Примерно три месяца назад Павел Дуров предупредил пользователей, что авторизация по SMS в мессенджере Telegram скомпрометирована. «Судя по всему, спецслужбы РФ решили начать давить на операторов связи, чтобы те стали осуществлять перехват авторизационного SMS-кода. Обычно такое встречается только в рамках людоедских, не заботящихся о своей репутации режимах — средняя Азия, иногда Ближний Восток. Но внезапно случилось в России (если, конечно, отсечь коррупцию внутри МТС)», — сказал Павел Дуров и пообещал сделать рассылку для всех пользователей с советом включить двухфакторную авторизацию, так как операторы связи РФ как верификатор ненадёжны.К сожалению, даже двухфакторная авторизация не является панацеей. Вчера один из пользователей Telegram Сергей Пархоменко подробно описал, как злоумышленникам удалось уничтожить его аккаунт, на котором была включена двухфакторная аутентификация.
Суть событий вкратце:
На телефон внезапно посыпались один за другим коды для доступа к аккаунту, которые я не запрашивал. Потом при попытке войти в свой аккаунт мне предложили сделать это так, как будто это происходит в первый раз. В открывшемся интерфейсе обнаружилось, что вся история переписки, все чаты, все контакты исчезли. Аккаунт оказался новым, как бы девственно чистым.
Среди открытых сессий обнаружилась одна — сделанная с постороннего компьютера (у меня нет ни одного PC).
Короче говоря, это означает, что взломать аккаунт и увести переписку злодеям не удалось, но удалось его уничтожить. Пришлось мне его грохнуть и открыть новый ещё раз, уже осознанно, пройдя через процедуру удаления и заведения эккаунта, — для надёжности.
Внизу скриншот с записью о «левой» открытой сессии — для любителей покопаться в IP-адресах. Привет обладателю этого адреса. Надеюсь, однажды вас всех будут судить.
После общения с техподдержкой Telegram Сергею Пархоменко сегодня удалось узнать некоторые подробности о взломе своего аккаунта Telegram.
Во-первых, злоумышленники действительно получили доступ к SMS-сообщениям жертвы через провайдера МТС.
Взломать аккаунт они не смогли, потому что не знали пароля. Но зато в Telegram существует уязвимость в безопасности, которая позволяет удалить аккаунт и открыть вместо него новый только по SMS, что и сделали злоумышленники (возможно, со злости).
Представители Telegram заверили, что закроют уязвимость в течение ближайших дней.
К сожалению, из-за высокого уровня безопасности Telegram восстановить данные в удалённом аккаунте невозможно.
Довольно странно, что и в прошлый раз, и в этот раз взломы аккаунтов с перехватом кодов авторизации по SMS осуществлялись при помощи одного и того же оператора сотовой связи. «Все уже выучили: МТС сливает переписку абонентов спецслужбам в штатном режиме, — считает Антон Носик. — Там просто сидит специалист из ФСБ, которому для чтения чужих сообщений не нужно ни судебных решений, ни санкций прокуратуры. Он отслеживает СМС-переписку, иногда перехватывает управление номерами, иногда просто сливает сообщения в СМИ для публикации, — Понятно, что в теории, с точки зрения уязвимости и подконтрольности спецслужбам, все российские операторы в принципе одинаково уязвимы. Но также понятно, что риски пользователей Билайна и Мегафона являются теоретическими, а переписку абонентов МТС спецслужбы сегодня получают и изучают раньше конечных адресатов».
Фрагмент SMS-переписки Максима Каца, которую злоумышленники целиком выложили в интернет
Комментарии (114)
ZyUbRa
22.07.2016 19:21-11Аккаунт грохнули через дыру в самом телеграме и вероятнее всего через дыру и/или продажное звено в МТС, а в заголовке «Спецслужбы продолжают перехватывать...». Задолбали уже…
lexore
22.07.2016 19:40+6Но они же продолжают перехватывать)
ZyUbRa
22.07.2016 21:01«Миром правит не тайная ложа, а явная лажа» (с)
Меня собственно не устраивают некоторые (в последнее время все более частые) элементы РенТВ на GT)
Vilgelm
23.07.2016 00:04+1SMS действительно могут и не спецслужбы перехватывать, правда придется за это заплатить, причем пару сотен долларов. Только вот кому кроме спецслужб это надо вообще? Нет, ну я понимаю, когда бесплатно, есть такие веселые люди, которые любят подгадить, но тут все таки платить надо, а Сергей Пархоменко вроде бы на бизнес не завязан, только общественной\журналистской деятельностью занимается.
ZyUbRa
23.07.2016 00:12-6А «спецслужбам» оно зачем надо?)))
И если вы обратите внимание, то мое негодование вызвано исключительно оформлением статьи, желтушные заголовки не красят подобный ресурс.Vilgelm
23.07.2016 00:17+4У нас в стране как-то не любят альтернативное мнение, видимо за этим. Думаю историю со сливом данных жертвователей Навальному через Яндекс.Деньги вы помните? Вот зачем им это надо было?
ZyUbRa
23.07.2016 15:01-3Вот про мнение это вы хорошо сказали) два моих комментария выше, и -4 к карме уверенно подтверждают эту теорию)) При том что «альтернативного» то я ничего и не написал)) И Вот зачем им это надо было?
А историю со сливом я не помню, ибо не отслеживаю подобное, за отсутствием интереса.
nonname
25.07.2016 11:51Ваше мнение не понравилось, но никто вам не запрещал его высказывать. А вот у сторонников «альтернативного» мнения возможности высказаться всё меньше и меньше, уже даже друзьям смс не написать.
ZyUbRa
25.07.2016 13:36-1Голосование минусом в карму, не несет в себе никакого другого функционала, кроме ограничения выражения мнения оппонента. Как минимум на частоту и полноту выражения, я не имею возможности например вести одновременно несколько диалогов в разных публикациях и вовремя отвечать на другие комментарии. Т.е. пользователь который ставит минус в карму, не просто выражает не согласие с мнением (для этого есть минус комментариев), но и стремится ограничить высказывание этого мнения в дальнейшем. Повторю вопрос, и вот зачем им это надо было?
Причем т.к. голосование доступно только пользователям с кармой больше определенного положительного значения, то появляется возможность, при определенных условиях, доминирования одной группы пользователей над другой.
Обсуждаемому же в статье господину Пархоменко, ограничений его мнения не устанавливают, ни со стороны содержания, ни со стороны регулярности. Подтверждением этому является тот факт, что он свободно пишет о случившемся, свободно выдвигает гипотезы и даже прямые обвинения.
При этом факт участия представителей каких либо государственных структур в описанных событиях, является не более чем предположением.
И самое главное. Я не знаю кто такой господин Пархоменко (по крайней мере не знал до этого обсуждения) и чем он занимается. Я ни коим образом не стремлюсь защитить честь наших «славных спецслужб». Мне в общем то по барабану.
Я обратил внимание на тот факт, что новость о попытке взлома аккаунта мессенджера, причем через официально подтвержденную уязвимость, безапелляционно преподносится как деятельность спецслужб, не смотря на отсутствие как доказательств, так и хотя бы внятной мотивации, кроме утверждений самого господина Пархоменко
Т.е. в моих высказывания исключительно недовольство «желтизной» публикации и немного здравого смысла.
Lux_In_Tenebris
23.07.2016 18:25Именно перехват SMS простым смертным недоступен, даже за большие деньги (за очень большие и при наличии связей — может быть). Зато уже как несколько лет поставлено на поток т.н. «восстановление» SIM-карт, когда через сотрудников в салонах связи и клиентской поддержке операторов к номеру жертвы привязывается новая SIM-карта. Поэтому для российских пользователей идея с какими-либо привязками к мобильному телефону по сути полностью скомпрометирована. Нередко может получиться, что угнать номер телефона даже проще и быстрее, чем действовать другими методами.
Vilgelm
23.07.2016 19:08+1Конкретно для МТС можно взломать личный кабинет и там смотреть SMS в режиме реального времени. Вот одна из таких услуг, хотя лично не пользовался, ручаться за то, что это работает не могу. В подобных случаях если это, теоретически, не спецслужбы были, то мог иметь место взлом личного кабинета, а не перевыпуск, второе бы жертва заметила довольно быстро.
ValdikSS
24.07.2016 19:42+1Видел несколько предложений по предоставлению доступа в SS7 за менее $1000 в месяц.
avost
22.07.2016 19:43+7Перехват всё-равно имел место быть, так, что хорошая попытка, товарищ, кто вы там по званию, но нет.
Ramzes78rus
25.07.2016 10:27-1Тупость, рассчитанная на детишек. Ни один ФСБшник не будет «со злости» стирать данные аккаунта который он не смог взломать!!! Да и переписка крайне интересная, мол мы власть критиковали и нас взломали, какая нелепость, если бы спецслужбы ломали аккаунты всех бестолковых сплетников, то у них не оставалось бы времени ни на что больше. Да, и по-поводу «не пользоваться российскими симками», такое ощущение, что написавший не знает не про WikiLeaks, ни про Сноудена, а тем временем США собирают гораздо больше информации чем ФСБ, причем не только в США, а по всему миру! Так что, выходит нельзя вообще ни чем пользоваться, всё отслеживают и контролируют!!! Достали уже эти «борцы с диктатурой», борящиеся только за гранты. А geektimes я посоветовал бы не продавать этим «демократами» место на своём ресурсе, деньги, конечно, нужны, но деньги деньгам рознь, да и ресурс Ваш не про это!!!
avost
25.07.2016 10:56Не пойму, при чём здесь Сноуден, викиликс и вообще США? Вы свою мерзость, товарищ майор, оправдываете чужими преступлениями? А, ну-ну. Это же в корне меняет дело!
Ramzes78rus
27.07.2016 01:08Молодой человек, пройдите на приём таблеток, Вас там медсестра обыскалась!!! Да, да, ФСБшники всюдю за Вами шастают и только и думают как ещё узнать Ваши гениальнейшие мысли по-поводу вопросов космического масштаба!!! Кстати, такие разговоры как эти «подслушанные», можно услышать в «тайных» разговорах, когда собеседники хотят чтобы их услышали дабы придать себе значимости в глазах других, мол слушайте какую инфу я имею и т.д. Сама распечатка этого диалога — повод для психиатрической экспертизы собеседников!!!
Moskus
25.07.2016 16:58Еще один зарегистрировался тут специально, чтобы писать подобную хрень. Не пройдет.
agpecam
25.07.2016 10:27-1Наши оппозиционеры просто-таки одержимы ФСБ (достаточно прочесть плод воспаленной фантазии г. Носика). Видимо возможность походя пнуть того, кто не ответит, придает им какую-то значимость в собственных глазах. Между тем г. Пархоменко мог легко выдумать этот забавный эпизод, и вот его уже всерьез обсуждают не только блохеры в интернетиках, но и на сугубо техническом ресурсе, где политота как бы запрещена.
Бедная глупая ФСБ сидит, отслеживает, перехватывает и сливает, но по скудоумию не может словить SMS с первого раза, SMS валятся на Пархоменко просто потоком по его словам.
Kovu
22.07.2016 19:26+10Информацию об этой проблеме (возможность сбросить аккаунт с двухфакторной авторизацией и выдать себя за владельца при доступе к СМС) передавали в ТГ неоднократно. Я даже сам через посредников Дурову про это писал. Далее на тут ГТ был большой пост на эту тему, где и решения были предложены. Дурову было опять пофиг. Только когда появилась публичная жертва он стал чесаться. Совершенно недопустимо для мессенджера, который рекламируют с акцентом на безопасность.
Хорошо, что появился этот пост. Вообще было бы неплохо, чтобы на эту тему поднялась популярными блогерами и т. п. информационная волна побольше, чтобы пнули хорошенько ТГ за их отношение к безопасности. Проблемы в безопасности(особенно которые легко исправить) должны патчиться очень быстро, а не когда о них уже весь интернет знает, но, как показывает практика, даже в этом случае ТГ на проблему не обращает внимание до первой очень известной жертвы.
vmchaz
22.07.2016 19:29+3Мне кажется, надо ввести дополнительный параметр — «недоверие SMS» с пометкой «используйте на свой страх и риск»
В этом случае вся информация, идущая в SMS, считается доступной для перехвата.
А вообще — давно пора переходить на двухпарольную систему с токенами.
Первый пароль — для добавления нового устройства к аккаунту и получения токена.
Второй пароль — для менеджмента учётной записи (в т.ч. сброса первого пароля и отзыва разрешения токенов)
Сброс аккаунта через SMS (если оставить такую возможность) должен происходить с задержкой (например, от недели до 2 месяцев) и уведомлением всех, подключающихся к аккаунту.
msdos32
22.07.2016 19:34whois.uanic.name/ip/83.220.237.204.html
whois говорит, что адрес вымпелкомовский, т.е. Билайн – видимо, не МТС единым…
Приблизительные координаты шлюза – 55.7522 37.6156, заинтересованным товарищам удачи в деанонимизации данных редисок)
miksoft
23.07.2016 00:12+555.7522 37.6156
Это просто центр Москвы.
Да и ip-адрес конкретный может быть прокси, зараженным ботом и т.п., т.е. не факт что реальный исходный адрес.msdos32
23.07.2016 03:12Верно, жаль, что есть только ip, можно попробовать стукнуть в тп или Дурову, может, поможет отследить сессию
dobergroup
25.07.2016 10:25+1B развивая мысль, возник вопрос — а есть где-то архивы выходных нод TORа, так, что бы можно было посмотреть не текущие, а на какую-то дату?
a5b
26.07.2016 02:15collector.torproject.org
CollecTor fetches data from various nodes and services in the public Tor network and makes it available to the world. If you're doing research on the Tor network, or if you're developing an application that uses Tor network data, this is your place to start.… Descriptors are available in two different file formats: recent descriptors that were published in the last 72 hours are available as plain text, and archived descriptors covering over 10 years of Tor network history are available as compressed tarballs… The exit list service TorDNSEL publishes exit lists containing the IP addresses of relays that it found when exiting through them.
collector.torproject.org/archive/exit-lists/
Начиная с 2010-02, помесячные архивы размером 0.7-1.5 МБ. В архиве по 24 файла за каждый день, колонки: ExitNode, Published, LastStatus, ExitAddress
Lux_In_Tenebris
23.07.2016 18:30+1Это NAT, через который наверняка сидят тысячи пользователей.
inetnum: 83.220.236.0 - 83.220.239.255 netname: BEE-MSK-GPRS-FW descr: Beeline-Moscow GPRS Firewall country: RU
Subfocus
22.07.2016 19:34-6Всегда интересно было, вот пишут коррупция в МТС(да и в любой другой фирме), а факты где? Или со слов сотрудников, которые якобы что — то где то видели?
Тогда под этот критерий можно подвести кого угодно.
А по теме — чего он ожидал?
Власть решает свои задачи доступными ей методами(инструментами)Moskus
22.07.2016 22:14+3А что вы согласны будете считать фактом? Если кто-то даст показания под присягой, например? Ну тогда можно дожидаться этого долго, по очевидным причинам.
Ведь технически, в данном случае речь идет не о коррупции (то есть преступном злоупотреблении своими полномочиями в корыстных интересах, за которое, теоретически, кого-то и могли бы наказать) а о незаконном содействии деятельности спецслужб, превышающих свои полномочия. А чтобы те стали сами же себе вредить и дали бы делу ход — это утопичный вариант развития событий.
Так что если предположить, что это действительно правда, никаких веских доказательств, кроме слов пострадавших, все равно не получить.
AndreyPinsk
22.07.2016 19:35+13Суть не в том, что ФСБ читает переписку. Это вроде уже не сюрприз.
Суть в том, что ФСБ таким образом, через эти топорные якобы «сливы», приучает нас к мысли о «нормальности» такого порядка вещей, таких методов…
Лет через 10 станет априори нормальным то, что, общаясь в сети или по телефону, люди будут «фильтровать базар».
А затем, ещё спустя какое-то время, настанет пора, когда люди так же начнут уже «фильтровать мысли», дабы «чего не вышло»…
короче, в лучших традициях «1984»
Barma2012
22.07.2016 23:41+5Хм… «фильтровать базар» в телефонных разговорах я приучился, ещё живя в СССР. И ни разу не жалею. Но до фильтрации мыслей пока, за 30+ лет, дело не дошло )))
afilei
25.07.2016 10:25СССР существовал до 1991 года. Если вам сейчас 30+? OMG, во сколько вы научились «фильтровать базар» в телефонных разговорах? Скажите, не томите, сколько вам было лет? 7, 9, 11?
Barma2012
25.07.2016 12:32Сейчас мне 44 ))
И да, примерно лет с 16 я уже старался не обсуждать по телефону вещи, из-за которых потенциально могли возникнуть проблемы. А по молодости — много всяких антиобщественных развлечений было )))
Deadwind01
25.07.2016 10:25Приучают, ну да. Или просто везде есть свои идиоты. Вот на геликах катались недавно «будущие светила ФСБ».
deustech
22.07.2016 19:35Сброс аккаунта изначально, вероятно, сделан в телеграме для того, чтобы когда оператор связи удалил номер абонента за неактивность, новый его владелец мог начать пользоваться аккаунтом с чистого листа. Иначе покупаете вы номер телефона у оператора связи, а телеграмом на нем пользоваться не можете, не зная паролей. Вероятно введут хотя бы месячный таймаут на сброс аккаунта, не мгновенно.
Kovu
22.07.2016 19:38Про необходимости задержки для удаления многие пишут. Самое простое решение.
А что касается перепродажи номеров, то с большой вероятностью у нового владельца номера и так не будет привязанного аккаунта старого владельца. Аккаунты в ТГ удаляются при неактивности.
Mako_357
22.07.2016 20:05Чет я не понял, как теперь войти, если удалены все приложения. Теперь же нужно для входа хоть одно привязанное приложение, я правильно понял?
dartraiden
22.07.2016 20:18+2Для входа лучше использовать не двухэтапную (пароль+код из SMS), а двухфакторную (пароль+ код из приложения) аутентификацию. Вариант с SMS менее надёжен, поскольку подразумевает использование провайдера (оператора связи), а где-то на этом пути может поджидать злоумышленник (протоколы там местами 40-летней давности и построены на доверии).
Хороший разбор отличий двухэтапной аутентификации от двухфакторной. Увы, многие сервисы предлагают лишь двухэтапную, но гордо величают её двухфакторной. Telegram, если не ошибаюсь, умеет оба вида.dartraiden
22.07.2016 20:22+2Вдогонку — как взломать Telegram и WhatsApp: спецслужбы не нужны. Вывод простой — оператора сотовой связи лучше использовать в качестве интернет-провайдера (что операторам связи, кстати, люто не нравится). Вы, хотя бы, будете уверены, что используется более-менее современно и проверенное шифрование (TLS, Signal и так далее), а не протокол, который позволяет любому влезть, сказать «привет, я такой-то» и вся сеть ему поверит на слово.
Barabek
22.07.2016 21:11Судя по некоторым деталям, в той статье не настоящий взлом. Инсценировка скорее всего. В реальности что-то не припомню новостей о вскрытии подобных схем.
Antxak
22.07.2016 23:27Наконец-то один адекватный человек кинул эту ссылку, а то сам уже собирался! Спасибо, dartraiden, надеюсь хоть кто-то прочитает. Странно что люди легче верят в «ужасные и всемогущие спецслужбы», чем в дырявый протокол.
mitasamodel
23.07.2016 12:45Люди верят в «ужасные и всемогущие спецслужбы» потому что это было более вероятным в предыдущих подобных случаях.
В статье, ссылку на которую вы так ждали, есть ссылка на источник «дыма».
А именно: http://www.rbc.ru/politics/02/05/2016/57278bc29a7947849edc8a53
В ней есть ссылка на непосредственный пост «жертвы»: https://www.facebook.com/kozlovsky/posts/10208948934790884
И если покопаться ещё глубже, то можно будет найти такую ссылку: http://mts-slil.info/
На этом сайте приведены официальные документы от МТС (ответы на запросы в ТП и детализации действий).
===
Когда служба безопасности МТС (это сказала 2 линия ТП МТС) отключает услуги по приёму СМС и по передачи данных (интернет), после чего происходит взлом аккаунта телеграмма, после чего все услуги обратно включаются, это вызывает очень большие вопросы.
Alexufo
24.07.2016 01:54если покопаться в статье глубже, станет понятно, что вы должны быть как минимум с очень уникальным оборудованием.
avost
25.07.2016 12:56А вы сами статью прочли? Доступ к технологии такого рода взлома куда сложнее, чем посредством смс-ок.
VitalKoshalew
25.07.2016 10:27Мне кажется, не стоит делать какие-либо выводы на основании поверхностного чтения указанной статьи.
Компания Positive Technologies имеет доступ к внутренней межоператорской сети, к которой не имеет доступ никто, кроме операторов. Можно было бы предположить, что они где-то взломали один из узлов и прокрались туда нелегально, но после их многочисленных публикаций с описанием своих действий внутри сети SS7, в том числе, в сегментах российских операторов, они давно публично задокументировали состав преступлений, описываемых в УК РФ(статья 272), если б их доступ был нелегальным. Поскольку никто за ними не приходит, а публикации продолжаются, следует сделать вывод, что доступ им предоставлен официально либо одним из операторов (например, по договору о проведении аудита безопасности), либо теми самыми российскими спецслужбами.
Таким образом, заголовок статьи, на которую вы ссылаетесь, на самом деле стоит читать как «как взломать Telegram и WhatsApp: нужны либо спецслужбы, либо оператор сотовой связи или его подрядчик».
> " Вы, хотя бы, будете уверены, что используется более-менее современно и проверенное шифрование (TLS, Signal и так далее), а не протокол, который позволяет любому влезть, сказать «привет, я такой-то» и вся сеть ему поверит на слово. "
По аналогии, PT могли бы получить доступ, скажем, к одному из доверенных сертификационных центров и выпускать поддельные сертификаты fb.com. Можно было бы написать статью «как взломать Facebook: спецслужбы не нужны». И никакой «современный TLS» бы не помог, они бы сказали «привет, я такой-то» и вся сеть им бы поверила на слово.
(Примечание: насколько я знаю, PK pinning для fb.com в браузерах ещё нет. Если есть, заменить Facebook на другой сайт, например, Hotmail).
Это не значит, что не надо писать о проблемах протоколов. Но вот именно так, как это сделали PT, мне кажется, делать было некорректно. Возможно, их PR-служба просто перегнула палку, решив попиариться на актуальной теме, намеренно умолчав в самой статье об ограниченном доступе к сети SS7. Нельзя исключить и вариант, что выпуск статьи именно в таком виде, это часть платы спецслужбам РФ за доступ к сети SS7.
Очень «изящно» в статье написано:
" И сейчас все эти атаки становятся доступны не только спецслужбам, но и многим другим. "
А вот в техническом документе, на который ссылается статья, расшифровывается, кто же эти «многие другие»:
" Для доступа к сети SS7 атакующие могут приобрести на черном рынке подключение у существующего оператора, получить разрешение на деятельность в качестве оператора связи в странах с лояльным законодательством в сфере регулирования связи. Если участник хакерской группы работает техническим специалистом в компании — операторе связи, то у него также есть возможность обеспечить подключение своего оборудования к сети SS7. Техническому специалисту для осуществления некоторых атак достаточно воспользоваться легитимным набором функций существующего оборудования сети связи. Остается также и возможность проникнуть в сеть оператора через взломанное пограничное устройство, будь то GGSN или сота Femtocell. "
Все варианты либо фантастические (почему уж сразу не купить какое-нибудь островное государство?), либо одноразовые с последующей охотой на инсайдера, вся информация о котором есть в отделе кадров, либо требуют эксплуатации уязвимости такой важности, что уж тут не до Пархоменко, шутка ли — через фемтосоту, которые в некоторых странах раздают тысячами, можно рулить всемирной межоператорской сетью!
albik
22.07.2016 21:04-3Не понимаю, чего они все ждут — ведь все же есть на руках — детализации счета от МТС, слова операторов, логи телеграма, логи МТС, IP-адреса, давно бы уже накатали заявление и всем на деле показали беспредел в правосудии (если бы их прокатили) либо зарвавшихся ментов (если дело таки довели бы до логического конца). В конце концов, это ведь не шутки — сегодня у тебя СМС уводят, а завтра квартиру перепишут.
А они что? Покричали, сляпали сайтик mts-slil, организовали шумиху в масс-медиа от Навального, Варламова, Дурова, ализара — и на этом все прекратилось, хотя Албуров бил себя пяткой в грудь, обещая разнести МТС в пух и прах в медиа и судах (тем более, что с юридической поддержкой Навального у них бы на подготовку документов ушла бы неделя максимум). Ну и где все это, уже прошло три месяца, почему до сих пор все размахивают скриншотиками и цитатами Дурова, а не сканами томов уголовных дел против МТС (а вместе с ней и ФСБ — это же оно организовало взлом, судя по словам пострадавших)? Ведь нет же ничего этого. И чем больше я на все это смотрю, тем сильнее ощущение, что все это банальный развод с целью испортить имидж МТС и в очередной раз покричать про ФСБ.
Goodkat
22.07.2016 21:46+2давно бы уже накатали заявление и всем на деле показали беспредел в правосудии
А что, есть ещё такие, которые его не видели, и дело о перехваченных SMS вдруг откроет им глаза?
KostaArnorsky
24.07.2016 13:40Есть один человек, который больше года показывает беспредел во всех государственных институтах РФ, можете ознакомится с результатами на pravovoe.cf. А сейчас это ваши заявления выглядят как требование доказать, что земля не плоская.
Lindon_cano
24.07.2016 20:33Первый раз за пределами dirty вижу ссылку на pravovoe.cf, как хостер проекта хочу сказать спасибо за то, что рассказываете о нас.
Merkat0r
22.07.2016 21:53+1Так давно уже все это известно :) а в D-Net чуть ли не везде висят предупреждения о том, чтоб не пользовались симками из РФ.
А перехватывают не от злости — телеграм и еще кое-что — самый популярный метод связи на черном рынке
KOLANICH
23.07.2016 00:04+2Да тут скоро tls будут перехватывать (а на некоторых провах — уже), а вы о каком-то ненужном телеграме беспокоитесь, где всё было специально завязано на сотовый телефон.
Lure_of_Chaos
23.07.2016 01:30+5А зачем мессенжерам вообще смартфон? С привязкой не только к симке, но и конкретному экземпляру?
yaapelsinko
25.07.2016 10:25Ну как же, написано же ясно — «из-за высокого уровня безопасности Telegram» он обеспечивает деанонимизацию с момента регистрации и взломать его может каждый кулхацкер бесплатно, без смс.
armspecial
23.07.2016 08:13Если только СМС то это еще сказка. В Армении оператор Ucom делает еще больше плохих дела.
am_devcorp
23.07.2016 09:59Я кстати не понимаю. Если попробовать войти в веб-версию с компа, то иногда коды приходят в сам телеграм на мобильнике, иногда как смс. От чего это зависит и можно ли отключить смс?
Если Дуров осознает, что смс так просто скомпрометировать, то почему они до сих пор ими пользуются?
5oclock
23.07.2016 10:32Неужто реально люди такие беседы ведут через СМС?
Вместо того чтобы просто позвонить друг другу. Или встретиться.Lux_In_Tenebris
23.07.2016 18:35Мало у кого соображалка в части информационной безопасности хорошо работает. Хотя тех, кто замешан в какой-либо политической деятельности и спокойно общается об этом по каналам вроде мобильных сетей и Skype, я откровенно не понимаю.
KorDen32
23.07.2016 21:43Вместо того чтобы просто позвонить друг другу
В данном случае голос отличается от СМС разве что худшей индексируемостью и большим объемом хранимой информации…
max_bma
23.07.2016 11:06Telegram то понятно, а как же SMS банкинг? Это же так могут деньги со счета увести.
Andrew_SWH
25.07.2016 10:27Могут. И уводят. Поэтому обычно требуется кроме смс что-то еще. В корпоративной среде обычно токен, для физиков хотя бы пароль. Правила безопасности в банках значительно изменились в последнее время как раз в связи с перехватом СМС, как на уровне оператора, так и вирусом на самартфоне юзверя.
famiak
23.07.2016 11:53-3У меня нет ни одного PC.
Вот вам скриншот с PC.
Камон.
iChaos
23.07.2016 19:49+2Возможно Вы не поверите, но многие пользователи продукции Apple, считают что iMac и PC – совершенно разные вещи…
sviterov
25.07.2016 10:27Mac — не PC.
RussianNeuroMancer
26.07.2016 09:56Потому что так Apple говорят, или есть какая-то причина?
iChaos
26.07.2016 17:48Раньше, когда iMac был на платформе PowerPC, причина действительно была, однако сейчас, когда всё делается на одинаковой компонентной базе (благодаря этому и стал возможен Hackintosh, а на iMac-ах появились винды) и различается лишь операционной системой, в качестве реальной причины, можно указать только маркетинг…
vlivyur
27.07.2016 12:47Думаю что корни в фразе «IBM PC совместимый», а Макинтош к таковым не относился.
gxcreator
23.07.2016 12:03+1GSM ломается любым школьником на оборудовании за копейки
SMS не шифруются.
Каналы, которые основаны на SMS скомпрометированы.
iChaos
23.07.2016 19:46Не думаю что это действительно были спецслужбы – слишком топорная, грубая и бессмысленная работа…
Если это действительно сделали спецслужбы, то становится крайне обидно, что просрали страну настолько, что работа спецслужб выглядит, скорее, как дешевая провокация…
alsopub
25.07.2016 10:24«посыпались один за другим коды для доступа к аккаунту»
Мне кажется это свидетельствует о банальном подборе кода для сброса аккаунта.
shukan
25.07.2016 10:27Да тот же Носик писал, что следует привязывать ТГ к номеру на левой симке, которую никто не знает и которая на тебя не зарегистрирована. Тогда злоумышленники не смогут вычислить номер и провести взлом.
vlivyur
25.07.2016 11:33+1А потом следить за той симкой из нетрадиционных мест. Ибо через три месяца неактивности она начинает портиться.
HOMPAIN
Подскажите, зачем вообще мессенджеру нужна авторизация по SMS и привязка к сим карте?
AllexIn
А к чему привязывть?
Всю жизнь это была почта. Но у большой части народа нет почты сейчас. Плюс куча народу, которые не способны запомнить свой UID и сложный пароль. А телефон сам по себе выступает защитой.
BigD
Как это «у большой части народа нет почты сейчас»? Не верится.
AllexIn
Развивающиеся страны, у людей нет ПК, только смартфоны с соцсетями в них.
Это же основная причина, почему многие сервисы, особенно соц. сети ввели привязку по телефону, в дополнение к почте.
Shished
Чтобы пользоваться смартфоном на андроиде, нужно завести аккаунт гугл.
Mr_Floppy
Без аккаунта не будет Google Play, YouTube и синхронизации, но всем остальным пользоваться можно.
Charg
Речь то про «бОльшую часть народа» велась, у которой якобы нет почты. И эта самая «бОльшая часть народа» пользуется андроидофонами без гуглплея, ютуба и синхронизации?
Да я бы не поверил даже если бы кто-то исследование с 100000 опрошенных провёл, а тут совсем голословные заявления.
Другой вопрос что люди заводят этот почтовый ящик один раз и потом забывают данные, и банально не знают что у них действительно есть почта, и что ней можно пользоваться.
AllexIn
Это и есть «нету почты». То что она где-то формально есть — не меняет сути.
foxmuldercp
У китайцев очень популярны андроиды где гугль сервисы откушены напрочь, либо свои сервисы со своей почтой вроде Алибабы, или просто помойки арк файлов, без всяких маркетов
LenKagamine
Никто не помнит ни почты ни пароля к ней. А на каждом новом телефоне заводят новый аккаунт.
ruizAw
Ну да, конечно, и телефонную книгу перенабирают и все такое…
am_devcorp
Зачем, ведь контакты на симке все
/sarcasm
Kesantielu
Да, таких реально очень много.
expeerd
Экспортируют в архив и импортируют на другом девайсе, и делают обычно не сами, а знакомые тыжпрограмисты.
p.s. Буквально недавно заставил родичей запомнить свои основные пароли.
mehos
Вы зря смеетесь. Я знаю несколько человек, которым при покупке Айфона продавцы сами заводили UID (или как он там называется), потому что без него айфон не работает, и передавали этот uid с паролем на бумажке(!) покупателю! Который в силу своей безграмотности не знал что это вообще такое и быстро терял эту бумажку. Естественно, любимый айфон превращался в кирпич при первом удобном случае и даже обращения в официальный саппорт не помогают. Это реально жиза, я не выдумываю.
lexore
Необязательно.
xvitaly
Если есть смартфон, значит есть и почтовый ящик. Стоковый Android требует привязку Google-аккаунта на любой чих. У Apple наверняка аналогично.
DagothNik
Так точно. Без Apple ID сразу отсекаются все сервисы iCloud, iMassage, AppStore. А Apple ID обязательно привязан на почту. Другой вопрос, что многим почту создают при покупке телефона, а потом ей не пользуются. И возникают курьезные случаи из серии «Я телефон сбросил, а теперь не могу его активировать, т.к не помню почту/пароль. Помогите!» Юзвери, что с них возьмёшь…
lolipop
а где подключается айМассаж, не нашел…
scg
Основная причина, по которой ввели привязку к телефону — это борьба с автоматической регистрацией спам-ботов.
AllexIn
И я бы с вами согласился, если бы смс была вместо почты. Но на большинстве сервисов есть выбор. И боты по прежнему могут регаться через нее.
Так что я по прежнему настаиваю на своем: основная причина введения регистрации через телефон — это захват рынков, где почтой не пользуются или пользуются мало.
AllegroMod
Нет, просто есть возможность автоматически подхватить все контакты из записной книжки (где хранятся обычно номера телефонов, а не почта) и проверить по своей базе, чтобы сразу найти кто из знакомых уже подключился. В противном случае, пришлось бы всем друзьям сообщать свой новый UIN или что-то подобное.
vlivyur
Это как с jabber. Когда устроился в контору, народ начал спрашивать контакты, я всем jabber давал. Все удивлялись что это такое, с чем едят, давай хотя бы аську что ль. По факту выяснилось что у большей части асечников оказывается уже был jabber, но они ни слухом, ни духом. Так и с почтой. Есть андроидофон с gapps почты нет.
build_your_web
Хреновая защита получается.
Может тогда стоит добавить альтернативу для тех, кто не хочет привязывать учетку к чему-бы то ни было?!
SEVENID
Как вариант: получаешь токен для бота и подключаешься через него.
chesterset
Пусть дадут возможность не привязывать телефон к аккаунту, просто логин-пароль, или почта. Привязывая телефон, ты как бы уже компрометируешь себя.
AlexeyF
«Пусть дадут возможность не привязывать телефон к аккаунту». Как только увидел привязку к «телу» забил на регистрацию и сам Телеграмм.
HOMPAIN
>Но у большой части народа нет почты сейчас
Почта есть у любого, кто пользуется андройдом и гугл плеем
Если бы привязка к симке была бы опцией, то было бы ок, но тут это обязаловка. И это мессенджер дикларирует себя как защищённый, а те, кому нужна защищённость, в состоянии запомнить совой логин и пароль. Тем более любая привязка аккаунта к чему либо опускает его уровень защиты, до уровня защиты того, к чему привязан аккаунт.
Cat_CooLeR
Почта обычно есть у пользователей смартфонов (Google Play, iTunes, Microsoft Store её требуют). А если пользователь не может запомнить некоторый ID и пароль — нужна ли ему безопасность?
Vnr
Асболютному большинству пользователей (в том числе и Телеграма) насрать на безопасность.
Barabek
Привязка к телефону, как минимум, для того, чтобы пользователи легко находили друг друга, ибо доверяют они все еще номерам телефона.
build_your_web
Кто хочет, пусть использует телефон для привязки, но зачем всех обязывать?
Stalker_RED
Дуров,
верни стенуубери привязку к телефону! Ну серьезно, почему нельзя сделать ее опциональной, для тех кто какому-нибудь proton mail доверяет больше, чем своему ОПСОСу.borman712
Потому что так сеть быстрее растёт. Когда ты ввёл номер и все увидели, что у тебя есть телеграм, и ты увидел, что телеграм есть у многих, шансов на то, что ты начнёшь активнее пользоваться этим мессенджером, гораздо больше, чем если ты не вводил никаких телефонов и контакт-лист пустой.
junkerSchmidt
Авторизация по SMS — это сейчас как галочку в feature list поставить. А вот привязка к номеру действительно что-то странное. Именно это остановило меня на стадии «скачал клиент». Дальше дело не пошло…