Комментарии 46
Вот не уверен, что сейчас это надежнее, чем смс.
А ещё судя по всему это потенциальный канал утечек привязки аккаунт-телефонный номер.
Как я понял он не возвращает никаких данных об акке, можно только узнать что у юзера есть телега.
За 0,01 долл можно узнать, что у пользователя есть телега и слать туда спам.
За -0,01 телега узнает, что у пользователя есть акк в организации, которая его хотела верифицировать и может эту инфу продавать третьим лицам...
видите как удобно! вам даже не пришлось заполнять форму с данными и ставить галочку о согласии, на передачу информации в каких банках вы зарегистрировались третьим лицам... /s
PS Раньше эта инфа было у опсосов, которые хоть как-то регулируются...
Дешевле и проще - да. Надежнее - да, если телега работает, т.к. они же проводят аутентификацию вас при входе в программу, соответственно, вы просто делегируете это право. Плюс, выходит международная система все же.
Надёжнее? - Нет.
Если увели учётку в телеге, то всё, плакали денюжки...
У меня номера телефонов воровали чаще, чем аккаунты в каком бы то ни было сервисе. Один раз - буквально отжали симку. Да и у знакомых тоже бывали случаи. Выборка небольшая, но чем богаты...
Так что цифровые сервисы надёжнее - они чуть-чуть более абстрагированы за счёт нескольких точек входа и способов восстановления + нескольких факторов аутентификации + иногда даже двухэтапной авторизации.
Препдолагаю что вы из России-в других странах по-моему все по-другому. Я ниразу не слышал пр украденные симки и не представляю как это можно сделать т.к. для увода симки нужен сговор с оператором.
При этом про разводы на угон телеги я слышал, месяца 3 назад читал про новый. И угнанные учетки в разных сервисах видел неоднократно, в т. ч. телега.
Подделать номер можно очень просто, особенно в СНГ этим промышляют ¢^°π÷× если нужно зайти в любой ваш аккаунт или месенеджер.
В теле ставишь двуфакторную и пароль, никто ещё не взломал.
Всё-таки это разный вектор атаки — на телефон и на эккаунт в телеге. Много комментариев про то, что угнанный в телеге эккаунт невозможно восстановить, например, даже под этой статьёй. https://habr.com/ru/news/850572/comments/#comment_27416714
Симку хотя бы можно восстановить, добежав до салона с паспортом. Может быть, даже можно заблокировать, позвонив оператору. А как восстановить эккаунт в телеге, если мошенники выкидывают новые сессии до того, как ты выкинешь их?
Симку для банков я держу дома, с собой не беру (почти) никогда, у операторов стоит запрет действий по доверенности. Да и телеги на банковской симке нету, может это и выход, кстати... Надеюсь, банки не будут пользоваться этим сервисом...
А как восстановить эккаунт в телеге, если мошенники выкидывают новые сессии до того, как ты выкинешь их?
Такое не получится, у мошенников новая сессия в течение 7 или 14 дней не может отменить старые, так что просто заходим со старого устройства и выкидываем непрошенных гостей, впредь ставим облачный пароль и отключаем авторизацию по СМС, оставив только авторизацию по прежним устройствам.
То есть ваша ситуация с угоном Telegram-аккаунта в принципе не случится. Разве что если только каким-то образом проморгать уведомление с новой сессией и неделю быть в неведении.
Симку хотя бы можно восстановить, добежав до салона с паспортом.
Жаль, что всё индивидуально, так что в моём случае бегать до оператора связи в другую страну через половину планеты каждый раз выходит накладно. Риски тут не только финансовые, но иногда это просто вопрос безопасности и свободы совести.
Решение в моём случае следующее:
Раз угнать аккаунт в ТГ возможность есть и восстановить его почти невозможно, то надо максимально его защитить двухфакторкой;
Симку для банков иметь с отдельным номером, телефон (обязательно Android) с симкой оставить у доверенного человека в стране пребывания и дать ген. доверенность (вы так или иначе упрётесь в вопрос доверия, так не всё ли равно? А если не нашли такого человека за 20-30-40 лет, то ССЗБ), на телефон поставить Tasker или Automate для отправки любых пушей/СМС в аккаунт Telegram;
Для разгрузки рутины и сохранения батареи телефона, оставленного у доверенного лица, подключаем аппарат к розетке с таймером, 20 минут в день достаточно для заряда и бесконечной работы устройства. Ставим автоплатеж на нулёвый/поминутный тариф и раз в три месяца просим делать тестовый звонок.
В вашем же случае, возможно, привязка к номеру телефона надежнее, чем привязка к цифровому сервису.
Так универсальных рецептов защиты и не существует, всё зависит от индивидуальных обстоятельств и анализа возможных векторов атаки.
Поэтому я бы и не хотел, чтобы сервис без моего желания авторизовывался через Телеграм, особенно если это финансовые организации.
Для себя я решил это отдельной симкой для банков на кнопочном телефоне, к которой никакие мессенджеры не привязаны.
Ставим автоплатеж на нулёвый/поминутный тариф и раз в три месяца просим делать тестовый звонок.
Есть тарифы, где можно сделать разовый платёж и не извращаться с тестовыми звонками и автооплатами. Например, Умные вещи в Мегафоне, 2500 рублей и симка навсегда ваша. Я сам не пробовал, но вроде по условиям и по отзывам это именно так.
Держать симку дома не панацея, т.к. можете пропустить СМСки.
Последний трэнд - ничего не угонять и тупо подбирать код. Тогда у вас буквально секунды на то чтобы позвонить в банк и заблокировать все счета. Симка дома, в этом случае, - для мошенника праздник.
Я так понял, фоллбека на sms на случай отсутствия у пользователя телеги там нет? Тогде вообще не очень понятно, чем это лучше просто отправки таких же кодов напрямую в телегу от имени твоего бота (которая до некоторого предела будет вообще бесплатной)?
Нужно ещё пользователя заставить запустить своего бота, а телеграм будет рассылать от сервисной учётки. Плюс у телеги есть лимиты на отправку сообщений ботами, что может быть проблемой для крупных сервисов.
С ботом явно нужно начинать общение, да, через него можно построить чуть более безопасную систему. Этот же сервис из коробки будет доставлять сообщения. Однако, если номер не зарегистрирован, то от сервиса придет об этом информация и все равно придется отправлять смс, но для сервисов, которые работают через telegram или на его основе, это будет маст хэв.
Мало кто захочет заходить в бота и потом шарить ему свои данные ради верификации, для пользователя то она по смс бесплатна.
Есть вариант типа предложить ему потом в телеге оповещения по статусам его заказа отправлять (если икоммерц), а так то да, лишние телодвижения кастомеры не любят.
Райф из экваеринга сбрасывает суммы оплат в бот в телегу. Бот можно подключить как в личку, так и в группу. Удобно.
Как говорится на официальной странице сервиса,
Messages you send with the Gateway API can be signed by a verified channel on Telegram, helping users find updates and support
Вчера поймал странный глюк в телеге на "Огрызке". Жена читает общий групповой чат, а у меня мессаг 15 нет, при том - рандом (2х в 19 часов нет , потом есть, потом опять штук 6 нет, потом фотки есть). Не зависило от человека. На десктопе в телеге норм. Чистил кэш, перегагружал телефон, ничего не помогало в чате увидить эти сообщения. (при том если через поиск искать, они есть). Решил переустановить телегу. Она заранее написала - у тебя двухфакторка, проверь что пароль помнишь. Ну тут все ок.
Переустановил - регаюсь - никаких намеков на смс - отправили мне код на другие устройства (домашний комп и рабочий ноутбук). Проблема исчезла.
https://core.telegram.org/gateway/api#checksendability т.е. действительно - если пользователь есть в ТГ -- шлём, иначе как-нибудь сами через сторонний сервис СМС.
Q: Do my users need to opt-in to receive my messages?
Yes. The registered phone numbers of Telegram users are always private – so users must voluntarily opt-in by sharing their phone number with your service and agreeing to receive your messages on Telegram. - https://core.telegram.org/gateway#access-detailed-statistics
Тут не совсем ясно, но кажется я понял правильно. Они этим вроде открывают скоростной вектор проверки наличия номеров в Telegram. Таким образом, существующий rate-limit на API поиска контактов по номеру девалуируется, т.к. можно игнорировать несуществующие номера при выгрузке через телефонную книгу? (см. комм. Heggi ниже)
С другой стороны, портал в Зазеркалье они не открыли. Я так понимаю, в чате пользователь должен будет дать согласие(?) и только после этого придет код? Иначе, если ТГ не будет светить наличие телефона на своей платформе (как в настройке аккаунта для поиска юзера по телефону внутри приложения), то это будет неочевидно и зависеть от "некой" настройки. А blackhat дальше продолжат брутфорс через выгрузку телефонной книги.
///
Только Telegram тратил около $10 миллионов в месяц на аутентификацию всех
Но вас никто не заставлял отказываться от регистрации только по никнейму?
И вообще, мне кажется первичное здесь -- дать смысл "красивым номеркам" "анонимным" тобишь из незарегистрированного (значит - зарезирвированного блока International Calling Code. Да и регуляторы косо смотрят https://tonwiki.space/wiki/Anonymous_Telegram_Numbers
November 28, 2023 — at the annual TON conference «The GateWay», representatives said that they have received complaints from regulators from many countries after releasing the numbers. So they are not making new features or releasing new numbers yet.
//
Этот метод значительно дешевле, быстрее и безопаснее традиционной SMS-верификации.
Парадоксально, но действительно безопаснее. Только в случае, если вход прикрыт вторым паролем. Иначе всё скатывается входу по СМС через дырявый SS7. Такое решето даже Internet Explorer-у не снилось.
1 цент это тоже так-то нифига не дешево... 1р/SMS
Лучше бы техподдержку наконец сделали. Сейчас восстановить угнанный аккаунт телеграмма невозможно, т.к. техподдержки нет в принципе. И они еще собираются что-то верифицировать...
Еслиб только угнанный. ТП просто не отвечает ни на что.
Понадобился отдельный аккаунт только для работы. Покупаешь симку - а она уже в бане. Решил проверить доп.номера мегафона которые можно докупить к основной симке - все либо в бане, либо еще нет но привязаны к почте на домене tgsel и 3 недели КД на сброс почты.
т.е. всякие боты нарегали, наполучали баны, а пул номеров конечен.
Телега сможет подтвердить только то, что у юзера в данный момент есть доступ к аккаунту с указанным номером телефона. То что номер телефона принадлежит этому человеку, телега гарантировать не может. Т.к. можно продолжать пользоваться авторизованным клиентом телеги до тех пор, пока новый владелец номера не решит создать свой аккаунт в телеге.
Вот если они предоставляют в том числе какой-то уникальный ID юзера, тогда это можно будет использовать для авторизации в сервисах, которые хранят персональные данные и/или личный контент пользователей.
Вообще сервис, прежде чем отправить что-то в телегу, должен спросить, а можно ли? Потому что не исключена ситуация, когда я купил симку, а телега на этом номере уже зарегистрирована на кого-то, а перевести эккаунт на себя я не могу.
ID пользователя в телеге есть, и он доступен.
А что новый владелец номера может сделать с авторизованным клиентом, если у того клиента пароль?
Новый владелец номера может создать свой аккаунт телеги на этот номер. А потом пойти в сервис "МоиСамыеСекретныеДокументы.ком" и авторизоваться в нём используя код из телеги. И если этот сервис не проверит, что user_id, привязанный к номеру телефона, изменился, то новый владелец номера получит доступ к документам предыдущего владельца.
Тогда при авторизации через смс он получит доступ к сервису ещё проще, если сервис не проверит, что сим-карта сменилась.
Бинго! И это прям красный флаг, который лучше не игнорить.
Если сервис использует только проверку по SMS, поддерживает номера любых операторов и хранит что-то личное, то лучше его не использовать.
Если сервис обслуживает клиентов только конкретного оператора, то у него есть возможность узнать о смене владельца номера. В этом случае чуть более надёжно получается. Если забыть про то, что sms в приципе не надёжны.
Если сервис просто показывает киношки и музыку, то эта проблема с авторизацией не так важна.
В этом контексте телега даже лучше получается. Можно получить user_id без необходимости договариваться с пачкой сотовых операторов, которые даже разговаривать с тобой не будут о такой интегарции.
Там вроде смену симки как-то просто можно обнаружить, насколько я понимаю.
В телеге проблема, если эккаунт уведут.
Кому просто обнаружить? Банки может и имеют такие возможности, и то не уверен что это проверяется через отправку SMS. Может мобильное приложение как-то может узнать ID симки или ещё как-то (на это маловероятно). А вот простые бизнесмены скорее всего пойдут лесом и не получат такой возможности.
Кроме того мы ведь говорим не про авторизацию по ID симки, а про ввод кода, который послали на номер телефона. Ничего кроме этого кода веб-сервис от пользователя не получит. А от сотовых операторов он получит только счёт на оплату SMS.
Поэтому без двухфакторной авторизации, только с одним OTP, полученном через SMS, лучше не рассчитывать на безопасность своих данных в сервисе. И про это скорее всего написано в оферте сервиса. Что-то вроде: "Если вы не удалили свой аккаунт перед тем как протерять свой номер телефона, то вы сам себе буратино, мы ни чего вам не гарантируем."
Я точно знаю, что в случае замены симки банки при попытке дальнейшего её использования пишут что-то вроде: у Вас сменилась симка, очень ждём Вас в офисе для подтверждения номера телефона. Как они узнают о замене, насколько я понимаю, есть какой-то протокол сотовой связи для этого. Не думаю, что для этого нужны какие-то особые отношения с оператором.
И это делалось точно не через мобильное приложение, так как на кнопочных телефонах это тоже работало.
Вы не внимательно читали свой договор с банком, там есть отдельные пункты о передачи ваших ПД третьим лицам, в том числе и операторам. А у них уже свой договор об обмене данными.
Telegram запускает Telegram Gateway: аутентификация номеров за $0,01 для бизнеса