Самое забавное, что на kids.kremlin.ru (какой-то там проект Кремля для детей) есть следующие строки:
Если однажды ты услышишь, прочитаешь или увидишь, что про Президента с утра до вечера говорят одно и то же: восхищаются им, восхваляют его, твердят, что он великий и прекрасный, незаменимый и непогрешимый, — знай: Президент не справился со своей работой, случилась беда и в твоей стране больше нет свободы слова. А значит, нет и демократии.
Чем лично мне понравился литкод: он мягко заставляет тебя писать тесты ещё и локально, соответственно, продумывать крайние случаи.
Нередко было так, что какое-нибудь решение задачи с обходом дерева занимает 10 строк, а тесты, где есть генерация таких деревьев — раз в 5-10 больше.
Пользователи не догадываются, что пользуясь переводом, они сливают переписку гуглу.
Это не так. По умолчанию переводчик отключен, а под переключалкой перевода есть приписка: "Google может иметь доступ к сообщениям, которые Вы переводите".
Если атакующий не знает (или владелец аккаунта не помнит) свой 2FA-пароль, то тг предлагает либо его сбросить (если привязана почта), либо удалить аккаунт (если почта не привязана), при этом включается 7-дневный период, в течение которого человек, имеющий доступ к хотя бы одной активной сессии может освободить номер телефона под новый аккаунт, перенеся текущий акк на другой номер, либо отменить удаление, введя код из SMS.
Мне сейчас немного несподручно кидать ссылки на конкретные строки с платформы переводов, но они все есть в этом разделе:
Узнать нельзя, но можно сменить, если при этом ещё обладать доступом к почте. А т.к. автор отдал "сотрудникам" свою мобилу, то вот он, вероятный вектор атаки.
Вообще говоря, все новые сессии не имеют права выкидывать другие сессии в течение 24 часов с момента авторизации, так что этот момент уже продуман.
Другой вопрос, что пока человека таскают по СИЗО/судам/местным концлагерям, новые сессии становятся "старыми" и дальше имеют почти полный контроль над аккаунтом.
А на телефоне, часом, не было авторизации в почте, к которой привязана 2FA в телеге?
Если да, то 2FA можно было поменять и использовать уже новый пароль для авторизации в других клиентах.
Тоже верно. У меня была мысль, что какая-то часть 2FA всё же хранится на клиенте для работы с Telegram Passport, но похоже, что это не так: https://core.telegram.org/passport/encryption
Немного поразмыслив, можно предположить следующее:
tgdataterminal 1.24.0 — это какой-то самопальный скрипт на Telethon — opensource Python-обёртки для работы с Telegram по MTProto (согласуется с нумерацией версий: https://github.com/LonamiWebs/Telethon/tags).
Скорее всего, используется только для дампа данных, чтобы в них потом ковыряться "оффлайн" и придумывать новые преступления.
Судя по первому скриншоту, ДО начала обыска, у автора была тольок одна сессия на iPhone. Вероятнее всего, с неё каким-то образом сдампили облачный пароль. Как? Неизвестно. Возможно, через тот же Pegasus, который так любят тоталитарные страны (нетоталитарные, впрочем, тоже не гнушаются).
Зачем там Kotatogram? Скорее всего, через него сидят следователи на ПК и ищут "крамолу" глазами. Разница с обычным TDesktop в том, что в "Котате" можно авторизовываться больше, чем в трёх аккаунтах.
Было ли в этом процессе участие Telegram? Похоже, что нет, вышеописанное можно провернуть и без их участия.
Что делать? Как минимум, иметь запасную активную сессию на надёжно сохранённом устройстве, чтобы на эту сессию не распространялись "дебаффы" от свежего логина. Тогда можно быстро дропнуть другие сессии и вообще удалить аккаунт. Ну и, разумеется, заводить трактор.
Берем серию Red Alert, оставляем только кампанию за СССР, выпускаем. Профит!
Самое забавное, что на kids.kremlin.ru (какой-то там проект Кремля для детей) есть следующие строки:
Иронично, не правда ли?
Что-то вспомнилось
Собственно, вот эта история: https://xakep.ru/2011/12/26/58104/
И её идейное продолжение: https://www.securitylab.ru/contest/430512.php
Чем лично мне понравился литкод: он мягко заставляет тебя писать тесты ещё и локально, соответственно, продумывать крайние случаи.
Нередко было так, что какое-нибудь решение задачи с обходом дерева занимает 10 строк, а тесты, где есть генерация таких деревьев — раз в 5-10 больше.
Это не так. По умолчанию переводчик отключен, а под переключалкой перевода есть приписка: "Google может иметь доступ к сообщениям, которые Вы переводите".
Если атакующий не знает (или владелец аккаунта не помнит) свой 2FA-пароль, то тг предлагает либо его сбросить (если привязана почта), либо удалить аккаунт (если почта не привязана), при этом включается 7-дневный период, в течение которого человек, имеющий доступ к хотя бы одной активной сессии может освободить номер телефона под новый аккаунт, перенеся текущий акк на другой номер, либо отменить удаление, введя код из SMS.
Мне сейчас немного несподручно кидать ссылки на конкретные строки с платформы переводов, но они все есть в этом разделе:
https://translations.telegram.org/ru/android/login/
Там можно посмотреть, что ТГ предлагает на разных экранах.
Не вижу информации о том, что автор вводил старый облачный пароль.
@tewak ?
Узнать нельзя, но можно сменить, если при этом ещё обладать доступом к почте. А т.к. автор отдал "сотрудникам" свою мобилу, то вот он, вероятный вектор атаки.
Telegram Android: Настройки -> Приватность и безопасность -> Двухэтапная аутентификация -> (ввод пароля)
Три опции: [Сменить пароль], [Отключить пароль], [Сменить адрес электронной почты]
Вообще говоря, все новые сессии не имеют права выкидывать другие сессии в течение 24 часов с момента авторизации, так что этот момент уже продуман.
Другой вопрос, что пока человека таскают по СИЗО/судам/местным концлагерям, новые сессии становятся "старыми" и дальше имеют почти полный контроль над аккаунтом.
Я там выше предположил, что через смену 2FA-пароля через привязанную почту, вход в которую был у автора статьи на том же девайсе, что и ТГ
А на телефоне, часом, не было авторизации в почте, к которой привязана 2FA в телеге?
Если да, то 2FA можно было поменять и использовать уже новый пароль для авторизации в других клиентах.
Может, у кого-то купили аккаунт просто
Тоже верно. У меня была мысль, что какая-то часть 2FA всё же хранится на клиенте для работы с Telegram Passport, но похоже, что это не так: https://core.telegram.org/passport/encryption
Какой интересный у Вас аккаунт: 9 лет молчал, а тут "не стерпел" и написал первый комментарий ?
Немного поразмыслив, можно предположить следующее:
tgdataterminal 1.24.0 — это какой-то самопальный скрипт на Telethon — opensource Python-обёртки для работы с Telegram по MTProto (согласуется с нумерацией версий: https://github.com/LonamiWebs/Telethon/tags).
Скорее всего, используется только для дампа данных, чтобы в них потом ковыряться "оффлайн" и придумывать новые преступления.
Судя по первому скриншоту, ДО начала обыска, у автора была тольок одна сессия на iPhone. Вероятнее всего, с неё каким-то образом сдампили облачный пароль. Как? Неизвестно. Возможно, через тот же Pegasus, который так любят тоталитарные страны (нетоталитарные, впрочем, тоже не гнушаются).
Зачем там Kotatogram? Скорее всего, через него сидят следователи на ПК и ищут "крамолу" глазами. Разница с обычным TDesktop в том, что в "Котате" можно авторизовываться больше, чем в трёх аккаунтах.
Было ли в этом процессе участие Telegram? Похоже, что нет, вышеописанное можно провернуть и без их участия.
Что делать? Как минимум, иметь запасную активную сессию на надёжно сохранённом устройстве, чтобы на эту сессию не распространялись "дебаффы" от свежего логина. Тогда можно быстро дропнуть другие сессии и вообще удалить аккаунт. Ну и, разумеется, заводить трактор.
"Это другое", наверное
H₂O
Значок в виде глаза – это счётчик просмотров в канале. К спойлерам никакого отношения не имеет и присутствует в телеграме с 2015 года.