В даркнете нашли базу данных «телефон — ник» пользователей Telegram

    imageФото: kod.ru

    Порталу «Код Дурова» удалось найти на одном из форумов в даркнете базу, содержащую данные нескольких миллионов пользователей Telegram. Редакция пробила никнеймы в мессенджере и обнаружила телефонные номера, в том числе, своих сотрудников.

    Файл весит около 900 мегабайт. В нем содержатся уникальные идентификаторы и телефонные номера. Общее число затронутых пользователей неизвестно.

    imageФото: kod.ru

    В Telegram подтвердили, что знают о существовании базы. Там пояснили, что подобная информация агрегируется благодаря встроенной функции импорта контактов на стадии регистрации человека: «Такие базы обычно содержат соответствия «номер телефона — идентификатор пользователя в Telegram». Они собираются через злоупотребление встроенной функцией импорта контактов при регистрации пользователя. К сожалению, ни один сервис, позволяющий пользователям общаться с контактами из своей телефонной книги, не может полностью исключить подобный перебор».

    Как отмечает администрация сервиса, большинство аккаунтов в базе уже неактуальны, а недавно принятые меры позволили скрывать номера. Анализ БД показал, что более 84% данных собрали еще до середины 2019 года, а не менее 60% аккаунтов содержат уже неактуальные данные.

    «Кроме того, после сообщений из Гонконга, мы добавили настройку «Кто может добавлять меня в контакты по номеру телефона». Эта настройка, хотя серьезно затрудняет использование Telegram обычным пользователям (они становятся «невидимыми» даже для тех, кто знает их номер), позволяет диссидентам и активистам протестных движений полностью скрыть связь между их аккаунтом и номером телефона», — говорит администрация мессенджера.

    В Telegram пояснили, что почти 70% аккаунтов в слитой базе принадлежат пользователями из Ирана, а 30% — из России.

    Летом 2019 года протестующие в Гонконге обнаружили, что мессенджер позволяет полиции определять телефонные номера участников акций. Telegram признал утечку конфиденциальных данных, но изначально заявил, что это не баг, а фича, а полицейские действовали методом перебора большого количества телефонных номеров. Однако активисты утверждали, что силовики могли узнать даже те контакты, которые были скрыты в настройках.

    Позднее мессенджер все же добавил в интерфейс опцию PrivacyPhoneNumberSettings.CustomDisabledHelp со следующим описанием: Users who add your number to their contacts will see it on Telegram only if they are your contacts («При добавлении вашего номера в свои контакты пользователь увидит вас в Telegram только в том случае, если он присутствует в вашей телефонной книге»).
    См. также:

    Комментарии 48

      +11

      Багофича Telegram и старая слитая база. Нет ничего нового под луной

        +5
        Можно сопоставить имя из Telegram и номер телефона. Как же это ужасно!

        Также getcontact:
        Можно сопоставить имя из телефонной книжки и номер телефона. Как же это здорово!
          +2
          Это не одно и тоже.

          Одно дело писать в телеграм чатах которые обсуждают протесты под вымышленным ником который можно сменить в любой момент и совсем другое когда власти\кто угодно с нехорошими намерениями имеет привязку уникального идентификатора (его нельзя сменить) к телефонному номеру. Тех же гонконгцев на бутылку уже сажать начали, да и у нас такое было (rebel talk).

          P.S. Есть ли какой то способ проверить есть ли твой номер, идентификатор в базе?
            +7
            Есть ли какой то способ проверить есть ли твой номер, идентификатор в базе?

            На любой введённый номер будет отвечать: «Теперь есть» ;)

              0
              бот не имеет доступа к телефону, пока юзер руками не отправит номер боту
              +4
              Как в старом анекдоте.

              Джун спрашивает у сеньора:
              — Как узнать безопасен ли мой пароль?
              — Введи его в гугл.
              — Ввёл.
              — Вот теперь он точно не безопасен.
                +3

                О, это же учитель Инь Фу Во! тыц

                  0
                  У этой истории множество лиц)
                0
              +5
              К сожалению, ни один сервис, позволяющий пользователям общаться с контактами из своей телефонной книги, не может полностью исключить подобный перебор

              Почему не может-то? Скорее не хочет.
              Сделать это несложно.

                0
                Чаще задействован человеческий фактор — люди могут базы выгружать да сливать. При этом, сервис может быть защищён со всех сторон.
                  0
                  Сделать это несложно.

                  Расскажете, как?
                    0
                    В групповых чатах использовать уникальные для каждого чата идентификаторы.
                    При скане номеров не выдавать статус тем, кого нет в контактах.
                    В контакты добавлять не всю телефонную книгу, а выборочно.
                      +1
                      Как это сделать. Раз говорите, что несложно — значит понимаете, как конкретно такое реализовать. Расскажите, пожалуйста.
                        +1

                        Я отредактировал предыдущий комментарий.

                          +1

                          Способ как раз описан в последнем параграфе статьи — будь у них изначально такая опция (показывать номера только тех у кого уже есть ваш номер), прямой перебор по номерам был бы невозможен. Разве это не ответ на вопрос "как"?

                            +5
                            У многих есть в контактах номера местных служб — такси, например, заказ еды и т.п. Они точно не нужны мне в чате, но будут иметь доступ к моему номеру.
                            Поэтому должно быть выборочное добавление контактов, а не сразу всю телефонную книгу.
                            Тот же телеграмм отказывался работать, если не дашь ему доступ ко всей телефонной книге.
                              0

                              Не знаю как сейчас, но несколько лет назад, при первой установке, я не давал ему доступа (вручную добавлял) — всё отлично работало. Правда стало неудобно по мере роста числа контактов, посему забил и дал доступ — всё равно ничего важно-секретного у меня нет, ни в контактах ни в сообщениях, отношусь к нему просто как к альтернативе SMS/MMS.

                                0

                                Точно уже не помню, вроде бы не давал написать сообщение на номер и может быть создать канал. Я решил тем, что отключил в телефоне аккаунты с контактами, сохранил один контакт на самом телефоне, дал доступ телеграмму, забрал доступ у телеграма, вернул всё обратно.

                        0

                        Так же как банки не хранят номер карты в БД. Все это делается при желании. Только никто это не делает специально или просто всем пофиг как обычно.


                        Хранится зашифрованный номер. Расшифровывается приложением по мастер ключу, который лежит где-то в другом месте, зашифрованный другим ключём. Вариантов реализации масса

                          0

                          Проблема же не в утечке базы, проблема в том что сервер выдаёт совпадающие номера после того как получает список — и пока пользователям нужна/удобна эта фича, шифрование тут не поможет.

                      +1
                      Ссылку-то дайте на базу))
                        +1
                        Тыц
                        Введите номер телефона для получения ссылки, чтобы начать скачивание базы бесплатно и без СМС
                          +1
                          Присоединяюсь)) В лс только пожалуйста, если что.
                            0
                            Аналогично реквестирую ссылку в лс, спасибо)
                              0
                              Хех, теперь мне приходят уведомления об ответах тех, кто как и я хочет ссылку, которой у меня нету :D
                                0
                                Вот да, нужен пруф. Хотя бы в ЛС))
                                +14

                                Ha habr был запощен утёкший из Почты России список всех почтовых индексов страны.


                                 print(list(map(lambda x: f"{x:06}", range(0,1000000))))

                                Прокуратура уже возбудила уголовное дело. Почта Росссии уже подтвердила, что это ещё почтовые индексы. Общественность негодует.

                                  0

                                  Да тут не только наши индексы, тут индексы всех стран! Международный скандал!

                                  0
                                  Стоило только получить одобрение Российских властей и на тебе:D
                                    0
                                    Где качнуть то можно? Мне так, только проверить, есть ли там мой номер)
                                      +1
                                      Если не разберетесь, то не очень-то она вам и нужна
                                      CF870E1C064DD5312F09129D794D8227003EE6A7
                                        0
                                        1 пир и то без скорости
                                          0
                                          у пирингового файлообмена — своя специфика. Скачивают, но сидов больше не становится ;)
                                        0
                                        В Телеграм каналах (как минимум в двух) публично и бесплатно уже выложено.


                                        Нет трафика и скорости в мой деревне, чтобы скачать и проверить.
                                          0
                                          на одом из ресурсов архив весит 2ГБ
                                            +1
                                            А на другом ресурсе это тоже выложенно и друг друга (эти ресурсы) обвиняют, кто у кого украл коралл и модифицировалл.
                                            0
                                            А название каналов можете подсказать?
                                          +3
                                          А делов-то: вообще руководству принять решение и отвязать мессенджер от использования телефонного номера. Идентификатор и пароль. Как в Jabber и как было в ICQ, как в TOX. Что проще-то?
                                            0
                                            И получится такой же малопопулярный мессенджер для гиков как Jabber. Либо удобство и распространенность либо секретность.
                                              0
                                              В ситуации с мобильным номером одно другому не мешает, если пользователю выбор дать.
                                            0

                                            1) подскажите название форума в темныхинтернетах
                                            2) я не нашел ни на windows десктопе \ ни на андроид версии этой настройки
                                            есть из похожих только "Кто видит мой номер телефона": "никто"
                                            3) личный пункт, обращение к ne555 подскажите что за каналы

                                            0
                                            del
                                              0
                                              Нашел себя ) Только помню вроде в телеге можно было посмотреть свой id. Сейчас ищу не могу найти где, или выпилили это
                                                0
                                                Напишите что-нибудь @ShowJsonBot и он вам ID пришлет.
                                                0
                                                Смотреть то чем? :)
                                                  0
                                                  А если удалить аккаунт в Телеграме, а потом создать заново на тот же номер, user ID поменяется?

                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                  Самое читаемое