11.06.2026 09:21
Makeman 24 6800 Источник

До недавнего времени у меня была ложная уверенность, что покуда аккаунт Telegram привязан к реальному мобильному номеру и при этом у пользователя есть доверенное устройство, то удалённо украсть аккаунт, как минимум, чрезвычайно сложно, если вообще возможно. Максимум, кто-то может открыть ещё одну пользовательскую сессию и получить доступ к перепискам.

Однако на деле оказалось, что букально в течение нескольких дней злоумышленник способен ещё и безвозвратно отвязать мобильный номер втихую, что ведёт к полной потере доступа настоящим пользователем, - вот уж то, чего действительно не ожидал от сервиса, который по своим ценностям нацелен на безопасность!..

Сразу замечу, что эту лазейку довольно легко исправить, но почему-то она до сих пор присутствует... Причём, судя по всему, служба поддержки не справляется с обращениями пользователей (даже с платной подпиской!), поэтому шанс вернуть аккаунт стремится к нулю.

Именно по этой причине было решено опубликовать данное обращение, вдруг на него всё же обратят внимание разработчики Telegram и примут необходимые меры для усиления безопасности.

Описание схемы кражи аккаунта и возможных путей предотвращения

Уже много лет подряд мой личный аккаунт был привязан к одному мобильному номеру. Неделю-две назад в совсем другой социальной сети мне пришло сообщение от якобы менеджера магазина одежды с предложением о сотрудничестве, стать амбассадором бренда.

В сообщении присутствовала вредоносная ссылка, которая вела на телеграм-аккаунт сотрудника, которому нужно было написать для получения более детальной информации.

Поскольку заходил по этой ссылке с компьютера, на котором не установлено приложение, открылась веб-версия приложения, где нужно было отсканировать qr-код с доверенного мобильного устройства.

На тот момент был сонный и уставший, поэтому без всякой задней мысли этот код отсканировал, подтвердил вход и успешно зашёл на фишинговую веб-версию Telegram с компьютера. А спустя несколько дней вдруг обнаружил, что аккаунт был отвязан от текущего мобильного номера и у меня уже нет к нему доступа.

Замечу, что никаких sms-оповещений о происходящей смене номера мне не поступало, хотя по-хорошему можно было прислать соообщение примерно следующего содержания: «Кто-то пытается отвязать данный мобильный номер от телеграм-аккаунта и сменить его на другой. Если вы не запрашивали смену номера, то срочно войдите в аккаунт, чтобы прервать этот процесс».

Более того, можно даже не заморачиваться с рассылкой sms-оповещений, а просто оставить «окно», скажем, около месяца, в течении которого на аккаунт ещё можно зайти с отвязывемого мобильного номера и увидеть схожее сообщение внутри приложениия с возможностью превать этот процесс.

В реальности текущая резкая и при этом тихая смена номера несёт куда большие риски потери доступа к аккаунту, чем «окно плавной смены номера».

На момент публикации доступ к моему аккаунту полностью потерян, вернуть аккаунт на прежний номер или хотя бы как-то ограничить отправку сообщений с него, чтобы предотвратить возможные попытки мошенничества среди контактов, нет возможности, поскольку обращения в поддержку остаются без ответа уже несколько дней подряд.

Может быть, сам чего-то недопонимаю и идея с окном плавной смены мобильного номера не лучший вариант решения, но тогда буду очень благодарен за подробные пояснения почему...

 

Комментарии (24)


  1. AlexandrKuzmin-dev
    11.06.2026 09:39
    #30097553

    Думаю неплохо было бы отправлять смс-подтверждение также и на старый номер, перед сменой.

    Но уязвимостью конечно это сложно назвать) По сути сами все права подтвердили. И на будущее советую поставить облачный пароль, для дополнительной защиты.


    1. Makeman Автор
      11.06.2026 09:39
      #30097913

      Подтвердил только открытие новой сессии, но про внезапную смену номера никто не спрашивал, а надо бы…


  1. Litemanager_soft
    11.06.2026 09:39
    #30097587

    Да тут вообще в телеграмм зайти нужно помучаться, впн и т.д.


    1. Makeman Автор
      11.06.2026 09:39
      #30098185

      Живу в Беларуси, на данный момент телеграмм тут у нас работает без впн.


      1. php_master
        11.06.2026 09:39
        #30098638

        Не уверен, что эта информация точная, но где-то слышал, якобы на территории РФ и Беларуси с целью продвижения Max специально давили регистрацию новых аккаунтов в Telegram за счёт блокировки верификационных СМС. Так что вполне может быть, что при отвязке номера Telegram всё-таки пытался уведомить вас, но СМС так и не дошла.


        1. Makeman Автор
          11.06.2026 09:39
          #30099746

          Маловероятно, потому что после кражи аккаунта без проблем получилось зарегистрировать новый на прежний номер, верификационное sms-сообщение дошло успешно.


  1. jaker
    11.06.2026 09:39
    #30097801

    "мне пришло сообщение от якобы менеджера магазина одежды с предложением о сотрудничестве, стать амбассадором бренда."- а разве это не черная метка, что нажимать на это нельзя?


    1. Astrowalk
      11.06.2026 09:39
      #30097883

      Да и вообще – сообщение от неизвестного контакта, любое сообщение с голосовухой внутри – поводы для автоматического бана.


      1. Makeman Автор
        11.06.2026 09:39
        #30098019

        В целом так, но в жизни всякое бывает, поэтому возможность смены номера хорошо бы реализовать как-то более безопасно и мягко.


      1. griba
        11.06.2026 09:39
        #30098133

        Вот вам пример из жизни, один на миллион. У коллеги в имиграции была проблема с симкой, ходила ногами в местный отдел оператора связи, помочь не смогли. Совершенно случайно через день позвонил добрый сотрудник для решения вопроса, надо было подвердить личность через банк (стандарная процедура здесь), так вот совершенно случайно вместо только кода пришло еще и списание 400 евро. И тут не хватило буквально одного свайпа. Просто попали в нужный момент и контекст.


        1. itoolsy
          11.06.2026 09:39
          #30101730

          Это прям новое в мире аутентификации. В какой стране подобное есть, можно узнать? Никогда банк ничего ни для кого стороннего не удостоверяет, кроме подтверждения транзакции


          1. griba
            11.06.2026 09:39
            #30101734

            В Литве, но не транзакция, а подпись документа (через SmartID). Выглядит похоже


            1. itoolsy
              11.06.2026 09:39
              #30101752

              Не совсем понятно, что похоже, ибо банк присылает вопрос - ты ли это, друг мой, хочешь списать деньги - и все. Никакой другой функции он не должен нести и не несет. Либо там еще и доп функционал навесили, открыв огромную дыру....


    1. Makeman Автор
      11.06.2026 09:39
      #30097957

      Да, это действительно подозрительный флажок, но именно поэтому мне и стало любопытно узнать, с какой целью рассылают подобные сообщения.

      Поскольку сообщение пришло в другой социальной сети, то как-то и мысли не возникло, что могут украть доступ именно к телеграм-аккаунту, тем более что у меня была уверенность, что в мессенжере нельзя вот так просто взять и отвязать мобильный номер без явных уведомлений.


  1. aax
    11.06.2026 09:39
    #30097881

    Смотреть надо в корень проблемы - помесь интернет месседжера и услуг мобильной связи это старый, и сомнительный как технологически так и юридически, костыль от которого давно пора отказатся, а не подпирать его новым патчем-костылем.


    1. Makeman Автор
      11.06.2026 09:39
      #30098103

      Меня бы устроила регистрация по никнейму и паролю с подтверждением на почтовый ящик, как было в старые добрые времена. Однако привязка номера телефона к социальным аккаунтам - это, скорее, на мой взгляд, требование безопасности от государственных структур, чтобы в случае чего было проще отыскать адресата по официальному запросу.

      Конечно, получить сим-карту можно и без документов или на подставных лиц, но для этого нужно заморочиться. Большинство же людей привязывают аккаунты на официальные личные номера.


      1. aax
        11.06.2026 09:39
        #30098163

        Не совсем так Телеграммм например предлагает купить номера +888 для регистрации. Это вопрос архитектуры актуальной минус 20 лет назад.

        Но даже ессли широко закрыть глаза на сомнительную приватность(что например мне не подойдет), то все равно имеем полный кринж технологически - как только сотовая связь легла, ее технологическая ее альтернатива(интернет месседжер) из-за кривой архитектуры тоже легла следом из-за искуственной инфраструкторной зависимости от ОПСОСа(даже с при работе по проводу с десктопа).

        То, что индустрия интернет-сервисов в свое время(лет 20 назад) массово выбрала SMS в качестве стандарта для двухфакторной аутентификации (2FA) и авторизации — это историческая ошибка ленивого проектирования. Разработчики просто использовали то, что уже было в кармане у каждого пользователя, вместо создания доступных автономных криптографических решений например TOPT.

        Стандарты уже существовали: Алгоритм HOTP (на основе счетчика) был стандартизирован IETF как RFC 4226 в 2005 году, а его развитие TOTP (на основе времени) было описано чуть позже в RFC 6238. То есть 20 лет назад теоретическая база уже была полностью готова.


        1. Makeman Автор
          11.06.2026 09:39
          #30098264

          Честно, если бы в Телеграмм нормально работала поддержка пользователей и можно было вернуть аккаунт на прежний номер в короткие сроки, то в связке номера и аккаунта всё же был бы смысл…

          А так, конечно, создаётся только видимость некой безопасности, которая делает пользователя излишне беспечным, как и произошло в моём случае.

          У меня даже возникла мысль купить премиум-доступ, чтобы поддержка мне всё же ответила, но изчив комментарии людей в сети, понял, что другие теряют аккаунты по схожей схеме даже с премиум-подпиской и никакого приоритета с поддержкой она не даёт.


  1. Trahibidadido
    11.06.2026 09:39
    #30097965

    Есть же определенные гайдлайны для публикаций уязвимостей, Responsible Disclosure, всякое такое. Открытое письмо на популярном портале явно не стоит там на первом месте


    1. Makeman Автор
      11.06.2026 09:39
      #30097981

      Вы правы, но эта публикация во многом для гласности, чтобы у других людей не возникало ложной уверенности в почти непогрешимой безопасности мессенджера, какая была у меня.

      Извините, нажимал кнопку “Одобрить комментарий”, но она чуть подвисла и случайно клацнул на минус, а отменить уже нельзя. Может, кто-нибудь другой плюсанёт.


    1. firegurafiku
      11.06.2026 09:39
      #30098274

      Responsible Disclosure

      Тут совершенно нечего проводить через гайдлайны публикации уязвимостей. “Уязвимость” давно известна, давно и широко эксплуатируется, и лежит в социальной плоскости, а не в технической.

      А по существу вопроса: ещё в далёком две тысячи условно пятом году Мейлу-Агент оповещал пользователя по имейлу о попытке смены телефона в профиле, и тут же давал возможность смену телефона отменить. Тому, что этого не делает Телеграм, нет никаких разумных оправданий.


    1. Makeman Автор
      11.06.2026 09:39
      #30098628

      Справедливости ради замечу, что на странице https://telegram.org/faq есть вопрос

      Q: Why should I trust you?

      где указан адрес, куда можно сообщать об уязвимостях и проблемах с безопасностью

      We welcome security experts to audit our system and appreciate any feedback at security@telegram.org.

      Конечно, первым делом направил схожее обращение на русском языке по указанному адресу с копией на recovery@telegram.org, но за несколько дней так и не получил никого ответа, даже какой-либо автоматической отписки, что обращение принято на рассмотрение.

      Где-то в описании bug bounty program ещё встречал, что сообщения о технических уязвимостях следует оформлять на английском с полным описанием окружения и прочими деталями. Но тут такой случай, как заметили в комментарии чуть выше, что уязвимость лежит больше в социальной плоскости и механике привязки мобильных номеров.

      Причём, мне не нужны никакие материальные поощерения за констатацию факта наличия этой лазейки, которой уже давно злоупотребляют. Просто восстановить доступ к аккаунту было бы наилучшей наградой, так что мне больше практически ничего и не оставалось, как опубликовать этот материал тут.

      И да, для меня загадка, почему в Телеграмм не предусмотрены оповещение пользователя о смене номера и возможность отмены этой операции.


      1. Trahibidadido
        11.06.2026 09:39
        #30098918

        Если смотреть на обще принятые правила, то grace period по найденой уязвимости как правило 30 дней, но не менее двух недель. В течение этого времени разработчик обязан выйти с вами на связь и согласовать дальнейшие действия. То что сделали вы попросту неэтично, вы не дали разработчику времени на ответ, не то на устранение, и вместо этого выдали можно сказать инструкцию Bad Actorам.

        Я писал на security@telegram.org один раз, мне ответили спустя 13 дней. Я не представляю какой у них поток мусорных писем. Вангую что через пару недель ответят и вам.

        В случае если эта статья получит какую-то огласку в СМИ и отразится на репутации Телеграм, вас могут и привлечь. Если из-за вашей публикации злоумышленники начнут массово атаковать Telegram, компания может подать в суд о возмещении ущерба или вреда деловой репутации. Вероятность этого низкая, но она есть.


        1. Makeman Автор
          11.06.2026 09:39
          #30099808

          Большое спасибо, что поделились информацией.

          К сожалению, сам нахожусь не особо в теме поиска уязвимостей, поэтому плохо осведомлён о негласных правилах этикета в ней. Скорее, исхожу из позиции продвинутого пользователя, который хочет обратить внимание на проблему, которая существует в сервисе Телеграмм уже продолжительное время, но её всё никак не исправляют.

          Если поизучать вопрос чуть подробнее, то окажется, что обычные пользователи уже не первый год сталкиваются с подобными схемами кражи аккаунтов, а поддержка зачастую просто не отвечает на их обращения даже с платной подпиской.

          То есть злоумышленники уже(!) массово атакуют пользователей Телеграмм, но сам сервис почему-то не закрывает лазейку.