Как стать автором
Обновить

Пару ласковых о Telegram

Уровень сложностиПростой
Время на прочтение4 мин
Количество просмотров65K



Tелеге на вас плевать, даже если вы платите ей деньги.

Привет, друзья!


Я пользуюсь Телегой почти с момента ее появления в далеком 2013 году. Последние два года покупаю премиум. Несколько раз дарил премиум друзьям. Наивно полагал, что Телега заботится о своих пользователях, особенно платных. В целом меня все устраивало, пока недавно я не попал в "интересную" ситуацию невозможности управлять собственным аккаунтом.


Пару дней назад мой аккаунт взломали (вероятно, сам дурак; желаю взломщикам всего плохого). Злоумышленник завершил все мои активные сессии и стал рассылать моим контактам денежные запросы. Пытаясь вернуть аккаунт себе, я выяснил любопытную вещь: в Телеге отсутствует адекватный механизм блокировки/восстановления аккаунта.


При входе в аккаунт (в мобильном приложении) нужно ввести код, который либо отправляется на другое устройство (которым владеет злоумышленник, ха-ха), либо извлекается из номера, с которого звонит бот (извлечение работает через раз), либо отправляется в СМС. Получение кода не сильно помогает делу. Как только вы входите в систему, у злоумышленника появляется информации о начале новой сессии, которую он тут же завершает (возможно, запущен скрипт, который делает это автоматически). Завершение сессии приводит к тому, что вас выбрасывает из приложения.


При этом, код всегда сначала отправляется на устройство злоумышленника, видимо, чтобы он мог подготовиться к завершению вашей сессии.




После определенного количества циклов "вход-завершение сессии" срабатывает ограничение на количество запросов. Казалось бы, сервер не должен учитывать удачные входы, но, похоже, он считает все подряд, ибо нечего долго беспокоить злоумышленника попытками вернуть аккаунт.


После ввода ограничения следующую попытку можно предпринять не ранее чем через 24 часа, видимо, чтобы злоумышленник мог еще сутки спокойно пользоваться вашим аккаунтом.


Больше самостоятельно вы ничего со своим аккаунтом сделать не можете.




"У такого солидного продукта, как Telegram, должна быть хорошая поддержка пользователей", скажете вы. Я тоже так думал. Однако на деле оказалось, что поддержка не просто плохая, она отсутствует.


Есть страница support, и даже форма как будто куда-то отправляется, но ни ответа, ни привета от "поддержки" мне дождаться так и не удалось.


Еще есть адрес sms@telegram.org, который мне удалось откопать в Telegram X в сообщении об ошибке, связанной с превышением лимита (успешных, блин) входов, но с ним такая же "мертвая" история.


Впоследствии выяснилось, что поддержку пользователей Телеги осуществляют волонтеры.





Общение с волонтерами заканчивается тем, что бот обещает передать вопрос волонтеру.


Интересно, обеспечением приватности данных пользователей Телеги тоже волонтеры занимаются?



Попыток заблокировать взломанный аккаунт по причинам подозрительной активности со стороны Телеги не предпринималось.




Напоследок самое "забавное". При попытке завершить сессию злоумышленника после успешного входа получаем сообщение: "По причинам безопасности запрещается завершать старые сессии с новых устройств. Завершите сессии с более старого устройства или подождите несколько часов".





В итоге, сессию удалось завершить только спустя 24 часа. Видимо, это сделано для того, чтобы злоумышленник успел про вас вспомнить, завершить вашу сессию и продолжить пользоваться вашим аккаунтом.


Я не знаю, является ли это частью политики компании или имеет место пресловутое "облажались, а не заговор", но факт остается фактом — существующие на сегодняшний день механизмы "защиты" Телеги делают все, чтобы взломщик как можно дольше пользовался вашим аккаунтом.


Как вам такой девиз: "Telegram. Нас интересуют ваши деньги, а не ваши проблемы"?.

Так что не лайкайте подозрительных котиков. И включите двухфакторную аутентификацию. И следите за активными сессиями.


Всем безопасного месседжинга.


Дополнение от 8.09


Вчерась днем получил долгожданный ответ от поддержки (обратился четвертого утром, О — оперативность) следующего содержания:





Очень повеселила эта часть:


"Если злоумышленники выгоняют вас из аккаунта раньше, чем проходит 24 часа, то мы рекомендуем продолжать попытки входить в аккаунт: скорее всего, рано или поздно они могут не заметить ваш вход, вам удастся пробыть в аккаунте целые сутки, и тогда вы сможете завершить их сеансы."


Оказывается, удалить аккаунт все-таки можно:


"… вы можете попробовать удалить свой аккаунт: войдите в него и сразу после этого откройте в браузере ссылку my.telegram.org, введите свой номер, потом пароль, полученный в Телеграм, и удалите аккаунт."


Но "восстановить данные из удаленного аккаунта невозможно".


А как вам эта часть?


"Если вы хотите помочь другому пользователю, которого взломали, то перешлите сообщения злоумышленников нашему аккаунту @notoscam и напишите подробное письмо на адрес abuse@telegram.org.


К сожалению, мы не можем сами выгнать злоумышленников из вашего аккаунта: аккаунты пользователей защищены от любого постороннего вмешательства, даже со стороны самой платформы Телеграм."


Звучит похоже на "вы, конечно, можете нам написать, но сделать мы ничего не сможем".

Теги:
Хабы:
Всего голосов 173: ↑132 и ↓41+122
Комментарии391

Публикации

Истории

Работа

Ближайшие события

19 августа – 20 октября
RuCode.Финал. Чемпионат по алгоритмическому программированию и ИИ
МоскваНижний НовгородЕкатеринбургСтавропольНовосибрискКалининградПермьВладивостокЧитаКраснорскТомскИжевскПетрозаводскКазаньКурскТюменьВолгоградУфаМурманскБишкекСочиУльяновскСаратовИркутскДолгопрудныйОнлайн
3 – 18 октября
Kokoc Hackathon 2024
Онлайн
24 – 25 октября
One Day Offer для AQA Engineer и Developers
Онлайн
25 октября
Конференция по росту продуктов EGC’24
МоскваОнлайн
26 октября
ProIT Network Fest
Санкт-Петербург
7 – 8 ноября
Конференция byteoilgas_conf 2024
МоскваОнлайн
7 – 8 ноября
Конференция «Матемаркетинг»
МоскваОнлайн
15 – 16 ноября
IT-конференция Merge Skolkovo
Москва
25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань