Этот город убийц, город шлюх и воров,
Существует покуда мы верим в него.
А откроем глаза — и его уже нет
И мы снова стоим у начала веков.
… Матерь богов
В данной статье читателю не будут навязываться постулаты об экосистеме Telegram, или обсуждение индивидуальных качеств хозяина мессенджера. Распишу пункты темно-серой зоны Telegram по своему опыту:
- свободный Dark Traffic Telegram (DTT);
- открытое пиратство;
- удручающая bug «bounty».
О своём опыте вы можете поделиться в комментариях к статье.
Свободный DTT
В прошлом 2019 году, когда разработчики мессенджера Telegram ввели новую функцию: гео-чаты (кстати, которую легко подделать при помощи Fake Traveler). Вот в то самое время барыги оживились и повылазили из темных глубин интернета. ИМХО, подпортили репутацию самого мессенджера: повсюду создали наркогеографию.
Несколько дней назад я отправил десятки репортов/жалоб команде Telegram на такие сообщества, а также пожаловался волонтерам ТП в ожидании «расстрела», но расстрела не последовало, никто не удосужился «перезарядить винтовку», уничтожить подобные канал-чаты, никакой наглядной реакции (как обычно) со стороны правительственных сил Telegram-Dubai не последовало.
Этот скрин и процитированный отрывок выше из моих черновиков 2019 года.
Со времен видимой и невидимой борьбы прошло ни много ни мало времени —1.5 года. Сейчас на носу 2021 новый год. Давайте посмотрим, как модераторы Telegram в режиме God 'mode провели свой «блицкриг»: сократительный огонь по беззаконникам.
Если в поиске Telegram ввести название города, то как и раньше в результатах вы получите, в том числе, чаты/каналы с предложением незаконных товаров и услуг, часто которые встречаются в даркнете, потому что в цивилизованном web обычно таких паразитов вылавливают или банят, но только не в Telegram.
Декабрь 2020 года
Подобная политика Telegram распространяется не только на "урожай дьявола", но и на другие незаконные и сомнительные услуги:
проституция
пробив
перепродажа персональных данных
фальшивки
доки
киберпреступления
оружие
убийства
UPD: В комментариях сообщают, спасибо Flashget, проблема DTT охватывает не только СНГ.
«Благодаря Telegram каждый смартфон становится даркнетом.»
… Цитата из источника выше
Открытое пиратство
В каналах и ботах Telegram можно бесплатно скачать музыку, фильмы, нелицензионный софт, аудио/книги на которые правообладатели не давали свое разрешение на «подобное» использование и распространение.
Позавчера Еврокомиссия опубликовала документ: "Список наблюдения за контрафактной продукцией и пиратством", в котором имеются претензии и к Tg.
Из самого отчета, перевод/цитата.
А) «Telegram утверждает, что они не терпят никакого вредоносного контента на своей платформе и удаляют в течение 24 часов, когда об этом сообщает Autorità per le Garanzie nelle Comunicazioni AGCOM или заинтересованные стороны по электронной почте».
Б) «Telegram также указал, что их усилия по борьбе с вредоносным контентом на своей платформе были очень успешными в других областях».
Правда? ИМХО, это евросказки про «кружева с лапшой».
Пример реальной истории с которой я столкнулся: злоумышленник стал распространять пиратский контент (мое произведение) в сети Telegram. Согласно telegram.org/faq
Я отправил подписанный отчет с доказательствами на dmca@telegram.org. Через 24 часа, как утверждается в отчете по Telegram, пиратский контент должны были прикрыть, а по факту я не получил ответа. Прошло уже более трех месяцев с момента репорта по DMCA, а я так и не получил какого-либо положительного или отрицательного решения от Telegram по своей проблеме. Иногда я «их» пингую, но безрезультатно.
Подобный отчет был выслан и на другие платформы, куда пошел пиратский контент. Например, Gitlab проверил факты и удалил не только пиратские материалы за +- 48 часов, но и заблокировал учетку злоумышленника (теперь) без возможности восстановления.
И статистический учёт мнений о пиратстве в Tg 4.5 года давности
Источник
Спустя годы, упомянутые боты в опросе работают и сегодня.
Удручающая bug «bounty»
Некоторые из читателей, возможно, слышали о багах и уязвимостях в Telegram, на которые руководство мессенджера никак не реагировало или по своему трактовало/присуждало гостинцы исследователям, а кто-то из пользователей Хабра и сами находили в экосистеме Telegram баги и фичи (upd: пример истории о том, как компания Tg пообещала выплатить исследователю вознаграждение за уязвимость и скрыть факт о существовании бага, но канула в Лету).
Для наглядности сравним описание программ bug bounty: Telegram и с каким-нибудь open source проектом, например, VeraCrypt.
hackerone.com/telegram?type=team
Скудное описание в 50 слов, за какие дыры Telegram готов платить багхантерам «сколько, за что и в какой валюте». Описание всей программы bug bounty Tg за несколько лет даже меньше, чем описание какого-нибудь очередного обновления мессенджера, например, описание обновления об анимированных стикерах в Tg, кстати в которых насчитывалось чёртова дюжина+1 уязвимостей, позволяющих крашить/ронять клиенты Tg у пользователей при получении этих самых анимированных бомбостикеров.
hackerone.com/ibb-veracrypt?type=team
Вы также можете сравнить программу bug bounty Telegram с другими поощряющими программами на HackerOne и убедиться лично в том, что первую составляли по эксцентричному принципу.
О баге
Пример недавнего бага, который я зарепортил на security@telegram.org, пополнив свой послужной список, но как и раньше ответа никакого не последовало. По моему мнению, с отчетом я поторопился, баг больше похож на «жульничество» со стороны Telegram, а не на уязвимость.
Суть (пока Telegram не ответит на репорт это считается багом, а не фичей): любой пользователь может получить доступ к заблокированному (например, пиратскому) «удаленному» контенту в сети Telegram.
Кейс: для примера возьмем канал, на котором регулярно появляется пиратский контент (у автора которого имеются проблемы с законом по части УК РФ). Вручную найдем такую плашку, которую оставляет Telegram, «удаляя» иногда и неохотно этот самый контент.
«This message couldn't be displayed on your device due to copyright infringement.»
t.me/freedomf0x/6842
Данная плашка (через инструмент: поиск по каналу — не ищется), это такая своеобразная «защита двух коней» в мессенджере. Плашка означает, что на этом месте находился «вредоносный контент». Через app «удаленное» содержимое материалов недоступно.
Заходим в Desktop Telegram версию мессенджера, делаем экспорт истории чата/канала (ткнув галочку на «файлы» и сделав ограничения на загрузку файла в 2 Гб), выбираем дату (в данном примере с 21 марта 2020 года по 22 марта 2020 года). После успешного экспорта истории, в отчете html-страницы вместо плашки будет находиться — экспортированный на диск тот самый пиратский контент.
Подробный пример кейса на видео ниже.
Почему же это больше похоже на «жульничество»? Я думаю, что Telegram в курсе всей этой вакханалии, положение бизнес-вещей на данный момент времени руководство просто устраивает: «Ну как бы мы защитили авторский контент, ведь не каждый пользуется Desktop версией, через которую на „удаленный контент“ покушаются, вытягивая содержимое без каких-либо препятствий».
Или вот другой пример.
Вооружимся ботом @flibustafreebookbot с помощью которого можно скачивать книги. Данный бот был заблокирован Telegram-ом, но явная лазейка осталась и позволяет скачивать книги. Все что нужно сделать — это (переиграть систему): добавить бота в свой приватный чат и дать разрешение «администратора», после чего бот оживает и работает, как ни в чем не бывало. Кстати, этот пиратский бот стартует на Desktop-e без каких-либо ограничений, что противоречит самим ограничениям, которые на него распространила ТП с рут доступом.
Справа налево: бот @flibustafreebookbot заблокирован (Android); бот @flibustafreebookbot (Android) работает после жульнического трюка; бот @flibustafreebookbot (Desktop) работает без каких либо ухищрений.
Вывод
За прошедшие полтора года в ивовой экосистеме ничего не поменялось, негодяи продолжают торговать, подсаживать, уходить от ответственности. Telegram остался мессенджером, менеджмент которого борется за свободу и безопасность своих бизнес ценностей, не запрещая пропаганду «сомнительных услуг» на своих мощностях.
Заявления Telegram о борьбе с вредоносным контентом это просто фарс. Ответственные лица со стороны соц.сети не заботятся о вещах упомянутых в данной статье, не реагирует на репорты пользователей, но при этом оправдываются перед комиссиями и судами когда за ними начинают приглядывать и наказывать за лукавство, о котором они и сами знают.
💎 Опробовать поисковую систему, разработанную автором статьи.
