Как Telegram сливает вас Ростелекому

Привет, Хабр. Однажды мы сидели, занимались своими очень продуктивными делами, как ВНЕЗАПНО выясняется тот факт, что по какой-то неведомой причине к инфраструктуре Telegram в качестве пира подключены как минимум замечательный Ростелеком и не менее прекрасный НТЦ «ФИОРД».

image
Список пиров Telegram Messenger LLP, можете убедиться сами

Как же так вышло? Мы решили поинтересоваться у Павла Дурова, через его же Telegram-аккаунт.
Что из этого вышло? Не то, чего мы ожидали от одного из создателей «самого безопасного мессенджера».

12 июня 2019 года мы решили написать Павлу Дурову на его аккаунт в Telegram, привязанный на номер, легитимность которого доказывается без каких либо проблем сразу несколькими способами. Тут мы опишем самый элегантный – номер, что к нему привязан, привязан и к id1 в социальной сети ВКонтакте. Почтовый ящик на данном аккаунте, кстати, находится на домене telegram.org. Думаю, сомнений не остается.

image

Восстанавливаем страницу, и видим, что номер привязан к id1

image

Идем дальше. Тут видно более интересный факт — почта на домене telegram.org. Сомнений, что номер настоящий, не остается

Сам номер: +44 7408 ****00 (звёздочки поставил модератор)

Писали мы с конкретной целью:

Выяснить, как же так вышло, что данные российские конторы являются пирами Telegram, а также чтобы понять, не вредит ли это безопасности инфраструктуры мессенджера. Понятный и адекватный вопрос, на который без труда можно было ответить, если бы не было чего скрывать. Правда?

Скриншот сообщения в переписке с Дуровым
image

После прочтения сообщения Дуровым (если честно, то мы думали, что он просто нас игнорирует, только вот все было не так радужно), началось то, чего мы даже не ожидали.

Он начал вскрывать аккаунт того человека, что ему написал, удаляя сообщения от Telegram с кодами подтверждения через секунду.

Позднее выяснилось, что переписки на данном аккаунте были чудесным образом удалены.

Самое интересное, что одно из сообщений о доступе сохранилось, и его я без зазрения совести предоставляю вам:
You have successfully logged in on desk.telegram.space via +42777. The website received your name, username and profile picture.

Browser: Chrome on Windows
IP: 149.154.167.78 (Netherlands)

You can press 'Disconnect' to disconnect desk.telegram.space
Whois 149.154.167.0
image

Пара слов о telegram.space
Замечу, что “telegram.space”, насколько мне известно, не светился на публике. Если вы зайдете, вы поймете, что это зеркало основного сайта Telegram, которое светит на другой IP.

А теперь несколько вопросов:

  1. Почему к инфраструктуре Telegram напрямую подключен государственный провайдер Ростелеком?
  2. Почему Павел Дуров начал этот цирк после прочтения сообщения, если ему действительно нечего скрывать?
  3. Как мы можем доверять мессенджеру, в котором администратор сам проникает в ваш аккаунт после неудобного вопроса, используя свои инструменты администратора?

Вам решать, пользоваться ли данным мессенджером после всего этого.

Но, как мне кажется, есть то, что точно стоит сделать – попробовать добиться ответа от Дурова.

Если государственный провайдер имеет доступ к данным на серверах Telegram, все слова Дурова о безопасности мессенджера – ложь, которой он прикрывал утечку информации прямо у вас на глазах.

Откуда нам знать, что у государства действительно нет ключей для сообщений, что хранятся на серверах? После того, что произошло, никто из нас в этом не уверен.

Комментарий от админа Хабра


Насколько известно, сеть Интернет состоит из Автономных Систем (AS) — это изолированные сети, имеющие на своих границах пограничное оборудование, в состав которого входит гора всякого недешёвого железа, включая маршрутизаторы, межсетевые экраны и прочее. Любая AS может организовать стык с целью пропуска трафика с иной AS как напрямую, так и через так называемые точки обмена трафика (IXP). Если прямые стыки можно как-то выбирать и контролировать, то соседство по IXP зачастую слабо контролируемо (некоторые операторы пропускают транзитом трафик из IXP).

Технически, стык с каждым соседом в IXP выглядит как прямой стык, это может порождать интересные спецэффекты. Например, AS Хабра имеет два прямых соединения с провайдерами (апстримами) и участвует в двух IXP, однако, здесь мы видим пять пиров (соседей), хотя должно быть всего две записи (апстримы). Отдельно надо осознавать, что трафик идёт по административно кратчайшему пути и как он идёт в данный момент — надо смотреть в тот самый момент. То, что у AS есть пиринг с логически ближайшим транзитным соседом к иной AS, не значит, что трафик пойдёт через данную транзитную AS, в этом можно убедиться, внимательно изучив скандал МРГ с Билайном. Но даже если трафик идёт напрямую, это внешний трафик AS. При этом надо быть готовым к тому, что кто-то (NSA/Китай/russian silovik) потенциально имеют возможность в нём покопошиться.

Что касается Telegram. Для начала, у TG зарегистрировано четыре AS с различными номерами. Одна ничего не анонсирует, три остальных имеют соседства, две пирятся на удалённых IXP (раз, два), а одна пирится на трёх IXP, включая две российские Data IX и Global-IX (ссылка). Немудрено, что в этих IXP участвуют и РТ и прочий российский телеком. Если пропуск трафика через «вражеские сети» есть проблема безопасности для TG, то тут уже не важно, пирится ли TG с ними напрямую или нет.

В качестве вердикта: в целом всё выглядит вполне естественно и прямой проблемы безопасности тут нет. Шпионскую историю про удаление переписки прокомментировать не можем.
Поделиться публикацией

Похожие публикации

Комментарии 118

    +27

    Пруфы взлома, конечно, железобетонные.

      +21
      «Если коробка квадратная, значит внутри круглое, если круглое — значит, дуров виноват».
        –6
        естественно, а вы 24/7 записываете свой экран, ожидая того, что Дуров вам что-то сделает?
        Вот и мы нет, но к сожалению все было так, как было.
          +6
          К сожалению, аргументы «у меня нет ничего, что могло бы доказать мою правоту, но вы мне верьте» плохо работают в сообществе более-менее критически мыслящих людей.

          Поэтому нет, я вам не верю.
            0

            Вообще, лично я подумываю накатать скрипт-обёртку для ffmpeg, который записывал бы экран 24/7 (с автоматическим удалением старых ненужных записей). Чтоб редкие баги ловить, например

          –8
          Никогда не было сомнений, что телега более связана со структурами чем другие мессенджеры, хотя бы по причине пиара самими же структурами.
            0
            Ваш комментарий прекрасен.
            0
            Увлекательная история, даже если придуманная. Любопытна схема раскрытия связи учётки в ВК с учеткой в ТГ — откуда взяты первичные данные?
              0
              Это, как бэ, common knowledge. Только у ленивого не было хендла Павла.
                +3
                Я очень ленив, вероятно. У меня нет никаких сведений о Дурове кроме того что он, вероятно, существует и его зовут Павел.
                  0
                  Личный номер Дурова, на который зарегистрированы его учётки в соцсетях — это общие знания?
                    +1

                    Да, именно это я и написал в своем сообщение. Про интим фотки Дженнифер Лоуренс, наверное, тоже не слышали? Добро пожаловать в интернет.

                +21

                Английский плакать язык.


                "Is this can't harm", "can you" вместо "could you please"...

                  0
                  А можт can you please и could you?
                    +4
                    Можно и так и так. Можно вообще Would you be so kind as to. Но не так, как в оригинале.
                    Примерный перевод звучит как
                    Dear Mr. Durov,
                    Would you kindly explain why your network has Russian peers (such as Rostelecom, Fiord, etc)?
                    Could this compromise your network?

                    Но, судя по объяснению администрации ТМ, проблема не только с английским.
                      0
                      Но, судя по объяснению администрации ТМ, проблема не только с английским.

                      Это точно.
                      Извиняюсь, если кого задел, однако же, стриггерился на «could you please» – учили, что это могут воспринять, как сарказм, и что, мол, клиента принимают за твердолобого.
                      P.S. «Would you be so kind as to» – благодарю за напоминание, и вправду отличный вариант.
                        0
                        Это чисто контекстуальный момент.
                        В русском фраза «не могли бы вы» тоже может в некоторых случаях звучать саркастически.
                        0
                        Would you kindly

                        Заголовок спойлера
                          0
                          мне тоже Биошок вспомнился
                    +7

                    Кто вы? Делая такие заявления, назовите свое имя, раз уж вы пишите такое рядом с именем другого человека. Вам очевидно нечего бояться, anyway

                      +9
                      по приглашению НЛО

                      Админы Хабра набрасывают )

                        +4
                        по приглашению НЛО

                        Такая надпись появляется у всех тех, кто пришёл через песочницу (за исключением тех редких случаев, когда инвайт за песочный пост дал кто-то из Хабрапользователей) :)
                          +4

                          Надо было придумать историю с чёрными вертолётами, чтобы интереснее было. А то взял и разрушил интригу, негодяй.

                        +11
                        Статья выглядит, кхм, слегка неубедительно. Достоверность, на мой взгляд, тоже сомнительная. Хотя бы описанный цирк.
                          –3
                          Ну дело Розенберга тоже выглядит как цирк, однако всё же он предоставил много пруфов реальности этого цирка. Тут хоть пруфов и не наблюдается, но тем не менее учитывая эпатажность Дурова — всё может быть.
                            +4
                            Ну да, может у него от проясняющего голову голодания крыша немного съехала.
                          +1
                          Все хотят пириться с операторами, владеющими большим количеством IP.
                            +2
                            А номер телефона откуда взят?
                              +2
                              И почта — вот главные вопросы к товарищу майору.
                                0
                                Я вот нагуглил этот номер, он проскакивал в какой то конфочке телеги, от какого то не понятного пользователя. Такая себе легитимность.
                                –21
                                Все равно ни один из тех хомячков, что топили тут за безопасность телеги от него не откажутся.
                                  –8
                                  От фейсбука же не отказались, клоуны.
                                    +1

                                    Конечно не откажусь. ТГ пока что остается одним из наиболее удобных месседжеров на мобильных устройствах, если не самым удобным. Для безопасности есть чаты с E2E-шифрованием.

                                      –3

                                      Conversations норм, есть OMEMO без дуровских олимпиадников и закрытых серверов. Удобство телеги кончилось на запросе телефонного номера.

                                        +1
                                        Conversations смахивается легким движением женского пальчика — и всё. Абонент оффлайн.
                                        Или просто умрет по OOM.
                                        И ты об этом никак не узнаешь, пока не перезапустишь. Потому что пушей в XMPP нету. Когда нужна надежная, конфиденциальная, оперативная mobile-first связь, Conversations тихонько плачет в сторонке.

                                        Я уж молчу, что год назад он всё ещё не умел инлайнить картинки, в то время как в телеге это было из коробки пять (!) лет назад.

                                        Это всё — удобство?
                                          0

                                          Я его сейчас попытался у себя смахнуть — он не смахивается и возвращается на место, продолжая держать соединение и болтаться в области уведомлений. Что я делаю не так?


                                          И пуши в XMPP давным-давно есть. И версия Conversations из Google Play их умеет.

                                            0
                                            Год назад не умела и прекрасно смахивалась, когда вся эта свистопляска с блокировками началась. Мы оценивали альтернативы и стоимость их поддержки для крупного комьюнити, и в итоге решили, что поддержка прокси — дешевле, чем пересаживать толпу народу на Conversations, объяснять как ставить плагин шаринга локации и войсов, и вообще страдать из-за отсутствия feature parity у альтернатив.
                                              0

                                              У меня и два года назад не смахивалась, я пробовал.


                                              А вообще расскажите о своём опыте где-нибудь здесь, а то там автор слишком фанатик)

                                                +2
                                                Смысла не вижу. Автор — фанатик, а мне — ехать а не шашечки.
                                                  –2

                                                  В исходном комментарии речь шла о безопасности. Собственный сервер и OMEMO дают такую безопасность, которая никаким телеграмам и не снилась.


                                                  Не теряйте контекст.


                                                  Не всем, кстати, нужен инлайнинг картинок (обожаю, когда nsfw инлайнится на работе, ага) или что угодно, связанное с голосом (XSF дал им прекрасный текстовый протокол — не хочу, хочу вторгаться в чужое пространство).

                                                    0

                                                    Да нифига он не прекрасный, за двадцать лет оброс кучей костылей (которые уклончиво называют расширениями), некоторые вещи чрезмерно переусложнены, некоторые наоборот слишком упрощены. А необязательность расширений приводит к тотальному бардаку в реализациях и слабой их совместимости друг с другом.

                                                      0

                                                      Я к нему писал клиент (и продолжаю его поддерживать), так что да, я прекрасно знаком со всеми костылями и всей кривизной.


                                                      Но все остальные известные мне протоколы по совокупности ещё хуже.

                                                        0

                                                        Это да. При всей моей нелюбви к XMPP тоже держу личный XMPP-сервер и пользую OMEMO, потому что ничего лучше так и не придумали

                                    +20
                                    Однажды мы сидели занимались своими очень продуктивными делами

                                    Не совсем понятно, кто «мы»? Специалисты по информационной безопасности? Операторы? Анонимусы с двача?
                                      –2
                                      Возможно они подразумевают, что искали номер и email Дурова.
                                      +19
                                      У нас пол страны пирятся с ростелекомом напрямую, потому что Ростелек, как ни крути, крупнейший магистрал в РФ(ато и в СНГ) — логично иметь с ним стык, если есть клиенты в РФ.
                                      Ну а остальное — про взлом, номер, и т.д. — выглядит довольно странно.
                                        +25
                                        Логика«разоблачения» критически ниже уровня адекватности и технической грамотности пользователей ресурса, на котором оно опубликовано. Да ещё и автор, который зарегистрировался пару дней назад и статей у него нет…
                                        Комментарий администрации Хабра первый раз вижу в посте, но очень в тему! Спасибо администрации.
                                          –5
                                          А может это не автор зарегистрировался пару дней назад, может автор зарегистрировал очередной аккаунт пару дней назад? С учетом того что автор может постоянно писать статьи и комментарии определенного содержания, которые некие хабровчане определенного склада ума, совести и убеждений постоянно минусуют, то это как бы нормально.
                                            +6
                                            а может это не комментарий админа хабра, а автор так оформил статью, чтобы в будущем под новыми аккаунтами добавлять такой раздел в статьи, и все им верили? о_О
                                              +10
                                              Мы следим за этим :)
                                            +2
                                            Очень возможно, что статью пропустили тут потому, что иначе начались бы обвинения в «замалчивании важной информации» и «потокательстве». То есть примерно те же причины, почему авторитетный The lancet когда-то вынуждены были опубликовать не выдерживающее никакой критики письмо Пуштаи. Потому что отреагировать как было бы разумно (игнором) было бы не разумно в перспективе.
                                            0
                                            Больше похоже на «они следят только за теми, у кого паранойя» :))
                                              +6
                                              не вредит ли это безопасности инфраструктуры мессенджера

                                              А как стык с провайдером, пусть даже «вражеским» может вредить инфраструктуре мессенджера?

                                              Он начал вскрывать аккаунт того человека, что ему написал, удаляя сообщения от Telegram с кодами подтверждения через секунду.

                                              Как-то странно выглядит административный доступ к учётке.
                                                +6
                                                После прочтения сообщения Дуровым (если честно, то мы думали, что он просто нас игнорирует, только вот все было не так радужно), началось то, чего мы даже не ожидали.

                                                Он начал

                                                «После того» не означает «вследствие того». Особенно на фоне того, что ответ на заданный вами ему вопрос очень простой — «никак не вредит».

                                                Отдельный минус — кликбейтный заголовок. В статье никак не объясняется, где же этот самый обещанный «слив нас Ростелекому». Тут же всё-таки Хабр а не, прости господи, Аккет.
                                                  +6
                                                  Друг переименовывает себя в Pavel Durov, загружает нужное фото = profit, теперь можно делать заявления, что Павел такой плохой… и он всех обманывает и т.д.
                                                  Бред.
                                                    +4
                                                    А чего вы ждали, первым начав попытки сброса паролей в VK? Да, Вам прилетела ответка в виде мелкого троллинга. Ведь никто и ничего не пострадало?
                                                      –5
                                                      Если вы считаете админ-произвол с доступом к персональным данным клиента «мелким троллингом», то вы явно не понимаете, что такое репутация бизнеса.
                                                        +3
                                                        Почему Вы и автор поста утверждаете о доступе к сообщениям аккаунта?

                                                        Удаление сообщений можно было выполнить без прочтения (да, через базу), а сообщение о входе специально подделано.

                                                        У меня же точка зрения такова — автор придумал всю эту историю. Доказательств то нет.
                                                          –3
                                                          Я утверждаю, что доступ к сообщениям — не мелкий троллинг. Я не утверждаю, что он был, я лишь отвечаю вам на ваше высказывание о приемлемости таких шалостей. Согласен с вами, что пруфов реальности этой истории — нет.
                                                            +2
                                                            ваше высказывание о приемлемости таких шалостей

                                                            Давайте называть вещи своими именами — высказывание своего видения ситуации.
                                                            –1
                                                            Простите, а как же telegram.space?
                                                            На секундочку:
                                                            1)Этот домен нигде ранее не светился
                                                            2)Он не заблокирован в РФ
                                                            Я не хочу ничего лишнего говорить, но уже тот факт, что он банально всплывает в каком-то «левом» посте про то, как кого-то ломали… Ну такое себе получается на самом деле.
                                                              +1
                                                              $ http desk.telegram.space
                                                              HTTP/1.1 301 Moved Permanently
                                                              Connection: keep-alive
                                                              Content-Length: 185
                                                              Content-Type: text/html
                                                              Date: Fri, 21 Jun 2019 08:04:59 GMT
                                                              Location: https://telegram.space/
                                                              Server: nginx/1.12.2


                                                              Т.е. не вижу подтверждений, и еще — telegram.space есть в индексе, значит уже засветили.

                                                              Имхо выглядело более правдоподобно, если бы «вход» был с IP Telegram, на котором и веба то нет.


                                                          0
                                                          При сбросе по номеру, когда показывается «это вы?» и аватарка — еще не отправляется код. Но данный способ верификации сомнительный, можно и другой аккаунт на этот номер зарегать с такой же аватаркой. Там данных теперь при восстановлении показывается — кот наплакал.
                                                            0

                                                            В принципе, можно попробовать по ссылке на аватарку проверить, тот ли это пользователь — если тот, то ссылки у пользователя и у страницы восстановления совпадут (но не факт, что автор этим заморачивался)

                                                          +6
                                                          Из статьи так и не понял, как телеграм сливает меня ростелекому
                                                            +24
                                                            TL;DR:
                                                            Изучив большое количество логов и проведя короткое расследование, мы наконец-то поняли, как Телеграмм сливает:
                                                            хз.
                                                              +2
                                                              Позволяет TCP-пакетам уходить клиентам Ростелекома, очевидно.
                                                              +3
                                                              Ваша правда или нет не имеет никакого значения. Если вы до этого верили про самый безопасный, то тут лишь ваша ошибка.
                                                              P.S. Не может безопасность и анонимность, в наше время, быть столь удобной и простой, да ещё и бесплатной.
                                                                0
                                                                Теоретически оно может быть бесплатным какое-то время для захвата рынка. Например возможно что Дуров собирается как-то монетизировать телеграмм за счет вводимой валюты (правда я лично понятия не имею как это должно работать). Либо начать продавать какие-то данные в какой-то момент. То что сейчас удобно и безопасно (если это так), то это совсем не значит что прямо сейчас кому-то что-то в тайне от нас продают. Обратного естественно это тоже не значит, я скорее о том что ваши выводы не совсем обоснованны, а не о том что они неверны.
                                                                  +2
                                                                  Ну вы верно подметили «бесплатным какое-то время» и удобным. Далее встаёт проблема что ваша безопасность и анонимность стоит денег(серверные мощности и список прокси как я понимаю). И вот тут я считаю что пока единственный выход для монетизации светить данные о вас в максимально обезличенной форме по которым правда возможна ваша идентификация. Анализ переписки я думаю все же ведётся но не форме полной засветки, а по категории интересов и геолокации этих интересов.
                                                                +3
                                                                А какая вообще может быть безопасность в мессенджере где уже на входе требуют номер телефона? А касательно телеграма я давно сделал определённые выводы. Я считаю что все популярные мессенджеры так или иначе под колпаком у каких либо спецслужб, и прочих заинтересованных лиц. А если кто то хочет реальной безопасности, то есть такие вещи как Jabber + OTR, Tox, Ricochet и т.п., они как минимум имеют открытый исходный код. А ещё лучше, вообще не использовать для таких задач общедоступные компьютерные сети, а если и использовать то делать это как можно более нестандартно.

                                                                К автору статьи тоже есть определённые претензии, когда его «взламывал» Дуров (если таковой факт имел место) почему он не наделал скриншотов, тексты и я могу сочинить какие угодно, и IP какой угодно в них дописать (хотя скрины тоже можно подделать конечно, но несколько сложнее). Да и сам он какой то скажем так мутный, зарегистрировался и сразу накатал провокационную статью, возможно и правда чей то троллинг, ибо не очень я верю что если то о чём пишет действительно имеет место быть, оно будет так легко палиться (хотя, как говорится, миром правит не тайная ложа, а явная лажа).
                                                                  0
                                                                  А какая вообще может быть безопасность в мессенджере где уже на входе требуют номер телефона?
                                                                  А каким образом это влияет на безопасность? С двухфакторной авторизацией даже перехват SMS не страшен.
                                                                    +1
                                                                    А каким образом это влияет на безопасность?

                                                                    Приватность — не часть безопасности? Требуя привязки к номеру — поставщик услуги получает привязку реальной информации о клиенте.
                                                                      0
                                                                      С каких пор телефонный номер стал реальной информацией о клиенте?
                                                                      Любой желающий не светить свою информацию может купить себе симку даже не вставая из-за компа и уж точно без паспорта.
                                                                      Хотя я согласен, всё должно быть опционально.
                                                                      +1
                                                                      Можно по подробнее. Перехват смс вроде как как раз таки проблема?
                                                                        +1
                                                                        При включённой двухфакторной авторизации кроме кода из SMS требуется пароль, хранящийся в голове владельца.
                                                                          +1
                                                                          Процесс восстановления пароля через смс?
                                                                            0
                                                                            Нет, через почту. Причём, если в этот момент есть активные сессии с другого устройства, то надо ввести код, который приходит через Telegram на это самое другое устройство.

                                                                            Т.е., если товарищ майор захочет почитать мою переписку, ему понадобится сперва получить доступ к клиенту, установленному на одном из моих устройств, а потом ещё и физически выбить из меня пароль (либо взломать почту).
                                                                              0
                                                                              Идею понял, то есть желательно не светить почтовый ящик рядом с телефоном, да бы нельзя было случайно нарваться на засветку сразу 2х каналов(учитывая периодические сливы баз почтовиков).
                                                                              0
                                                                              Ну это уже плохо сделанная двухфакторка. Должны быть разные каналы.
                                                                              0
                                                                              Так смс-то как раз и созданы для того, чтоб даже зная пароль злоумышленники не воспользовались вашим аккаунтом… Понятно, что возрастает надежность и нужно уже по двум векторам ломать, но утверждать, что перехват смс не страшен?
                                                                                +1
                                                                                В традиционных сервисах у вас изначально есть пароль, а второй фактор — код из SMS (не очень хорошо)/пароли из OTP-приложения и т.д.

                                                                                В Telegram, в силу его привязки к номеру телефона, у вас изначально есть SMS-код, который вы усиливаете (по желанию) паролем. Причём, если вы уже на одном из устройств с этого аккаунта залогинены в Telegram, то SMS-код у вас вообще не спросят, а пришлют код через Telegram (в этом случае, злоумышленник не имеет никакой возможности прочитать вашу переписку, перехватывая SMS).
                                                                            –4
                                                                            В случае с tg даже при наличии двухфакторной авторизации можно было получить контроль над чужим аккаунтом если перехватить sms. Справедливости ради контакты и история удалялись (хотя я хз как там облачная история работает, может ее можно было вернуть). И вроде Дуров за ошибк это не считает.
                                                                              0
                                                                              Историю вернуть невозможно. Но атакующего в большинстве случаев интересует именно переписка, а не отжать голый аккаунт (настоящий владелец, обнаружив, что его симку перевыпустили и отдали злоумышленнику, пойдёт разбираться и вернёт себе контроль).

                                                                              И вроде Дуров за ошибк это не считает.
                                                                              Логично, это вытекает из привязки к номеру телефона. В противном случае, например, при покупке сим-карты и попытке зарегистрироваться с её помощью в Telegram, вы могли обнаружить, что этот номер уже использовался в Telegram (этим номером до вас кто-то владел) и у вас не было бы возможности свой свежекупленный номер использовать (что-то подобное происходит в случаях, когда вы покупаете симку и вам начинают названивать коллекторы в поисках предыдущего владельца, делая затруднительным пользование этим номером).
                                                                                –1
                                                                                Атакующего может интересовать возможность кому-то что-то отправить от чьего-то лица.
                                                                                  0
                                                                                  Атакующему придётся выждать неделю между удалением аккаунта и регистрацией нового на этот номер. За эту неделю настоящий владелец имеет возможность увидеть и отменить запрос на удаление аккаунта.
                                                                                    –1
                                                                                    Не каждое дело — срочное.
                                                                                      +1
                                                                                      Ну, если пользователь видит, что его аккаунт собираются удалить и забивает на это аж целую неделю, то ССЗБ.

                                                                                      Ещё можно обнаружить, что сим-карта в телефоне работать перестала (злоумышленник подделал доверенность и перевыпустил её) и забить — ну привязан к ней онлайн-банк, подумаешь…

                                                                                      Вообще, проблема решается просто: при сбросе аккаунта нужно отправлять всем, у кого с этим аккаунтом есть переписка, сообщение «собеседник сбросил аккаунт», чтобы люди знали об этом факте (не знаю, делает ли так Telegram) и держали в уме вероятность, что сегодня «на том конце» уже не тот, кто был вчера.
                                                                                        0
                                                                                        Пользователь может быть по разным причинам уже не в состоянии проконтролировать или сообщить о несанкционированном доступе к его учетной записи своим доверенным лицам.
                                                                                          0
                                                                                          Так ему не нужно ничего сообщать: он просто в любой момент в течение недели нажимает в клиенте «отменить удаление аккаунта» и злоумышленник обламывается.

                                                                                          Всегда можно придумать частный случай «пользователь запускает клиент раз в 2 месяца, при этом он одновременно умудряется быть интересной целью, чтобы от его имени кого-то развести», но идеальной защиты не бывает.

                                                                                          В конце-концов это вообще без Telegram можно провернуть. Перевыпускаем симку и отправляем банальное SMS приятелю жертвы «Коля, не могу говорить, срочно нужны деньги вот на эти реквизиты, подробности потом». А Коля сочёт SMS с этого номера доверенным. Сейчас уже все наслышаны о разводе, когда такие SMS шлют с незнакомых номеров, а вот когда оно приходит со знакомого номера… представьте, что вы такое получаете с номера члена семьи — тут и повестись недолго.
                                                                                            –1
                                                                                            Так ему не нужно ничего сообщать: он просто в любой момент в течение недели нажимает в клиенте «отменить удаление аккаунта» и злоумышленник обламывается.

                                                                                            Узко мыслите, клиент вообще может быть выведен тем или иным способом за скобки — это уже не его проблема, это уже проблема его доверенных лиц, которые получат якобы от него какие-то сообщения, ответы на которые могут им очень дорого стоить.
                                                                                          0
                                                                                          У меня как-то раз увели акк (другого сервиса), там тоже была ссылка «это не я» со сроком примерно в неделю. Проблема была в том, что я месяц был без интернета и не мог нигде ничего нажимать.
                                                                                      0
                                                                                      тогда проще зарегать аккаунт на номер от сервиса бесплатного приема смс. (я так делал, это работает, проблема только по перебирать номера и найти тот который ни кто еще не успел использовать)
                                                                                        –1
                                                                                        Как это поможет прикинуться каким-то конкретным номером телефона, сообщения с которого некий контакт считает доверенными?
                                                                                +1
                                                                                Безотносительно темы обсуждения, заинтересовала игра слов здесь:
                                                                                А касательно телеграма я давно сделал определённые выводы.
                                                                                и по вашей ссылке:
                                                                                В данном посте я не собираюсь делать какие то выводы и строить какие то конспирологические теории, каждый сделает выводы для себя сам, я же буду оперировать лишь голыми фактами.
                                                                                  +1
                                                                                  Не вижу противоречия. Высказывания вполне валидны.
                                                                                    0
                                                                                    Ну для себя лично выводы я сделал.
                                                                                    А в статье выводов нет, там только данные на основе которых я сделал свои выводы. А вы можете сами сделать свои выводы на основе этих данных, либо отписаться в комментариях если с чем то не согласны.
                                                                                    +1
                                                                                    они как минимум имеют открытый исходный код

                                                                                    У клиентов Telegram тоже открытый исходный код, и этого более чем достаточно, так как каждый может проверить реализацию end-to-end шифрования и по желанию собрать клиент из исходиков самостоятельно


                                                                                    (Впрочем, обычные чаты всё равно незашифрованы, и это уже фатальный недостаток Telegram)

                                                                                    +13

                                                                                    Судя по списку пиров, телеграм сливает вас, судя по вашей же логике, еще ста пяти организациям, включая итальянский телеком и прочим ангольским товарищам, чего уж мелочиться, если начали. Попытка сброса пароля чужого аккаунта доставляет, как и доказптельства описанного взлома. Извините, но нет...

                                                                                      +5
                                                                                      включая итальянский телеком и прочим ангольским товарищам

                                                                                      Меня вот колумбийские товарищи больше беспокоят.
                                                                                      +3
                                                                                      Интересно, сколько такого рода сообщений в день поступает Дурову.
                                                                                        +1
                                                                                        особенно после этой статьи :)
                                                                                        +1

                                                                                        Какой-то адский ад. РТК в пирах приравнивается к сливу, бредовые рассуждения про "административные инструменты" для "взлома", и не менее бредовые "пруфы" при том что при полном доступе к серверам (который у Дурова несомненно при необходимости есть) чтобы что-то там потереть или перехватить (кроме e2e чатов) вообще почти ничего делать не надо.


                                                                                        Какой-то третьесортный вброс. Как это оказалось в моём уютненьком? Загадка.

                                                                                          +7
                                                                                          Спасибо администрации за комментарий прямо в пост)
                                                                                            +3
                                                                                            Тоже мне новость! Всем же известно, что телеграм — проект фсб, а Дуров — полковник фсб на задании.

                                                                                            Ps школьникам во время каникул лучше подтянуть английский (‘is this can’t’), а не разоблачать телеграм
                                                                                              –7
                                                                                              Хорошо говорить о школьниках, плохо наблюдать средний ужасный уровень английского в среде IT-специалистов во время вопросов англоязычным докладчикам на конференциях.
                                                                                                +3
                                                                                                Там еще «network have» в первом предложении. Складывается ощущение, что это очень неумелая попытка вброса.
                                                                                                  0
                                                                                                  Да мне лень было все их ошибки перечислять. Вопиющую только указал
                                                                                                    0
                                                                                                    Ох, прошу прощения за двусмысленность. Под «попыткой вброса» я имел в виду саму статью, а не ваш комментарий.
                                                                                                  0
                                                                                                  Или научиться пользоваться Google Translate. Он конечно коряво переводит, но качество всё равно будет существенно выше, чем в приведённом в статье сообщении.
                                                                                                  0
                                                                                                  Чем ближе граммы, тем больше подобных статей.
                                                                                                    +6
                                                                                                    Шутки про «Жаров перелогинься» были?
                                                                                                      0
                                                                                                      Вопросы безопасности Telegram
                                                                                                      Telegram, MTProto 2.0, и все-все-все


                                                                                                      www.atraining.ru/telegram-mtproto-2-0-security-questions
                                                                                                        –7
                                                                                                        Ох и дурачки же, это очередной хайп телеги, ну не может уже привлечь внимание, что у дурова осталось, крипту свою выпустить и медленно умирать, ожидая перевод ботов и каналов в вацап?
                                                                                                          0
                                                                                                          А с чего ему умирать то? Инвесторы денег принесли лет на несколько вперед.
                                                                                                          И, АФАИК, в вацапе ботов нету. Потому что API нету для этого. Да и вообще там все очень грустно с интеграциями.
                                                                                                          –2
                                                                                                          Да сейчас все везде сливают. Пароли менять не успеваю.
                                                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                              0
                                                                                                              Если хочешь, чтобы твой трафик перестали сливать, то выдерни сетевой кабель и переведи все устройства в автономный режим. В противном случае провайдеры будут обмениваться между собой твоим трафиком, сливая его налево и направо. С подключением к Интернету!

                                                                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                              Самое читаемое