SMS-коды авторизации Telegram продолжают перехватывать

    Примерно три месяца назад Павел Дуров предупредил пользователей, что авторизация по SMS в мессенджере Telegram скомпрометирована. «Судя по всему, спецслужбы РФ решили начать давить на операторов связи, чтобы те стали осуществлять перехват авторизационного SMS-кода. Обычно такое встречается только в рамках людоедских, не заботящихся о своей репутации режимах — средняя Азия, иногда Ближний Восток. Но внезапно случилось в России (если, конечно, отсечь коррупцию внутри МТС)», — сказал Павел Дуров и пообещал сделать рассылку для всех пользователей с советом включить двухфакторную авторизацию, так как операторы связи РФ как верификатор ненадёжны.

    К сожалению, даже двухфакторная авторизация не является панацеей. Вчера один из пользователей Telegram Сергей Пархоменко подробно описал, как злоумышленникам удалось уничтожить его аккаунт, на котором была включена двухфакторная аутентификация.

    Суть событий вкратце:
    На телефон внезапно посыпались один за другим коды для доступа к аккаунту, которые я не запрашивал. Потом при попытке войти в свой аккаунт мне предложили сделать это так, как будто это происходит в первый раз. В открывшемся интерфейсе обнаружилось, что вся история переписки, все чаты, все контакты исчезли. Аккаунт оказался новым, как бы девственно чистым.

    Среди открытых сессий обнаружилась одна — сделанная с постороннего компьютера (у меня нет ни одного PC).

    Короче говоря, это означает, что взломать аккаунт и увести переписку злодеям не удалось, но удалось его уничтожить. Пришлось мне его грохнуть и открыть новый ещё раз, уже осознанно, пройдя через процедуру удаления и заведения эккаунта, — для надёжности.

    Внизу скриншот с записью о «левой» открытой сессии — для любителей покопаться в IP-адресах. Привет обладателю этого адреса. Надеюсь, однажды вас всех будут судить.


    После общения с техподдержкой Telegram Сергею Пархоменко сегодня удалось узнать некоторые подробности о взломе своего аккаунта Telegram.

    Во-первых, злоумышленники действительно получили доступ к SMS-сообщениям жертвы через провайдера МТС.

    Взломать аккаунт они не смогли, потому что не знали пароля. Но зато в Telegram существует уязвимость в безопасности, которая позволяет удалить аккаунт и открыть вместо него новый только по SMS, что и сделали злоумышленники (возможно, со злости).

    Представители Telegram заверили, что закроют уязвимость в течение ближайших дней.

    К сожалению, из-за высокого уровня безопасности Telegram восстановить данные в удалённом аккаунте невозможно.

    Довольно странно, что и в прошлый раз, и в этот раз взломы аккаунтов с перехватом кодов авторизации по SMS осуществлялись при помощи одного и того же оператора сотовой связи. «Все уже выучили: МТС сливает переписку абонентов спецслужбам в штатном режиме, — считает Антон Носик. — Там просто сидит специалист из ФСБ, которому для чтения чужих сообщений не нужно ни судебных решений, ни санкций прокуратуры. Он отслеживает СМС-переписку, иногда перехватывает управление номерами, иногда просто сливает сообщения в СМИ для публикации, — Понятно, что в теории, с точки зрения уязвимости и подконтрольности спецслужбам, все российские операторы в принципе одинаково уязвимы. Но также понятно, что риски пользователей Билайна и Мегафона являются теоретическими, а переписку абонентов МТС спецслужбы сегодня получают и изучают раньше конечных адресатов».


    Фрагмент SMS-переписки Максима Каца, которую злоумышленники целиком выложили в интернет
    Поддержать автора
    Поделиться публикацией

    Комментарии 115

      +15
      Подскажите, зачем вообще мессенджеру нужна авторизация по SMS и привязка к сим карте?
        –14
        А к чему привязывть?
        Всю жизнь это была почта. Но у большой части народа нет почты сейчас. Плюс куча народу, которые не способны запомнить свой UID и сложный пароль. А телефон сам по себе выступает защитой.
          +25
          Как это «у большой части народа нет почты сейчас»? Не верится.
            –4
            Развивающиеся страны, у людей нет ПК, только смартфоны с соцсетями в них.
            Это же основная причина, почему многие сервисы, особенно соц. сети ввели привязку по телефону, в дополнение к почте.
              +14
              Чтобы пользоваться смартфоном на андроиде, нужно завести аккаунт гугл.
                0
                Без аккаунта не будет Google Play, YouTube и синхронизации, но всем остальным пользоваться можно.
                  +2
                  Речь то про «бОльшую часть народа» велась, у которой якобы нет почты. И эта самая «бОльшая часть народа» пользуется андроидофонами без гуглплея, ютуба и синхронизации?
                  Да я бы не поверил даже если бы кто-то исследование с 100000 опрошенных провёл, а тут совсем голословные заявления.

                  Другой вопрос что люди заводят этот почтовый ящик один раз и потом забывают данные, и банально не знают что у них действительно есть почта, и что ней можно пользоваться.
                    +2
                    Это и есть «нету почты». То что она где-то формально есть — не меняет сути.
                    +1
                    У китайцев очень популярны андроиды где гугль сервисы откушены напрочь, либо свои сервисы со своей почтой вроде Алибабы, или просто помойки арк файлов, без всяких маркетов
                    +4
                    Никто не помнит ни почты ни пароля к ней. А на каждом новом телефоне заводят новый аккаунт.
                      –1
                      Ну да, конечно, и телефонную книгу перенабирают и все такое…
                        +3

                        Зачем, ведь контакты на симке все


                        /sarcasm

                          +1
                          Да, таких реально очень много.
                            0
                            Экспортируют в архив и импортируют на другом девайсе, и делают обычно не сами, а знакомые тыжпрограмисты.

                            p.s. Буквально недавно заставил родичей запомнить свои основные пароли.
                            +1
                            Вы зря смеетесь. Я знаю несколько человек, которым при покупке Айфона продавцы сами заводили UID (или как он там называется), потому что без него айфон не работает, и передавали этот uid с паролем на бумажке(!) покупателю! Который в силу своей безграмотности не знал что это вообще такое и быстро терял эту бумажку. Естественно, любимый айфон превращался в кирпич при первом удобном случае и даже обращения в официальный саппорт не помогают. Это реально жиза, я не выдумываю.
                            0
                            Необязательно.
                          • НЛО прилетело и опубликовало эту надпись здесь
                              +2
                              Так точно. Без Apple ID сразу отсекаются все сервисы iCloud, iMassage, AppStore. А Apple ID обязательно привязан на почту. Другой вопрос, что многим почту создают при покупке телефона, а потом ей не пользуются. И возникают курьезные случаи из серии «Я телефон сбросил, а теперь не могу его активировать, т.к не помню почту/пароль. Помогите!» Юзвери, что с них возьмёшь…
                                0
                                а где подключается айМассаж, не нашел…
                              +1
                              Основная причина, по которой ввели привязку к телефону — это борьба с автоматической регистрацией спам-ботов.
                                0
                                И я бы с вами согласился, если бы смс была вместо почты. Но на большинстве сервисов есть выбор. И боты по прежнему могут регаться через нее.
                                Так что я по прежнему настаиваю на своем: основная причина введения регистрации через телефон — это захват рынков, где почтой не пользуются или пользуются мало.
                                  +1
                                  Нет, просто есть возможность автоматически подхватить все контакты из записной книжки (где хранятся обычно номера телефонов, а не почта) и проверить по своей базе, чтобы сразу найти кто из знакомых уже подключился. В противном случае, пришлось бы всем друзьям сообщать свой новый UIN или что-то подобное.
                                    0
                                    Основная причина — идентификация личности и точка.
                              0
                              Это как с jabber. Когда устроился в контору, народ начал спрашивать контакты, я всем jabber давал. Все удивлялись что это такое, с чем едят, давай хотя бы аську что ль. По факту выяснилось что у большей части асечников оказывается уже был jabber, но они ни слухом, ни духом. Так и с почтой. Есть андроидофон с gapps почты нет.
                              +5
                              Хреновая защита получается.
                              Может тогда стоит добавить альтернативу для тех, кто не хочет привязывать учетку к чему-бы то ни было?!
                                0
                                Как вариант: получаешь токен для бота и подключаешься через него.
                                +12
                                Пусть дадут возможность не привязывать телефон к аккаунту, просто логин-пароль, или почта. Привязывая телефон, ты как бы уже компрометируешь себя.
                                  0
                                  «Пусть дадут возможность не привязывать телефон к аккаунту». Как только увидел привязку к «телу» забил на регистрацию и сам Телеграмм.
                                  +2
                                  >Но у большой части народа нет почты сейчас
                                  Почта есть у любого, кто пользуется андройдом и гугл плеем

                                  Если бы привязка к симке была бы опцией, то было бы ок, но тут это обязаловка. И это мессенджер дикларирует себя как защищённый, а те, кому нужна защищённость, в состоянии запомнить совой логин и пароль. Тем более любая привязка аккаунта к чему либо опускает его уровень защиты, до уровня защиты того, к чему привязан аккаунт.
                                    +1
                                    Почта обычно есть у пользователей смартфонов (Google Play, iTunes, Microsoft Store её требуют). А если пользователь не может запомнить некоторый ID и пароль — нужна ли ему безопасность?
                                      0
                                      Асболютному большинству пользователей (в том числе и Телеграма) насрать на безопасность.
                                    0
                                    Привязка к телефону, как минимум, для того, чтобы пользователи легко находили друг друга, ибо доверяют они все еще номерам телефона.
                                      +10
                                      Кто хочет, пусть использует телефон для привязки, но зачем всех обязывать?
                                      +5
                                      Дуров, верни стену убери привязку к телефону! Ну серьезно, почему нельзя сделать ее опциональной, для тех кто какому-нибудь proton mail доверяет больше, чем своему ОПСОСу.
                                        –1
                                        Потому что так сеть быстрее растёт. Когда ты ввёл номер и все увидели, что у тебя есть телеграм, и ты увидел, что телеграм есть у многих, шансов на то, что ты начнёшь активнее пользоваться этим мессенджером, гораздо больше, чем если ты не вводил никаких телефонов и контакт-лист пустой.
                                        0
                                        Авторизация по SMS — это сейчас как галочку в feature list поставить. А вот привязка к номеру действительно что-то странное. Именно это остановило меня на стадии «скачал клиент». Дальше дело не пошло…
                                        –11
                                        Аккаунт грохнули через дыру в самом телеграме и вероятнее всего через дыру и/или продажное звено в МТС, а в заголовке «Спецслужбы продолжают перехватывать...». Задолбали уже…
                                          +6
                                          Но они же продолжают перехватывать)
                                            0
                                            «Миром правит не тайная ложа, а явная лажа» (с)
                                            Меня собственно не устраивают некоторые (в последнее время все более частые) элементы РенТВ на GT)
                                              +1
                                              SMS действительно могут и не спецслужбы перехватывать, правда придется за это заплатить, причем пару сотен долларов. Только вот кому кроме спецслужб это надо вообще? Нет, ну я понимаю, когда бесплатно, есть такие веселые люди, которые любят подгадить, но тут все таки платить надо, а Сергей Пархоменко вроде бы на бизнес не завязан, только общественной\журналистской деятельностью занимается.
                                                –6
                                                А «спецслужбам» оно зачем надо?)))
                                                И если вы обратите внимание, то мое негодование вызвано исключительно оформлением статьи, желтушные заголовки не красят подобный ресурс.
                                                  +4
                                                  У нас в стране как-то не любят альтернативное мнение, видимо за этим. Думаю историю со сливом данных жертвователей Навальному через Яндекс.Деньги вы помните? Вот зачем им это надо было?
                                                    –3
                                                    Вот про мнение это вы хорошо сказали) два моих комментария выше, и -4 к карме уверенно подтверждают эту теорию)) При том что «альтернативного» то я ничего и не написал)) И Вот зачем им это надо было?
                                                    А историю со сливом я не помню, ибо не отслеживаю подобное, за отсутствием интереса.
                                                      0
                                                      Ваше мнение не понравилось, но никто вам не запрещал его высказывать. А вот у сторонников «альтернативного» мнения возможности высказаться всё меньше и меньше, уже даже друзьям смс не написать.
                                                        –1
                                                        Голосование минусом в карму, не несет в себе никакого другого функционала, кроме ограничения выражения мнения оппонента. Как минимум на частоту и полноту выражения, я не имею возможности например вести одновременно несколько диалогов в разных публикациях и вовремя отвечать на другие комментарии. Т.е. пользователь который ставит минус в карму, не просто выражает не согласие с мнением (для этого есть минус комментариев), но и стремится ограничить высказывание этого мнения в дальнейшем. Повторю вопрос, и вот зачем им это надо было?
                                                        Причем т.к. голосование доступно только пользователям с кармой больше определенного положительного значения, то появляется возможность, при определенных условиях, доминирования одной группы пользователей над другой.
                                                        Обсуждаемому же в статье господину Пархоменко, ограничений его мнения не устанавливают, ни со стороны содержания, ни со стороны регулярности. Подтверждением этому является тот факт, что он свободно пишет о случившемся, свободно выдвигает гипотезы и даже прямые обвинения.
                                                        При этом факт участия представителей каких либо государственных структур в описанных событиях, является не более чем предположением.

                                                        И самое главное. Я не знаю кто такой господин Пархоменко (по крайней мере не знал до этого обсуждения) и чем он занимается. Я ни коим образом не стремлюсь защитить честь наших «славных спецслужб». Мне в общем то по барабану.

                                                        Я обратил внимание на тот факт, что новость о попытке взлома аккаунта мессенджера, причем через официально подтвержденную уязвимость, безапелляционно преподносится как деятельность спецслужб, не смотря на отсутствие как доказательств, так и хотя бы внятной мотивации, кроме утверждений самого господина Пархоменко
                                                        Т.е. в моих высказывания исключительно недовольство «желтизной» публикации и немного здравого смысла.
                                                  0
                                                  Именно перехват SMS простым смертным недоступен, даже за большие деньги (за очень большие и при наличии связей — может быть). Зато уже как несколько лет поставлено на поток т.н. «восстановление» SIM-карт, когда через сотрудников в салонах связи и клиентской поддержке операторов к номеру жертвы привязывается новая SIM-карта. Поэтому для российских пользователей идея с какими-либо привязками к мобильному телефону по сути полностью скомпрометирована. Нередко может получиться, что угнать номер телефона даже проще и быстрее, чем действовать другими методами.
                                                    +1
                                                    Конкретно для МТС можно взломать личный кабинет и там смотреть SMS в режиме реального времени. Вот одна из таких услуг, хотя лично не пользовался, ручаться за то, что это работает не могу. В подобных случаях если это, теоретически, не спецслужбы были, то мог иметь место взлом личного кабинета, а не перевыпуск, второе бы жертва заметила довольно быстро.
                                                      +1
                                                      Видел несколько предложений по предоставлению доступа в SS7 за менее $1000 в месяц.
                                                +7

                                                Перехват всё-равно имел место быть, так, что хорошая попытка, товарищ, кто вы там по званию, но нет.

                                                  –1
                                                  Какой перехват, я вас умоляю! Андроид дырявее 95-ой винды, никакой перехват не нужен, чтобы получить переписку из телефона. Да в общем-то, и вообще практически любые данные из смартфона.
                                                    0

                                                    Получите с моего?

                                                    –1
                                                    Тупость, рассчитанная на детишек. Ни один ФСБшник не будет «со злости» стирать данные аккаунта который он не смог взломать!!! Да и переписка крайне интересная, мол мы власть критиковали и нас взломали, какая нелепость, если бы спецслужбы ломали аккаунты всех бестолковых сплетников, то у них не оставалось бы времени ни на что больше. Да, и по-поводу «не пользоваться российскими симками», такое ощущение, что написавший не знает не про WikiLeaks, ни про Сноудена, а тем временем США собирают гораздо больше информации чем ФСБ, причем не только в США, а по всему миру! Так что, выходит нельзя вообще ни чем пользоваться, всё отслеживают и контролируют!!! Достали уже эти «борцы с диктатурой», борящиеся только за гранты. А geektimes я посоветовал бы не продавать этим «демократами» место на своём ресурсе, деньги, конечно, нужны, но деньги деньгам рознь, да и ресурс Ваш не про это!!!
                                                      0

                                                      Не пойму, при чём здесь Сноуден, викиликс и вообще США? Вы свою мерзость, товарищ майор, оправдываете чужими преступлениями? А, ну-ну. Это же в корне меняет дело!

                                                        0
                                                        Молодой человек, пройдите на приём таблеток, Вас там медсестра обыскалась!!! Да, да, ФСБшники всюдю за Вами шастают и только и думают как ещё узнать Ваши гениальнейшие мысли по-поводу вопросов космического масштаба!!! Кстати, такие разговоры как эти «подслушанные», можно услышать в «тайных» разговорах, когда собеседники хотят чтобы их услышали дабы придать себе значимости в глазах других, мол слушайте какую инфу я имею и т.д. Сама распечатка этого диалога — повод для психиатрической экспертизы собеседников!!!
                                                          0

                                                          Нет, не майор. Максимум евфрейтор. По объявлению вас там понабирали?

                                                        0
                                                        Еще один зарегистрировался тут специально, чтобы писать подобную хрень. Не пройдет.
                                                      –1
                                                      Наши оппозиционеры просто-таки одержимы ФСБ (достаточно прочесть плод воспаленной фантазии г. Носика). Видимо возможность походя пнуть того, кто не ответит, придает им какую-то значимость в собственных глазах. Между тем г. Пархоменко мог легко выдумать этот забавный эпизод, и вот его уже всерьез обсуждают не только блохеры в интернетиках, но и на сугубо техническом ресурсе, где политота как бы запрещена.
                                                      Бедная глупая ФСБ сидит, отслеживает, перехватывает и сливает, но по скудоумию не может словить SMS с первого раза, SMS валятся на Пархоменко просто потоком по его словам.
                                                      +10
                                                      Информацию об этой проблеме (возможность сбросить аккаунт с двухфакторной авторизацией и выдать себя за владельца при доступе к СМС) передавали в ТГ неоднократно. Я даже сам через посредников Дурову про это писал. Далее на тут ГТ был большой пост на эту тему, где и решения были предложены. Дурову было опять пофиг. Только когда появилась публичная жертва он стал чесаться. Совершенно недопустимо для мессенджера, который рекламируют с акцентом на безопасность.

                                                      Хорошо, что появился этот пост. Вообще было бы неплохо, чтобы на эту тему поднялась популярными блогерами и т. п. информационная волна побольше, чтобы пнули хорошенько ТГ за их отношение к безопасности. Проблемы в безопасности(особенно которые легко исправить) должны патчиться очень быстро, а не когда о них уже весь интернет знает, но, как показывает практика, даже в этом случае ТГ на проблему не обращает внимание до первой очень известной жертвы.
                                                        +3
                                                        Мне кажется, надо ввести дополнительный параметр — «недоверие SMS» с пометкой «используйте на свой страх и риск»
                                                        В этом случае вся информация, идущая в SMS, считается доступной для перехвата.

                                                        А вообще — давно пора переходить на двухпарольную систему с токенами.
                                                        Первый пароль — для добавления нового устройства к аккаунту и получения токена.
                                                        Второй пароль — для менеджмента учётной записи (в т.ч. сброса первого пароля и отзыва разрешения токенов)

                                                        Сброс аккаунта через SMS (если оставить такую возможность) должен происходить с задержкой (например, от недели до 2 месяцев) и уведомлением всех, подключающихся к аккаунту.
                                                          0
                                                          whois.uanic.name/ip/83.220.237.204.html
                                                          whois говорит, что адрес вымпелкомовский, т.е. Билайн – видимо, не МТС единым…
                                                          Приблизительные координаты шлюза – 55.7522 37.6156, заинтересованным товарищам удачи в деанонимизации данных редисок)

                                                            +5
                                                            55.7522 37.6156
                                                            Это просто центр Москвы.
                                                            Да и ip-адрес конкретный может быть прокси, зараженным ботом и т.п., т.е. не факт что реальный исходный адрес.
                                                              0
                                                              Верно, жаль, что есть только ip, можно попробовать стукнуть в тп или Дурову, может, поможет отследить сессию
                                                                +1
                                                                B развивая мысль, возник вопрос — а есть где-то архивы выходных нод TORа, так, что бы можно было посмотреть не текущие, а на какую-то дату?
                                                                  0

                                                                  collector.torproject.org


                                                                  CollecTor fetches data from various nodes and services in the public Tor network and makes it available to the world. If you're doing research on the Tor network, or if you're developing an application that uses Tor network data, this is your place to start.… Descriptors are available in two different file formats: recent descriptors that were published in the last 72 hours are available as plain text, and archived descriptors covering over 10 years of Tor network history are available as compressed tarballs… The exit list service TorDNSEL publishes exit lists containing the IP addresses of relays that it found when exiting through them.

                                                                  collector.torproject.org/archive/exit-lists/
                                                                  Начиная с 2010-02, помесячные архивы размером 0.7-1.5 МБ. В архиве по 24 файла за каждый день, колонки: ExitNode, Published, LastStatus, ExitAddress

                                                                +1
                                                                Это NAT, через который наверняка сидят тысячи пользователей.

                                                                inetnum:        83.220.236.0 - 83.220.239.255
                                                                netname:        BEE-MSK-GPRS-FW
                                                                descr:          Beeline-Moscow GPRS Firewall
                                                                country:        RU
                                                                –6
                                                                Всегда интересно было, вот пишут коррупция в МТС(да и в любой другой фирме), а факты где? Или со слов сотрудников, которые якобы что — то где то видели?
                                                                Тогда под этот критерий можно подвести кого угодно.
                                                                А по теме — чего он ожидал?
                                                                Власть решает свои задачи доступными ей методами(инструментами)
                                                                  +3
                                                                  А что вы согласны будете считать фактом? Если кто-то даст показания под присягой, например? Ну тогда можно дожидаться этого долго, по очевидным причинам.
                                                                  Ведь технически, в данном случае речь идет не о коррупции (то есть преступном злоупотреблении своими полномочиями в корыстных интересах, за которое, теоретически, кого-то и могли бы наказать) а о незаконном содействии деятельности спецслужб, превышающих свои полномочия. А чтобы те стали сами же себе вредить и дали бы делу ход — это утопичный вариант развития событий.

                                                                  Так что если предположить, что это действительно правда, никаких веских доказательств, кроме слов пострадавших, все равно не получить.
                                                                    0
                                                                    Зайдите сюда что-ли. Это к вопросу коррупции.
                                                                      0
                                                                      Искатель «фактов» закономерно испарился.
                                                                      +13
                                                                      Суть не в том, что ФСБ читает переписку. Это вроде уже не сюрприз.
                                                                      Суть в том, что ФСБ таким образом, через эти топорные якобы «сливы», приучает нас к мысли о «нормальности» такого порядка вещей, таких методов…
                                                                      Лет через 10 станет априори нормальным то, что, общаясь в сети или по телефону, люди будут «фильтровать базар».
                                                                      А затем, ещё спустя какое-то время, настанет пора, когда люди так же начнут уже «фильтровать мысли», дабы «чего не вышло»…

                                                                      короче, в лучших традициях «1984»
                                                                        +5
                                                                        Хм… «фильтровать базар» в телефонных разговорах я приучился, ещё живя в СССР. И ни разу не жалею. Но до фильтрации мыслей пока, за 30+ лет, дело не дошло )))
                                                                          0
                                                                          СССР существовал до 1991 года. Если вам сейчас 30+? OMG, во сколько вы научились «фильтровать базар» в телефонных разговорах? Скажите, не томите, сколько вам было лет? 7, 9, 11?
                                                                            0
                                                                            30+ это может быть и 45. Человек же научился шифроваться.
                                                                              0
                                                                              Сейчас мне 44 ))
                                                                              И да, примерно лет с 16 я уже старался не обсуждать по телефону вещи, из-за которых потенциально могли возникнуть проблемы. А по молодости — много всяких антиобщественных развлечений было )))
                                                                            0
                                                                            Приучают, ну да. Или просто везде есть свои идиоты. Вот на геликах катались недавно «будущие светила ФСБ».
                                                                            0
                                                                            Сброс аккаунта изначально, вероятно, сделан в телеграме для того, чтобы когда оператор связи удалил номер абонента за неактивность, новый его владелец мог начать пользоваться аккаунтом с чистого листа. Иначе покупаете вы номер телефона у оператора связи, а телеграмом на нем пользоваться не можете, не зная паролей. Вероятно введут хотя бы месячный таймаут на сброс аккаунта, не мгновенно.
                                                                              0
                                                                              Про необходимости задержки для удаления многие пишут. Самое простое решение.
                                                                              А что касается перепродажи номеров, то с большой вероятностью у нового владельца номера и так не будет привязанного аккаунта старого владельца. Аккаунты в ТГ удаляются при неактивности.
                                                                              0
                                                                              Чет я не понял, как теперь войти, если удалены все приложения. Теперь же нужно для входа хоть одно привязанное приложение, я правильно понял?
                                                                                +2
                                                                                Для входа лучше использовать не двухэтапную (пароль+код из SMS), а двухфакторную (пароль+ код из приложения) аутентификацию. Вариант с SMS менее надёжен, поскольку подразумевает использование провайдера (оператора связи), а где-то на этом пути может поджидать злоумышленник (протоколы там местами 40-летней давности и построены на доверии).

                                                                                Хороший разбор отличий двухэтапной аутентификации от двухфакторной. Увы, многие сервисы предлагают лишь двухэтапную, но гордо величают её двухфакторной. Telegram, если не ошибаюсь, умеет оба вида.
                                                                                  +2
                                                                                  Вдогонку — как взломать Telegram и WhatsApp: спецслужбы не нужны. Вывод простой — оператора сотовой связи лучше использовать в качестве интернет-провайдера (что операторам связи, кстати, люто не нравится). Вы, хотя бы, будете уверены, что используется более-менее современно и проверенное шифрование (TLS, Signal и так далее), а не протокол, который позволяет любому влезть, сказать «привет, я такой-то» и вся сеть ему поверит на слово.
                                                                                    0
                                                                                    Судя по некоторым деталям, в той статье не настоящий взлом. Инсценировка скорее всего. В реальности что-то не припомню новостей о вскрытии подобных схем.
                                                                                      0
                                                                                      Наконец-то один адекватный человек кинул эту ссылку, а то сам уже собирался! Спасибо, dartraiden, надеюсь хоть кто-то прочитает. Странно что люди легче верят в «ужасные и всемогущие спецслужбы», чем в дырявый протокол.
                                                                                        0
                                                                                        Люди верят в «ужасные и всемогущие спецслужбы» потому что это было более вероятным в предыдущих подобных случаях.
                                                                                        В статье, ссылку на которую вы так ждали, есть ссылка на источник «дыма».
                                                                                        А именно: http://www.rbc.ru/politics/02/05/2016/57278bc29a7947849edc8a53
                                                                                        В ней есть ссылка на непосредственный пост «жертвы»: https://www.facebook.com/kozlovsky/posts/10208948934790884

                                                                                        И если покопаться ещё глубже, то можно будет найти такую ссылку: http://mts-slil.info/
                                                                                        На этом сайте приведены официальные документы от МТС (ответы на запросы в ТП и детализации действий).

                                                                                        ===
                                                                                        Когда служба безопасности МТС (это сказала 2 линия ТП МТС) отключает услуги по приёму СМС и по передачи данных (интернет), после чего происходит взлом аккаунта телеграмма, после чего все услуги обратно включаются, это вызывает очень большие вопросы.
                                                                                          0
                                                                                          если покопаться в статье глубже, станет понятно, что вы должны быть как минимум с очень уникальным оборудованием.
                                                                                            0

                                                                                            А вы сами статью прочли? Доступ к технологии такого рода взлома куда сложнее, чем посредством смс-ок.

                                                                                            0
                                                                                            Мне кажется, не стоит делать какие-либо выводы на основании поверхностного чтения указанной статьи.

                                                                                            Компания Positive Technologies имеет доступ к внутренней межоператорской сети, к которой не имеет доступ никто, кроме операторов. Можно было бы предположить, что они где-то взломали один из узлов и прокрались туда нелегально, но после их многочисленных публикаций с описанием своих действий внутри сети SS7, в том числе, в сегментах российских операторов, они давно публично задокументировали состав преступлений, описываемых в УК РФ(статья 272), если б их доступ был нелегальным. Поскольку никто за ними не приходит, а публикации продолжаются, следует сделать вывод, что доступ им предоставлен официально либо одним из операторов (например, по договору о проведении аудита безопасности), либо теми самыми российскими спецслужбами.

                                                                                            Таким образом, заголовок статьи, на которую вы ссылаетесь, на самом деле стоит читать как «как взломать Telegram и WhatsApp: нужны либо спецслужбы, либо оператор сотовой связи или его подрядчик».

                                                                                            > " Вы, хотя бы, будете уверены, что используется более-менее современно и проверенное шифрование (TLS, Signal и так далее), а не протокол, который позволяет любому влезть, сказать «привет, я такой-то» и вся сеть ему поверит на слово. "

                                                                                            По аналогии, PT могли бы получить доступ, скажем, к одному из доверенных сертификационных центров и выпускать поддельные сертификаты fb.com. Можно было бы написать статью «как взломать Facebook: спецслужбы не нужны». И никакой «современный TLS» бы не помог, они бы сказали «привет, я такой-то» и вся сеть им бы поверила на слово.
                                                                                            (Примечание: насколько я знаю, PK pinning для fb.com в браузерах ещё нет. Если есть, заменить Facebook на другой сайт, например, Hotmail).

                                                                                            Это не значит, что не надо писать о проблемах протоколов. Но вот именно так, как это сделали PT, мне кажется, делать было некорректно. Возможно, их PR-служба просто перегнула палку, решив попиариться на актуальной теме, намеренно умолчав в самой статье об ограниченном доступе к сети SS7. Нельзя исключить и вариант, что выпуск статьи именно в таком виде, это часть платы спецслужбам РФ за доступ к сети SS7.

                                                                                            Очень «изящно» в статье написано:

                                                                                            " И сейчас все эти атаки становятся доступны не только спецслужбам, но и многим другим. "

                                                                                            А вот в техническом документе, на который ссылается статья, расшифровывается, кто же эти «многие другие»:

                                                                                            " Для доступа к сети SS7 атакующие могут приобрести на черном рынке подключение у существующего оператора, получить разрешение на деятельность в качестве оператора связи в странах с лояльным законодательством в сфере регулирования связи. Если участник хакерской группы работает техническим специалистом в компании — операторе связи, то у него также есть возможность обеспечить подключение своего оборудования к сети SS7. Техническому специалисту для осуществления некоторых атак достаточно воспользоваться легитимным набором функций существующего оборудования сети связи. Остается также и возможность проникнуть в сеть оператора через взломанное пограничное устройство, будь то GGSN или сота Femtocell. "

                                                                                            Все варианты либо фантастические (почему уж сразу не купить какое-нибудь островное государство?), либо одноразовые с последующей охотой на инсайдера, вся информация о котором есть в отделе кадров, либо требуют эксплуатации уязвимости такой важности, что уж тут не до Пархоменко, шутка ли — через фемтосоту, которые в некоторых странах раздают тысячами, можно рулить всемирной межоператорской сетью!
                                                                                          –3
                                                                                          Не понимаю, чего они все ждут — ведь все же есть на руках — детализации счета от МТС, слова операторов, логи телеграма, логи МТС, IP-адреса, давно бы уже накатали заявление и всем на деле показали беспредел в правосудии (если бы их прокатили) либо зарвавшихся ментов (если дело таки довели бы до логического конца). В конце концов, это ведь не шутки — сегодня у тебя СМС уводят, а завтра квартиру перепишут.

                                                                                          А они что? Покричали, сляпали сайтик mts-slil, организовали шумиху в масс-медиа от Навального, Варламова, Дурова, ализара — и на этом все прекратилось, хотя Албуров бил себя пяткой в грудь, обещая разнести МТС в пух и прах в медиа и судах (тем более, что с юридической поддержкой Навального у них бы на подготовку документов ушла бы неделя максимум). Ну и где все это, уже прошло три месяца, почему до сих пор все размахивают скриншотиками и цитатами Дурова, а не сканами томов уголовных дел против МТС (а вместе с ней и ФСБ — это же оно организовало взлом, судя по словам пострадавших)? Ведь нет же ничего этого. И чем больше я на все это смотрю, тем сильнее ощущение, что все это банальный развод с целью испортить имидж МТС и в очередной раз покричать про ФСБ.
                                                                                            +2
                                                                                            давно бы уже накатали заявление и всем на деле показали беспредел в правосудии
                                                                                            А что, есть ещё такие, которые его не видели, и дело о перехваченных SMS вдруг откроет им глаза?
                                                                                              0
                                                                                              Есть один человек, который больше года показывает беспредел во всех государственных институтах РФ, можете ознакомится с результатами на pravovoe.cf. А сейчас это ваши заявления выглядят как требование доказать, что земля не плоская.
                                                                                                0
                                                                                                Первый раз за пределами dirty вижу ссылку на pravovoe.cf, как хостер проекта хочу сказать спасибо за то, что рассказываете о нас.
                                                                                              +1
                                                                                              Так давно уже все это известно :) а в D-Net чуть ли не везде висят предупреждения о том, чтоб не пользовались симками из РФ.

                                                                                              А перехватывают не от злости — телеграм и еще кое-что — самый популярный метод связи на черном рынке
                                                                                                +2
                                                                                                Да тут скоро tls будут перехватывать (а на некоторых провах — уже), а вы о каком-то ненужном телеграме беспокоитесь, где всё было специально завязано на сотовый телефон.
                                                                                                  +5
                                                                                                  А зачем мессенжерам вообще смартфон? С привязкой не только к симке, но и конкретному экземпляру?
                                                                                                    0
                                                                                                    Ну как же, написано же ясно — «из-за высокого уровня безопасности Telegram» он обеспечивает деанонимизацию с момента регистрации и взломать его может каждый кулхацкер бесплатно, без смс.
                                                                                                    0
                                                                                                    Если только СМС то это еще сказка. В Армении оператор Ucom делает еще больше плохих дела.
                                                                                                      0

                                                                                                      Я кстати не понимаю. Если попробовать войти в веб-версию с компа, то иногда коды приходят в сам телеграм на мобильнике, иногда как смс. От чего это зависит и можно ли отключить смс?


                                                                                                      Если Дуров осознает, что смс так просто скомпрометировать, то почему они до сих пор ими пользуются?

                                                                                                        0
                                                                                                        Неужто реально люди такие беседы ведут через СМС?
                                                                                                        Вместо того чтобы просто позвонить друг другу. Или встретиться.
                                                                                                          0
                                                                                                          Мало у кого соображалка в части информационной безопасности хорошо работает. Хотя тех, кто замешан в какой-либо политической деятельности и спокойно общается об этом по каналам вроде мобильных сетей и Skype, я откровенно не понимаю.
                                                                                                            0
                                                                                                            Вместо того чтобы просто позвонить друг другу

                                                                                                            В данном случае голос отличается от СМС разве что худшей индексируемостью и большим объемом хранимой информации…
                                                                                                            0
                                                                                                            Telegram то понятно, а как же SMS банкинг? Это же так могут деньги со счета увести.
                                                                                                              0
                                                                                                              Тех, кто имеет доступ, такие суммы не интересуют.
                                                                                                                0
                                                                                                                По рублю с 1000, а если с миллиона так собрать!
                                                                                                                Кто пойдет из за одного рубля скандалить? Себе дороже оно выйдет.
                                                                                                                0
                                                                                                                Могут. И уводят. Поэтому обычно требуется кроме смс что-то еще. В корпоративной среде обычно токен, для физиков хотя бы пароль. Правила безопасности в банках значительно изменились в последнее время как раз в связи с перехватом СМС, как на уровне оператора, так и вирусом на самартфоне юзверя.
                                                                                                                –3
                                                                                                                У меня нет ни одного PC.

                                                                                                                Вот вам скриншот с PC.

                                                                                                                Камон.
                                                                                                                  +2
                                                                                                                  Возможно Вы не поверите, но многие пользователи продукции Apple, считают что iMac и PC – совершенно разные вещи…
                                                                                                                    0
                                                                                                                    Mac — не PC.
                                                                                                                      0
                                                                                                                      Потому что так Apple говорят, или есть какая-то причина?
                                                                                                                        0
                                                                                                                        Раньше, когда iMac был на платформе PowerPC, причина действительно была, однако сейчас, когда всё делается на одинаковой компонентной базе (благодаря этому и стал возможен Hackintosh, а на iMac-ах появились винды) и различается лишь операционной системой, в качестве реальной причины, можно указать только маркетинг…
                                                                                                                          0
                                                                                                                          Думаю что корни в фразе «IBM PC совместимый», а Макинтош к таковым не относился.
                                                                                                                          0
                                                                                                                          Это потому что он не P или все-таки не C?
                                                                                                                        +1
                                                                                                                        GSM ломается любым школьником на оборудовании за копейки
                                                                                                                        SMS не шифруются.
                                                                                                                        Каналы, которые основаны на SMS скомпрометированы.
                                                                                                                          0
                                                                                                                          Не думаю что это действительно были спецслужбы – слишком топорная, грубая и бессмысленная работа…

                                                                                                                          Если это действительно сделали спецслужбы, то становится крайне обидно, что просрали страну настолько, что работа спецслужб выглядит, скорее, как дешевая провокация…
                                                                                                                            0
                                                                                                                            «посыпались один за другим коды для доступа к аккаунту»
                                                                                                                            Мне кажется это свидетельствует о банальном подборе кода для сброса аккаунта.
                                                                                                                              0
                                                                                                                              Да тот же Носик писал, что следует привязывать ТГ к номеру на левой симке, которую никто не знает и которая на тебя не зарегистрирована. Тогда злоумышленники не смогут вычислить номер и провести взлом.
                                                                                                                                +1
                                                                                                                                А потом следить за той симкой из нетрадиционных мест. Ибо через три месяца неактивности она начинает портиться.

                                                                                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                                              Самое читаемое