Tелеге на вас плевать, даже если вы платите ей деньги.
Привет, друзья!
Я пользуюсь Телегой почти с момента ее появления в далеком 2013 году. Последние два года покупаю премиум. Несколько раз дарил премиум друзьям. Наивно полагал, что Телега заботится о своих пользователях, особенно платных. В целом меня все устраивало, пока недавно я не попал в "интересную" ситуацию невозможности управлять собственным аккаунтом.
Пару дней назад мой аккаунт взломали (вероятно, сам дурак; желаю взломщикам всего плохого). Злоумышленник завершил все мои активные сессии и стал рассылать моим контактам денежные запросы. Пытаясь вернуть аккаунт себе, я выяснил любопытную вещь: в Телеге отсутствует адекватный механизм блокировки/восстановления аккаунта.
При входе в аккаунт (в мобильном приложении) нужно ввести код, который либо отправляется на другое устройство (которым владеет злоумышленник, ха-ха), либо извлекается из номера, с которого звонит бот (извлечение работает через раз), либо отправляется в СМС. Получение кода не сильно помогает делу. Как только вы входите в систему, у злоумышленника появляется информации о начале новой сессии, которую он тут же завершает (возможно, запущен скрипт, который делает это автоматически). Завершение сессии приводит к тому, что вас выбрасывает из приложения.
При этом, код всегда сначала отправляется на устройство злоумышленника, видимо, чтобы он мог подготовиться к завершению вашей сессии.
После определенного количества циклов "вход-завершение сессии" срабатывает ограничение на количество запросов. Казалось бы, сервер не должен учитывать удачные входы, но, похоже, он считает все подряд, ибо нечего долго беспокоить злоумышленника попытками вернуть аккаунт.
После ввода ограничения следующую попытку можно предпринять не ранее чем через 24 часа, видимо, чтобы злоумышленник мог еще сутки спокойно пользоваться вашим аккаунтом.
Больше самостоятельно вы ничего со своим аккаунтом сделать не можете.
"У такого солидного продукта, как Telegram, должна быть хорошая поддержка пользователей", скажете вы. Я тоже так думал. Однако на деле оказалось, что поддержка не просто плохая, она отсутствует.
Есть страница support, и даже форма как будто куда-то отправляется, но ни ответа, ни привета от "поддержки" мне дождаться так и не удалось.
Еще есть адрес sms@telegram.org, который мне удалось откопать в Telegram X в сообщении об ошибке, связанной с превышением лимита (успешных, блин) входов, но с ним такая же "мертвая" история.
Впоследствии выяснилось, что поддержку пользователей Телеги осуществляют волонтеры.
Общение с волонтерами заканчивается тем, что бот обещает передать вопрос волонтеру.
Интересно, обеспечением приватности данных пользователей Телеги тоже волонтеры занимаются?
Попыток заблокировать взломанный аккаунт по причинам подозрительной активности со стороны Телеги не предпринималось.
Напоследок самое "забавное". При попытке завершить сессию злоумышленника после успешного входа получаем сообщение: "По причинам безопасности запрещается завершать старые сессии с новых устройств. Завершите сессии с более старого устройства или подождите несколько часов".
В итоге, сессию удалось завершить только спустя 24 часа. Видимо, это сделано для того, чтобы злоумышленник успел про вас вспомнить, завершить вашу сессию и продолжить пользоваться вашим аккаунтом.
Я не знаю, является ли это частью политики компании или имеет место пресловутое "облажались, а не заговор", но факт остается фактом — существующие на сегодняшний день механизмы "защиты" Телеги делают все, чтобы взломщик как можно дольше пользовался вашим аккаунтом.
Как вам такой девиз: "Telegram. Нас интересуют ваши деньги, а не ваши проблемы"?.
Так что не не лайкайте подозрительных котиков. И включите двухфакторную аутентификацию. И следите за активными сессиями.
Всем безопасного месседжинга.
Комментарии (65)
MountainGoat
05.09.2024 05:06+352FA не включай @ всех подряд обвиняй
vmkazakoff
05.09.2024 05:06+15Да тут вообще комбо
Чего-то нажал, куда-то не туда ткнул - ну ладно, бывает
Ввел код для авторизации в левом месте, это уже в наше время не допустимо
Пароль как второй фактор не включен... ну я не знаю что ещё надо сделать, чтобы люди уже перестали жить без второго фактора, хотя, справедливости ради, если автор заходил по ссылке типа "проголосовать в конкурсе" и авторизоваться, то пароль он бы тоже ввел, но тогда работает все, что ниже
Сам уведомление о том что кто-то зашёл не прочитал, хотя оно должно было прийти на все устройства (и, кстати, их не может удалить злоумышленник, по быстрому)
Сам не воспользовался тем же преимуществом, что мог завершить сессию злоумышленника целые сутки, и злоумышленник бы так же ничего не мог сделать
Сутки не замечал странных активностей, хотя тут не факт, злоумышленники знают про работу с семьями и первые сутки сидят тихо и не палятся, обычно)
Но виноваты, конечно, все вокруг )
А безопасность начинается совсем не с техники, а в головах
Ruich
05.09.2024 05:06+2Как я понимаю, у ваших родственников и знакомых всё идеально с информационной грамотностью, они никогда не ошибаются, не вводят коды куда не надо и никогда не попадаются на ловушки мошенников? Вам повезло с кругом общения. Тем, же кому не повезло, телеграм не даёт второго шанса после того как решили экономить на смс.
Dominux
05.09.2024 05:06Это уже исключительно их проблемы. Очень много проблем в ИБ именно из-за таких вот недальновидных простачков. Это как говорить, что если к вам подошли цыгане на вокзале и, под предлогом "погадать", повесили на вас 3 кредита и забрали квартиру, то это не вы сглупили, а кто-то там недосмотрел за этими скамерами из средневековья
Из-за таких простаков и системы часто заставляют создавать пароли на миллион символов, которые обязаны содержать какие-то комбинации цифр, букв разных и тд. Для человека понимающего это всё так напряжно, а сделано для вот таких вот дураков
Так можно до бесконечности улучшать системы, чтобы "пользователь куда-то там не нажал и что-то там не ввел", но это скорее делает их ещё более тупее и наивнее
Тем более, автор именуют себя "JavaScript Developer", а не бабушкой из Тьму-Таракани, очередной повод задуматься о том, как недалеко он ушел от уровня этих не просвещенных родственников
Volodichev
05.09.2024 05:06Сам уведомление о том что кто-то зашёл не прочитал, хотя оно должно было прийти на все устройства
Я тут на один интересный объект съездил... 4 дня был без интернета и телефона с камерой. Бывает, что не читаешь уведомления днями - это норма.
Опять же, сообщений может быть столько, что просто их игнорируешь.Сам не воспользовался тем же преимуществом
Не узнал - не воспользовался.
Но виноваты, конечно, все вокруг
Если аккаунт жестко привязан к телефону, то почему с помощью этого телефона нельзя восстановить доступ к аккаунту или хотя бы заблочить все остальные попытки входа?
Ни кто бы не выпендривался, если бы телега была анонимным мессенджером.
colontitul
05.09.2024 05:06+1Пароль в телеграм тоже можно обойти, сбросить его через электронную почту. А адрес почты указать прямо перед сбросом пароля. Т. е. угнать аккаунт вообще зная только номер телефона
powerman
05.09.2024 05:06Почту вроде можно указывать только в каком-то небольшом списке стран. Для остальных такой возможности нет в принципе.
colontitul
05.09.2024 05:06Проверил - я ошибся, не так, чтобы совсем зная только номер.
Чтобы завладеть аккаунтом не зная пароль, нужно иметь возможность получить код на телефон или ранее привязанное устройство.
А потом, уже, введя почту, можно сбросить пароль. Т. е. не стоит забывать авторизованные в телеграмм устройства там, где их могут найти и использовать против вас.
powerman
05.09.2024 05:06Обычно телега - далеко не самое критичное приложение на "забытом и разблокированном устройстве". Но ещё не скоро наступят (если вообще наступят когда-нибудь) те времена, когда обычные юзеры будут адекватно следить за безопасностью своих устройств.
Ruich
05.09.2024 05:06+2Это не поможет, если пользоваться помимо кода ввёл и этот пароль. Да, вы можете смеяться над такими пользователями, что они сами дураки и вообще не очень умные по жизни. Но не все довольно опытные и осторожные в этой жизни. Речь в статье идёт о том, что даже если пользователь оступился один раз, то аккаунт ему не восстановить, так как телеграм построил удобную систему для злоумышленника, но не для пользователя.
MountainGoat
05.09.2024 05:06+1Нет. Если пользователь и ввёл пароль от 2FA, то атакующий сможет зайти, но не сможет ни поменять пароль, ни выкинуть пользователя из системы. Потребуется снова ввод ключа 2FA.
Если пользователь несколько раз предоставил ключи 2FA, то... ну не надо такому иметь аккаунт в телеграме, хорошо?
Здесь же люди хотят традиционную схему "всё через почту, почте доверяем полностью". Которая надёжна с точки зрения сервиса, но вот утрата почты ведёт к безоговорочной утрате всего, что к ней привязано. То есть СМС мы не доверяем, а вот mail.ru мы доверяем, да.
Ruich
05.09.2024 05:06Пароль 2FA вводится пользователем на специальном фишинговым сайте, поэтому после первого же ввода злоумышленник знает его и спокойно убирает через время. Попробую следовать вашему совету и сказать людям, которые пользуются телеграмом, что им следует удалить аккаунты, раз они такие безграмотные.
Здесь люди хотят адекватного механизма возврата аккаунта. Пусть через почту будет недоступно восстановление, но хотя бы будет сброс аккаунта, как раньше у телеграма работало через их сайт и смс код.
MountainGoat
05.09.2024 05:062FA вводится пользователем на специальном фишинговым сайте, поэтому после первого же ввода злоумышленник знает его и спокойно убирает через время
А, так вы даже не знаете что такое 2FA и как оно работает...
Ruich
05.09.2024 05:06Подскажите, вы состоите в каком-то сообществе, которое не может распространяться про 2FA или вам снобизм подсказывает общаться загадочными предложениями, мешая раскрыть мысль?
GuessWho
05.09.2024 05:06в телеге можно нормальный второй фактор подключить? там по-моему обычный текстовый пароль и все
edit
Ну т.е. код из SMS первый фактор, текстовый пароль второй. Я щас специально зашел в настройки, не нашел больше ничего, думал, неужели наконец-то нормальную аутентификацию завезли :(
EvgenT
05.09.2024 05:06+21вероятно, сам дурак;
На этом можно было статью заканчивать и выключать обиженку.
Если пользователю из каждого утюга предлагают защитить свой аккаунт более сложным паролем и двухфакторкой, а тот плюёт на это.... Конечно же пользователь не виноват.
holymoses
05.09.2024 05:06+5С одной стороны да, но с другой стороны - телега очевидно бабки приличные рубит, в чём проблема завести нормальную тех.поддержку?
positroid
05.09.2024 05:06+13В убыточности компании с момента основания?
mizugoji
05.09.2024 05:06Телеграм изначально создавался с совершенно другой философией и целью.
Цель создания телеграм - безопасный, приватный месседжер. Доходность видимо на втором плане. Что мы и наблюдаем всё время существования телеграм.Но на счёт безопасного Телеграм я сомневаюсь, т.к. сам лично наблюдал паранормальщину, которая побудила меня отказаться от мобильной и десктопной версии и перехода только на веб версию через браузер с запуском из jail/fairjail.
Если коротко, то кто-то из разработчиков запилил код в телеграм клиенте, позволяющий выполнять удалённо что-то, возможно даже что угодно, вплоть до полного управления Android-ом, т.к. паранормальщину зафиксировал на андройде.
Чуть подробнее: более 2 лет назад я установил на андройд программу джаммер, опенсурсную из репозитория F-DROID, чтобы блокировать микрофон всем приложениям, когда смартфон не используется. Android недавно перепрошил, установил фаервол NetGuard из репозитория F-DROID и установил только 1 программу с сетевым функционалом, работающую постоянно, даже в фоне с выключенным экраном - это был Телеграм, тоже установленный из репозитория F-DROID.
Напоминаю, что все программы из F-DROID собираются из исходного кода и лог сборки доступен всем для ознакомления.
С 22:00 до 9:00 мой смартфон автоматически переводится в режим "Не беспокоить" и все звуки отключаются.
И ровно в эту же ночь я просыпаюсь от жужащего непонятного звука (такой звук я слышал впервые), понимаю, что это жужжит смартфон, беру в руки смартфон, открываю фаервол NetGuard и вижу 2 новых установленных TCP соединения, которые появились меньше минуты назад, т.е. ещё до того как я включил экран смартфона и открыл NetGuard. К тому же тот, кто эксплуатировал данную уязвимость ещё как то могут обходить установленные настройки андройда, т.к. звуки были отключены.Совпадение? Не думаю.
Толи до этого случая, толи после когда я начал интересоваться подобной паранормальщиной я нашёл какой то смартфон в продаже, позиционирующийся как безопасный с защитой от спецслужб. Я задал пару вопросов компании и толи на следующий день толи позже я видел сам лично, как зазвонил кнопочный телефон бати, ответить на звонок никто не успел, но после того я начал смотреть кто звонил, во входящих вообще отсутствовал пропущенный звонок. Такие фокусы могут делатся при звонке напрямую на модем, когда факт звонка даже не доходит до операционной системы, поэтому звонок не фиксируется во входящих. Такое оборудование для таких звонов не продают обычным физ. и юр. лицам, это возможности гос-спецслужб.
Вот и вопрос - какова вероятность, что официальный клиент забекдорен именно под спецслужб? Ответ очевиден.
Павел Дуров, если вдруг прочтёшь это сообщение - у тебя среди разработчиков похоже предатель/агент, пишуший уязвимый код, позволяющий творить с андройдом что угодно.
Newbilius
05.09.2024 05:06+5История звучит почти как крипипаста)
mizugoji
05.09.2024 05:06+3Ну вот вам ещё один пример паранормальщины, как вы такое можете объяснить.
Калуга, Билайн, Мобильный интернет.
Имеем SSH соединение, а потом бац и в соединении появляется HTTP пакет с редиректом на билайновскую заглушку и флагами "FIN, PSH, ACK":HTTP/1.1 307 Temporary Redirect Location: http://blackhole.beeline.ru
а потом ssh клиент инициирует разрыв, а пакеты не доходят до ssh сервера, как результат ssh соединение отваливается по таймауту.
Ничё так, да?
Откуда в SSH соединении HTTP пакет? Http пакеты не стандартизированы в RFC SSH.
Сейчас поднял обсуждение на NTC, присоединяйтесь.
Grey83
05.09.2024 05:06+2Если коротко, то кто-то из разработчиков запилил код в телеграм клиенте, позволяющий выполнять удалённо что-то, возможно даже что угодно, вплоть до полного управления Android-ом, т.к. паранормальщину зафиксировал на андройде.
Существует как минимум 2 официальных клиента телеги под андроид: в гуглплее (с урезаным функционалом по требованию гугла) и на оф.сайте телеги (полнофункциональный).
Кроме того под телегу создано её с десяток сторонних клиентов (с различающимися дополнительными возможностями). Не говоря о том, что существуют ещё и моды всех клиентов (чаще всего с доп.плюшками типа локального премиума и/или вырезаной рекламой).Ещё хорошо было бы указать версию ведроида и прошивку смарта. Потому как чнм свежее ведроид, тем туже затягивают гайки безопасности (тут моги, а вот тут - не моги). Те же права приложения в настройке системы (некоторые можно предоставить в любом режиме, а другие в активном, чтобы в фоне не работало). В последних версиях даже в статусбаре включаются индикаторы активности камеры и микрофона.
Ну и вообще для таких подозрительных выложены исходники официального клиента на гитхабе: https://github.com/DrKLO/Telegram
mizugoji
05.09.2024 05:06Да, у F-DROD версии телеграма, свой репозиторий - https://github.com/Telegram-FOSS-Team/Telegram-FOSS
и на весну 2021 года, когда я обнаружил эту паранормальщину, тоже был этот репозиторий.На весну (февраль-март) 2021 года я пользовался Xiaomi Redmi Note 7, прошивка была LineageOS или crDroid, менее вероятно прошивка "/e/".
Это получается Android 10 или 11 (возможно 10).mizugoji
05.09.2024 05:06В любом случае я очень сомневаюсь, что уязвимость в телеграм закладывается в форке. Форком будет пользоваться тыща человек, может больше, а вот официалка щас под милиард уже.
К тому же может прослеживаться политическая мотивация, если например разработчик внедрён российский.
Grey83
05.09.2024 05:06разработчик телеги вроде изначально российский был
ссыль на репозиторий официального клиента под ведроид я выше давал
artptr86
05.09.2024 05:06какова вероятность, что официальный клиент забекдорен именно под спецслужб?
А какова вероятность, что забэкдорена tglib, которой пользуются, наверное, почти все альтернативные клиенты?
Platovm
05.09.2024 05:06+4Кроме смс кода есть еще и пароль. Что еще нужно им сделать? Аппаратный токен?
Ruich
05.09.2024 05:06+2Нужно сделать адекватное восстановление аккаунта. Тот же вайбер и вацап позволяют вам восстановиться по номеру телефона. Телеграм, хоть и требует обязательного заполнения телефона для аккаунта, в дальнейшем не позволяет с помощью него восстановить доступ. Вы можете парировать, что по телефону не очень безопасно. Согласен, однак в этом случае хотя бы чтобы можно было обнулить аккаунт.
Platovm
05.09.2024 05:06Аккаунт уничтожается через определенный промежуток времени бездействия задаваемый в настройках. К тому же я не представляю что нужно сделать чтобы быть забаненным в телеге. Ну это лирика. А что мешает создать другой аккаунт? Это же не соцсеть где реально может быть больно от потери.
Flux
05.09.2024 05:06Это же не соцсеть где реально может быть больно от потери.
Ничего что у многих людей в телеге буквально годы переписки, памятных фоток, заметок и прочего? И далеко не каждый периодически архивирует всю эту переписку.
Я, например, не самый активный пользователь и общаюсь в основном текстом, но даже у меня экспорт истории выходит в 10 гигов.Grey83
05.09.2024 05:06у многих людей в телеге буквально годы переписки, памятных фоток, заметок и прочего?
Очередные любители облака, которые считают, что облако будет всегда доступно, владелец оного не потрёт данные в нём даже случайно и при этом в облаке всё многократно продублировано, чтобы не дай Б~г не потерять ценнейшие фоточки юзверя с котиками?
ССЗБТут на хабре чуть ли не через пост в комментах встречаются сообщения про бэкапы и про то, что люди делятся на 2 типа: тех, кто уже делает бэкапы, и тех, кто ещё не начал это делать (я скорее ко вторым отношусь, хе-хе, правда и существенно важного мне не терял).
Ruich
05.09.2024 05:06Злоумышленники, завладев аккаунтом, держат его активным довольно долго. С кейсами, с которыми я сталкивался, от взломанных аккаунтов начинается рассылка таких же сообщений с попыткой завладения чужим аккаунтом и сообщений вида "Привет такой-то, одолжи N денег, завтра вечером отдам". И я видел, что на последние сообщения велись даже те люди, которые довольно осторожно относятся ко всему.
Другой аккаунт мешает создаёт отсутствие другого номера телефона. В некоторых странах симки не продаются просто так.
Platovm
05.09.2024 05:06Можете подробнее рассказать как происходит угон аккаунта? Кроме тривиальных случаев потери/отжатия телефона. Очень интересно.
Ruich
05.09.2024 05:06+1В последних кейсах присылают ссылку на "проголосуй за моего сына на конкурсе, там надо будет ввести код проверки, чтобы не было накруток". Пользователь пытается проголосовать, вводит код "защиты от накруток", который ему пришёл в телеграм, пусть и с текстом "никому не говорите этот код". Если есть облачный пароль, то сразу запрашивается и он. Некоторые всё ещё ничего не подозревают и вводят. Далее благодарственное письмо, за то что проголосовал. У пользователя чужая сессия висит некоторое время затаив дыхание. Через N часов или дней чужая сессия выкидывает все другие сессии и начинает рассылку сообщений друзьям пользователя с просьбой проголосовать или перекинуть денег. Если пользователю каким-то образом удалось авторизоваться заново, например через код пришедший на заранее указанную почту, то его через несколько секунд выкидывает скрипт злоумышленников. Даже если успеть добраться до кнопки "завершить все сеансы", сессия злоумышленников останется, так как она "старая", а пользователя "новая".
Platovm
05.09.2024 05:06Так а каким образом возникает новая сессия на стороне злоумышленника? Если пользователь вводит все коды на том же девайсе что и обычно.
ErshoffPeter
Горестное изложение плюс аналогичные истории приятелей напомнили стишок из детства.
Было три, а стало пять — всё равно берём опять!
Даже если будет восемь — всё равно мы пить не бросим!
Передайте
ИльичуДурову — нам и десять по плечу,Ну, а если будет больше — то получится как в Польше!
Ну, а если — двадцать пять — Зимний снова будем брать!
...то есть перейдём на WhatsUp...
poige
Там самый главный детский стишок это «У такого солидного продукта, как Telegram».
Телеграм, «в котором никогда не будет рекламы», и в котором однажды стало так, что любая сторона обычного (не секретного) чата может его полностью почистить — просто потому что его предводитель там чего-то переголодал и просвятился — солидный продукт? Который из некогда минималистичного мессенджера превратился в мельтешащее эмоджи (дополнительными — за бабки) попсовое поделие, в котором даже показ сторисов нельзя отключить — солидный продукт? Это пять, я считаю… ©
P. S. В карму уже успело прилететь — очевидно от обиженных фанатов. Но если говорить по фактам, то всё было именно так, как я сказал.
killyself
Начинал телегой пользоваться в 2015, это был настолько шаг вперед после ВК, что я туда насильно затаскивал все важные контакты. Ныне же - кроме 1х1 чатов, ничего и не хочется трогать, всё затёрто