлировать приложение на смартфон. Если ориентироваться на большой охват, а не тех, кому нужна анонимность.
                                                                    0
                                                                    Я к тому, что система (назовём её системой #1), в которой можно выбирать себе произвольный (но не использованный другим пользователем) логин точно не хуже системы (#2), где логины совпадают с номером телефона.
                                                                    Если пользователю важна анонимность, то он просто не воспользуется системой #2.
                                                                    Если не важна, и он не хочет придумывать и подбирать что-либо, то в качестве логина он может просто взять свой номер телефона.
                                                                    По этому критерию, система #1 точно не хуже системы #2, поэтому возможность выбора мне сложно посчитать недостатком.


                                                                    Помимо номера сливается и записная книжка и именно это свойство использовал ТС.
                                                                    И это да, во всех поп-мессенджерах.
                                                                    Можно забить в свою записную книжку рандомные номера, создать из них группу, никого не спрашивая и делать рассылки например.
                                                                    С какой-нить ссылкой на вирус.
                                                                      0
                                                                      С какой-нить ссылкой на вирус.

                                                                      С этим справляются и через SMS.
                                                                        0
                                                                        Обычно для СМС по умолчанию стоит настройка не открывать ссылки.
                                                                        А именно в мессенджерах нет такого.
                                                                          0
                                                                          Может быть. Только последний активный спам помню по аське. В скайпе один раз у одного контакта угнали учётку и начали просить денег взаймы. Ни в телеграме ни в вотсапе ни разу ничего не приходило. Зато в СМС валится куча и спама и вирусных ссылок.
                                                                        0

                                                                        Если Вы разрешите, то сливается. Я пользуюсь Telegram X, который не сливает. пользуюсь WA без слива моей записной книжки, но примерно помню по номерам телефонов и картинкам. Viber даже не хочу ставить.

                                                                      0

                                                                      А кто говорит о своем номере? Используйте любой запоминающийся номер.

                                                                    0

                                                                    Если нравится асечный UIN, что мешает сгенерировать себе логин из 9 цифр?

                                                                      0
                                                                      Ничего не мешает. Только это получится отдельная сущность. Для тех, кому анонимность не нужна, использование в месенджере регистрации по Е.164 номеру более удобно. Не получится по какой-то причине связаться через месенджер, можно будет просто позвонить.
                                                                        0
                                                                        Нет, с телефоном я не спорю, я вот про это:
                                                                        Ещё асечный UIN был довольно удобен. А вот необходимость придумывать и подбирать обычный логин, это неудобно совсем

                                                                        Легко лично для себя можно использовать логин из 9 цифр по образцу аськи.
                                                                    0

                                                                    "Мы сделали свой месседжер", но продолжаем путать анонимность и конфидециальность, авторизацию и аутентификацию, Краснодар и Красноярск...

                                                                      0
                                                                      Речь в комментарии шла о конечной безопасности пользователя, а как эту безопасность можно обеспечивать, с помощью анонимности или кофидециальности, с помощью релокации в Краснодар или Красноярск — это уже не так важно.

                                                                      Важно то, что не требуя регу по номеру и не требуя доступ к записной книжке, мессенджер получается более безопасным для конечного пользователя.
                                                                        0
                                                                        Важно то, что не требуя регу по номеру и не требуя доступ к записной книжке, мессенджер получается более безопасным для конечного пользователя.

                                                                        Попробуйте теперь это продать :)
                                                                          0
                                                                          Попробуйте теперь это продать :)


                                                                          Ну Дуров же продал конфидециальность без анонимности.

                                                                          Значит можно продать и 2 в 1 — и конфидециальность и анонимность в одном флаконе :)
                                                                            0
                                                                            Тут надо только понимать, что Дуров это Дуров, он стал медийной персоной до телеграма и продать что-либо было гораздо проще, чем десяткам-сотням прочих месенджеров. Плюс довольно большие деньги.
                                                                            Так же, конфиденциальность идёт бонусом и не требует от пользователя никаких телодвижений. Регистрации, логины, пароли — требуют.
                                                                    +1
                                                                    По мне, номер телефона — это бесплатный ресурс для обычного пользователя и при этом платный для спамера. На данный момент никто вроде не придумал лучшего способа защиты от множественных регистраций.
                                                                    0
                                                                    Разве телеграм не отобразит номер в профиле, если добавить номер в контакты на телефоне?
                                                                      +1
                                                                      Об этом и статья.
                                                                      Генерим кучу телефонных номеров, добавляем в контакты, получаем логины привязанных к этим номерам пользователей телеграма. Повторяем, пока не надоест.
                                                                      +3

                                                                      Вообще, можно просто посылать запросы к серверу телеги через Telegram API(не путать с bot api)
                                                                      Далее сохраняем пару id- номер, чтобы найти по нику — просто делаем запрос на поиск и получаем id по нику, вот и все.

                                                                        +1
                                                                        Вот именно.
                                                                        И аватар не нужен, потому что идентифицируем по ID.
                                                                        Связывать через аватар это костыль и главное аватара у половины юзеров нет.
                                                                          0
                                                                          Что ж, вперед!
                                                                          Потом скажете, какая была скорость
                                                                            0

                                                                            Клиент же через апи работает.

                                                                              0
                                                                              Я, собственно, так и сделал уже давно.
                                                                              Даже зарепортил им на security мэйл.
                                                                              Я отсылал пачками по 1к номеров, с делэем, чтобы не схватить банан за спам.
                                                                              Клиент телеграма работает через TL Api. Только вместо того, чтобы генерировать самим и сохранять в контакты — все это работало автоматом.
                                                                              Более того, сохранялись только те контакты, которые были в текущей пачке, остальные сразу удалялись.
                                                                          –3
                                                                          Помойный мессенджер, заставляют регистироваться на телефон и не могут должным образом обеспечить безопасность. На выходе получаем спам, с никами или именами и мошеннические звонки.
                                                                          Не удивлюсь если потом email-ы телеги (двухфакторная) тоже утекут.
                                                                            0
                                                                            Простите, я видимо, что-то упустил, а кто заставляет вас регистрироваться? На рынке полно иных предложений, в том числе, с регистрацией не по номеру телефона и полным e2e.
                                                                            Как бы мне не хотелось, чтобы Телеграм шел по пути максимальной защищенности, здравый смысл подсказывает, что без фич, подобных сабжу, сей мессенджер не вышел бы никогда на нынешний уровень популярности и довольствовался бы кол-вом инсталлов конкурентов: Wire или Signal, например.
                                                                            0

                                                                            А что если у нескольких человек одинаковые аватарки?

                                                                              +3

                                                                              Если телеграмм их пережимает то скорей всего будут различия в данных.

                                                                                0

                                                                                Это, простите, как надо пережимать одну и ту же картинку, чтобы на выходе каждый раз было что-то новое?..

                                                                                  +2

                                                                                  Разные настройки. Разные версии и конвертеры. Несколько конвертаций подряд. Метаданные с датой и временем конвертирования. Ошибки. Возможно также есть зависимось от процессора.

                                                                              +3
                                                                              ВКонтакте ввела возможность запретить поиск аккаунта по номеру телефона («Кто может найти меня при импорте контактов»).
                                                                              Как на счёт продвижения предложения ввести эту функцию в Телеграм? Пользователь сможет сам решать, хочет ли он быть найденным.
                                                                              Может быть, РосКомСвобода (Temych) поможет в инфо-поддержке?
                                                                                +1
                                                                                ВКонтакте ввела возможность запретить поиск аккаунта по номеру телефона

                                                                                да, но сначала ввела возможность поиска аккаунта по номеру телефона
                                                                                  0
                                                                                  А перед этим начала собирать эти номера телефонов и хранить у себя.
                                                                                0
                                                                                Опять пишут, про то, что Телеграм сливает ФИО+Телефон и про то, что это надо всячески запретить. Давайте не будем скрывать очевидное:
                                                                                1. Телеграмму нужен ваш телефон только, для того, чтобы гарантировать «уникальность» человека. Телефон не гарантирует этого, но очень защищает от «спама». [Защита от спама]. Это крайне важно если телеграмм используется как площадка для рекламы — рекламодатели любят знать точное количество уникумов.
                                                                                2. Телеграмму нужен телефон и соединение, чтобы вы общались в телеграмме. Если у вас есть контакт и переписываетесь по почте, то телеграмм всяческим способом будет показывать, что вы можете использовать для этого Телеграм [Виральность + Реклама]

                                                                                Это никакого отношения к безопасности не имеет. Да и безопасность от чего? От общения? Тогда лучше не пользоваться вообще телеграммом. Безопасность от Спама?
                                                                                Телеграм рекламирует всего 2 вещи:
                                                                                1. Приватные чаты действительно приватны
                                                                                2. Они постараются не допустить утечки информации с сервера никаким 3-им лицам.

                                                                                Преследуя много целей одна из которых удобство, очевидно что в клиенты будет попадать «лишняя» информация, которая будет компрометировать контакты или список контактов.
                                                                                  0
                                                                                  Телеграм ничего не сливает.
                                                                                  Если вы не читали статью, то объясню вкратце: «мы сами сливаем реальные номера и имена у пользователей»
                                                                                    0

                                                                                    Точнее то, что они там написали и какую фотографию залили :) далеко не факт, что они реальные.

                                                                                      0
                                                                                      вкратце Telegram никак не проверяет действительно ли есть такой контакт у вас или нет (он и не может проверить с custom client) и отдает user_id, photo по телефону и, наоборот, по чату мы узнаем user_id, name, photo. Единственная защита, кол-во контактов по API. Сканим чаты, сканим БД телефонов — profit.
                                                                                      Можно написать свой клиент и проверить.
                                                                                        0

                                                                                        Сценарий 1: Предположим, что у Вас есть реально около 15к контактов (так сложилось), и вы включаете Telegram, который проверяет только 5к. Будете ли Вы, как пользователь, довольны? Как Вы будете доказывать, что Вы правы?


                                                                                        Сценарий 2: у вас три аккаунта с очень большим числом номеров, между запусками вы их отключаете и подключаете (Ваш Андроид не может съесть их все за раз). Telegram Вам сказал, что Вы не можете проверять дальше, потому что Вы, скорее всего, фишер/… (нужное подставить). Будете ли Вы, как пользователь, довольны? Как Вы будете доказывать, что Вы правы?

                                                                                    0
                                                                                    Кстати говоря, немного ранее отписал на почту Телеграма эту проблему и её фикс: возможность поставить галочку «Не показывать меня, если номера нету в моих контактах» либо такую же галочку для игнорирования номера при синхронизации контактов
                                                                                      +4
                                                                                      Зря. СБ телеги вообще не реагирует ни на что
                                                                                        0
                                                                                        В твиттер надо писать, там отвечают иногда.
                                                                                      –10
                                                                                      Я думаю что пользователей которые занимаются чем то противозаконным (которым нужна анонимность и шифрование) не более 10% от пользователей мессенджеров.
                                                                                      А остальным 90% удобно когда контакты синхронизируются.
                                                                                      Конечно на хабре процент заботящихся об анонимности намного выше.
                                                                                      Но в реальной жизни сколько слышали о хабре?
                                                                                        0
                                                                                        Шифрование никоим образом не пересекается с анонимностью. Шифрование нужно для защиты от перехвата трафика на транспорте. Без шифрования в куче точек можно поставить снифер и видеть всю переписку, раздолье для мошенников.
                                                                                          0
                                                                                          Если поставить снифер по ДНС, то шифрование телеграма не даст вам видеть все сообщения в читабельном виде.
                                                                                          Это сравнимо с PGP.
                                                                                          Только у телеги свои ключи
                                                                                          +7
                                                                                          Как вы ловко назвали всех кому нужны анонимность и шифрование преступниками.
                                                                                            +1
                                                                                            Ого, 10% пользователей телеграмма — преступники? А вы смелый!
                                                                                              +1
                                                                                              Мне непонятно почему некоторые отчего-то считают, что если человек чем-то просто не хочет делиться, то это плохо, подозрительно и бог ещё знает что.

                                                                                              Если человек не хочет чем-то делиться с другими это не значит, что он представляет угрозу для общества!
                                                                                                0
                                                                                                Потому что очень хотят уговорить этого человека поделиться деньгами.
                                                                                                  0
                                                                                                  Боюсь, что некоторые искренне верят в то, что «нам скрывать нечего» и «мои данные не представляют большой ценности». Когда же в результате эффективного корелляционного применения big data отрицательность такого отношения к своим данным станет очевидным, то будет уже поздно. Хотя реальность она такова, что… мы всё равно все будем в big data. Разница просто в том, что одни изначально сопротивляются, а другие нет)
                                                                                                –2
                                                                                                Шикарно )))
                                                                                                  –2
                                                                                                  Может быть, таким вот подходом к отдельным аспектам безопасности Дуров как бы намекает некоторым идейным пользователям: у меня не получилось, бегите, в крупных мессаджерах вам нечего делать.
                                                                                                    0

                                                                                                    Набор контактов в адресной книге, во многих случаях является уникальным и позволяет идентифицировать пользователя, если у вас уже есть про него сведения с других продуктах.

                                                                                                      –4
                                                                                                      Сейчас Паша прикрутит лимит на 19999 записей при импорте и выступит с заявлением, что самый лучший, анонимный и защищённый «Телеграм» (с серверами в России) стал только надёжнее и безопаснее.
                                                                                                        0
                                                                                                        Чтобы узнать логин пользователя, нам нужен другой аккаунт в телеграмме, с ранее добавленными пользователями по их логину
                                                                                                        Это то место где мы рисуем остаток совы?

                                                                                                        Интересно, а что будет если, (как в спаме от ватсапа) выслать телеграм-сообщение на случайный номер? Как отобразится получатель спама в списке контактов телеграма, если мы попадем на пользователя телеграма? номером? или логином?
                                                                                                          +1
                                                                                                          Это то место где мы рисуем остаток совы?
                                                                                                          Ага, при чтении я тоже споткнулся и перечитал пару раз этот абзац, но там дальше становится понятно, что автор пробивает уже имеющиеся у него логины. Т.е. не нравится (или наоборот, нравится) тебе кто-нибудь, о ком тебе известен лишь логин в телеграме и аватарка, можешь таким образом найти привязанный к логину телефонный номер или, точнее, телефонные номера с точно такой же аватаркой.
                                                                                                          0

                                                                                                          Осталось только собрать базу (@ник, аватарка, номер телефона), сделать сайт с поиском по каждому параметру,...., PROFIT

                                                                                                            0

                                                                                                            А сайт разместить в ZeroNet )))

                                                                                                            –1
                                                                                                            Из пальца высосана проблема.
                                                                                                            Это как двум девушкам представляться разными именами и требовать от всех окружающих,
                                                                                                            чтобы тебя не спалили. И не дай бог окажется что одноклассник показал коллективное фото, где Вы все подписаны.

                                                                                                            Почему нормой должна быть возможность гадить анонимно?
                                                                                                            У меня даже домашний адрес легко найти. А не только связки телеграм-телефон-емайл-фио-фото
                                                                                                              0
                                                                                                              Почему нормой должна быть возможность гадить анонимно?

                                                                                                              Не гадить, а общаться. Мы же про программу для общения говорим.


                                                                                                              А про анонимность: а зачем в нашем мире программа по защите свидетелей?

                                                                                                                0
                                                                                                                Посмотрим например на ресурс ЧатВдвоем лидер по запросу «Анонимное общение» ;)
                                                                                                                Место, где можно развлечься и пообщаться один на один с неизвестным собеседником, выбранным случайно. Никаких регистраций, все совершенно тайно.
                                                                                                                Просмотры 1 555 046 11 032 844 47 427 337
                                                                                                                Посетители 57 005 138 898 440 070

                                                                                                                Смотрим в код страницы
                                                                                                                _gaq.push(['_setAccount', 'UA-59536135-1'])
                                                                                                                Ya.Metrika2 аж webvisor:true

                                                                                                                ну и куча остального, что палит личность ;)
                                                                                                              0
                                                                                                              Сколько РКН заплатил за статью?
                                                                                                                0
                                                                                                                А за что собственно они должны платить?)
                                                                                                                Я не думаю, что это такая прям новость для кого-нибудь. Раньше уже были мысли по поводу этого. Я просто показал это наглядно. Уверен, что есть способы получше и эффективнее
                                                                                                                0
                                                                                                                Мне кажется, эту уязвимость закрыть проще простого. Телеграм как в приложение, так и через API должен отдавать для аватарки каждый раз разные фотографии, отличающиеся буквально в десятке рандомных пикселей, которые слегка и незаметно для человеческого глаза поменяют свой цвет. Визуально картинка будет все та же, но зато методом, описанным в статье, будет пользоваться невозможно.
                                                                                                                  +1
                                                                                                                  Не совсем верный способ.
                                                                                                                  Ибо сравнение будет происходить уже не через прямое сравнение "==", а «попиксельное».
                                                                                                                  Вычислить средние цвета изображения, похожие участки пикселей, да и другие известные способы распознавания объектов на изображении, — все это не трудно.
                                                                                                                  0

                                                                                                                  Если Телеграм позволяет с помощью открытого API написать свой клиент, то поиск контактов можно полностью автоматизировать?

                                                                                                                    0
                                                                                                                    Феерично! Хотя, этого следовало ожидать. Мне сразу не понравился этот мессенджер своим желанием получить мой реальный телефонный номер. И это при том, что реклама напирала именно на анонимность.
                                                                                                                      0
                                                                                                                      Телеграм стоит вообще отказаться от возможности добавить свое фото. Просто сделать на выбор с десяток встроенных аватарок кому очень нужно.
                                                                                                                        +1
                                                                                                                        Какой ужас, но знаете что еще страшнее, в сеть утекли понкоды от банковских карт, вы только посмотрите:
                                                                                                                        Пинкоды
                                                                                                                        pastebin.com/2qbRKh3R
                                                                                                                        я более чем уверен, черт побери, да что б мне жениться, да тут пинкоды всех карт имеются!
                                                                                                                        лично проверил
                                                                                                                          0
                                                                                                                          Осталось лишь найти все пластиковые карты и перебрать все пинкоды)
                                                                                                                            0
                                                                                                                            Моего нет, я его сменил на 5-ти значный.
                                                                                                                            0
                                                                                                                            недавно обнаружил у себя установленный телеграмм… телефон сменил месяца 2 назад, телеграмм не ставил — так как в принципе им не пользовался…

                                                                                                                            … но он был установлен на предыдущем телефоне, который лежит почивает… новый тел. — андроид, старый тел — ios…

                                                                                                                            … откуда у телеграмма появились подобные привелегии — понять не могу… просто однажды пришло собщение на андроид фон (где я телегу не ставил) про какойто паспорт в версии 4.9…
                                                                                                                              0
                                                                                                                              телефон сменил

                                                                                                                              Номер телефона или устройство?
                                                                                                                              0
                                                                                                                              Проблема высосана из пальца, любому понятно что регить на свой номер и ставить в аватарке своё фото и настоящее имя идея не очень хорошая. Потому что как ни крути это *публичные* данные. Забота Телеграма — сохранность переписки а ваше фото, ваш номер и ваш IP адрес это только ваше дело.
                                                                                                                                0
                                                                                                                                1. Человек который следит за анонимностью не будет регистрировать телеграмм на свой номер. Есть куча сервисов приема смс, на крайняк покупают другую симку.
                                                                                                                                2. Ключево шаг о котором он говорит — сопоставить логин и номер через сравнение фотографии профиля, чтобы узнать, тот ли это человек. Так вот, собственно можно не поставить фотографию в профиль)

                                                                                                                                Кстати, я часто пробиваю левые номера через Viber, Facebook, Instagram, vk, GetContact и телеграмм не исключение.
                                                                                                                                Но задача у него была обратная: имея логин в телеграме — узнать его номер, что без фото видимо невозможно.

                                                                                                                                А его статья — это так, метод припугнуть школьника, методом перебора 100 миллионных телефонных баз.
                                                                                                                                0
                                                                                                                                несомненно инструмент определения номера, логина и фото отражает недоработку разработчиков teiegramm, но по названию статьи представлял инструмент определения номера конкретного пользователя, а тут оказалось, что лишь те пользователи которым посчастливилось попасть в полученную базу номеров)

                                                                                                                                  0
                                                                                                                                  У вас проблемы с восприятием, ибо название «Раскрываем номера пользователей Telegram» не утверждает, что мы будет раскрывать номера конкретного пользователя, как вы написали
                                                                                                                                  0
                                                                                                                                  Перечитал три раза и так и не понял о чём идёт речь в конце концов. На моменте что с чем сравниваем? Загнал сгенерированые номера в инст, оно подтянуло фото (то же самое в вибере, думаю и васап так же), а дальше что?
                                                                                                                                    0
                                                                                                                                    Такое чувство, будто вы читали лишь первые 2 абзаца.
                                                                                                                                    Дальше самый сок. Там будет описан сам процесс
                                                                                                                                      –1

                                                                                                                                      Операция сравнения фото==фото — это сложность O(m*n) [m — число прогнанных номеров, n — число фотографий, которые нужно сравнить] с вероятно большим числом коллизий и false-positive, если брать хэши и пытаться оптимизировать без знания предметной области. Это можно немного оптимизировать, добавив ИИ, и многие другие мета-аттрибуты, но это добавляет дополнительной работы, отвлекая Вас от намеченной цели найти человека.
                                                                                                                                      С базой, которую Вы уже получили, относительно быстро исчерпаются ресурсы, или станет не рентабельно проводить дальнейшие операции сравнения. При подсчете учтите, что фото себя любимого может быть не самым актуальным, поэтому придётся проверить не только актуальное фото профиля из публичного доступа, но, возможно, все остальные.
                                                                                                                                      Добавлю, что я рад, что Вы догадались до этого способа "обмануть" телеграм, но этот способ был описан, когда появились первые привязки номеров телефонов много лет назад и обоснования, почему он будет плохо работать.


                                                                                                                                      Так же настоятельно рекомендую Вам повторить алгоритмы и оценку сложности операций. На хабре есть много полезных статей, например эта и эта. А так же алгоритмы поиска по картинкам, которые можно найти здесь же.

                                                                                                                                    0
                                                                                                                                    Какая по счету статья за последний месяц посвящается Телеграм, шестая?
                                                                                                                                    И как расценивать простому юзеру: Сороковины Телеграм или хайп?
                                                                                                                                    Юбилей ТГ оказался жарким, как и Дубай.
                                                                                                                                      –1
                                                                                                                                      Интересная статья, но насколько эффективен данный подход без полной автоматизации?
                                                                                                                                      Немного математики: для одного кода оператора приходится 10 млн номеров (7 цифр). За раз мы можем сгенерировать (из статьи) около 20 тысяч номеров, на каждую генерацию тратится по 10 минут. В результате получаем примерно 10 000 000/20 000 * 10 = 5000 минут. это примерно 3.5 дня на 1 только код оператора. В России используется около 75 кодов (число примерное). Для полного перебора необходимо почти 9 месяцев непрерывной работы (без сна и прочих радостей жизни). Так что эффективность данного метода вызывает некоторые вопросы.
                                                                                                                                        +1
                                                                                                                                        Чем больше человек будет работать над созданием общей базы «фото: номер», тем быстрее пройдет перебор.
                                                                                                                                        В теории, это можно сделать и за месяц.
                                                                                                                                        0
                                                                                                                                        Тут уже обсуждали не раз — анонимность в Телеграмме никто не обещал. Обещали приватность переписки. А приватность переписки и анонимность пользователя это разные вещи, которые могут пересекаться но не обязаны это делать. Если хочется анонимности то TOR + Tutanota ваш выбор.
                                                                                                                                          0
                                                                                                                                          Это все конечно хорошо, но в силу трудностей и практически рандомного вбива номеров — угроза не существенная. Для спец. служб это конечно вариант, а вот для мамкиных-хакеров слишком сложный и долгий процесс.
                                                                                                                                            0
                                                                                                                                            Т.е. думаете имеет смысл фоточку удалить с аватарки?
                                                                                                                                              0
                                                                                                                                              сорри было про не уникальность авы
                                                                                                                                                0
                                                                                                                                                Ну одно дело одинаковая фотка у 2-3, другое нет фоток у половины пользователей.
                                                                                                                                                0
                                                                                                                                                Эторешит проблему отсеивания. Стоит попробовать)
                                                                                                                                                0
                                                                                                                                                Всё хорошо написано, только уберите, пожалуйста, Телеграм из заголовка — или допишите туда же Вайбер, Вацап, ТамТам, ICQ, и вообще все остальные современные популярные мессенджеры. Я уверен, что в любом из них при наличии синхронизации с адресной книгой этот метод будет работать с ровно той же эффективностью =) Более того, если мессенджеры поддерживают синхронизацию с иными сущностями, кроме телефонных номеров, вида адресов электронной почты, и учёток соцсетей — их тоже можно пробивать таким образом.

                                                                                                                                                С одной стороны, мне не нравится весь этот хайп вокруг «телеграм не анонимен!!!11адынадын». Действительно, таких статей много — и они уже реально пахнут заказухой. С другой стороны, мне и хайп «телеграм анонимен!!!11адынадын» тоже не нравится — все эти «откровения депутата, которого ищут в здании Думы» и прочая муть. Мне просто нужен удобный мессенджер с хорошим API.
                                                                                                                                                  0
                                                                                                                                                  А если у нескольких пользователей один аватар? Такое ведь возможно?
                                                                                                                                                    0
                                                                                                                                                    Да. Был такой же вопрос выше. Ответ на него дан
                                                                                                                                                    0
                                                                                                                                                    сё хорошо написано, только уберите, пожалуйста, Телеграм из заголовка — или допишите туда же Вайбер, Вацап, ТамТам, ICQ, и вообще все остальные современные популярные мессенджеры
                                                                                                                                                    Именно так оно и есть. В каждом мессенжере хоть одна зацепка да появится. В одном телефон, в другом e-mail. Я однажды таким способом нашел uin шестизнак одной личности и несколько его постов на одной древней борде. Зная его ФИО, телефон, e-mail личный, место работы, и прочие плюшки, можно с этими данными творить всё что угодно, законное и незаконное.
                                                                                                                                                      0
                                                                                                                                                      Хотел экспортировать базу через ExportTelegramContacts, делал все по инструкции, но выскакивает ошибка: «Попытка установить соединение была безуспешной, т.к. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера.
                                                                                                                                                      Кто сталкивался с такой ошибкой, что делать?
                                                                                                                                                        +1
                                                                                                                                                        Несколько месяцев назад проделывал похожую штуку с номерами, добавляя их в WhatsApp, запущенный в виртуалочке. Целью было проверить — можно ли получить аватарки и имена пользователей, которые они указали при установке приложения.
                                                                                                                                                        Там все более прилично получилось — фотографии автоматически подгружаются только от тех контактов, у кого ваш номер телефона тоже есть в контактах. Если на «той стороне» ваш номер отсутствует в адресной книге, то фото не подгружается. А если вы что-то напишете пользователю, то у него всплывет уведомление «возможно это спам».

                                                                                                                                                        Если для фото достаточно быть у пользователя в адресной книге, то для получения имени нужно больше телодвижений. У себя вы имя будете видеть только то, которое у вас было в адресной книге, а то что указал пользователь — видеть не будете. Можно добавить его в групповой чат, при этом добавив второго пользователя, у которого этого контакта нет в адресной книге, в тот же чат. Тогда это второй пользователь будет видеть никнейм. Но когда вас в чат добавляют — это заметно.
                                                                                                                                                          0
                                                                                                                                                          Чтобы узнать логин пользователя, нам нужен другой аккаунт в телеграмме, с ранее добавленными пользователями по их логину.

                                                                                                                                                          А как мы добавим пользователей по их логину, если мы еще не знаем логины пользователей?
                                                                                                                                                            0
                                                                                                                                                            Я проделал половину из статьи и завис на телеграмме( почему контакты в телеграмме не появляются, а в контактах есть.??.
                                                                                                                                                              0

                                                                                                                                                              вы смотрите список чатов, а не контактов. Вам правильно пишут "нажмите на значок в нижнем углу".

                                                                                                                                                              0
                                                                                                                                                              Гораздо проще будет сделать все следующим образом:
                                                                                                                                                              1. Добавить различными способами номера телефонов на устройство, например через импорт карточек vCard при помощи iCloud и синхронизировать (max=50k);
                                                                                                                                                              2. Экспортировать номера телефонов на сервера Telegram через мобильное приложение;
                                                                                                                                                              3. Написать сообщение пользователю Telegram, используя username;
                                                                                                                                                              4. По средствам API Telegram войти в диалог с данным пользователем, посмотреть сообщение отправленное ранее и извлечь ID пользователя;
                                                                                                                                                              5. По средства API Telegram запросить данные по каждому контакту с сервера Telegram и в цикле проверять совпадение по ID, также можно проверять совпадения по username если не отправлять сообщение пользователю.

                                                                                                                                                              Плюсы: ID всегда уникальный для каждого номера и не изменяется, например как аватарка;
                                                                                                                                                              Минусы: Уходит много времени на подготовку карточек vCard для импорта через iCloud и очень низкая вероятность совпадения необходимого ID в выбранном диапазоне номеров.

                                                                                                                                                              Only users with full accounts can post comments. Log in, please.