Последнее время безопасность Telegram (далее – телеграм) все чаще поддается критике и встает вопрос: «действительно ли телеграм хорошо защищен?»
Как и для любого мессенджера – важна его максимальная интеграция со сторонними сервисами. Для примера, телеграм в первую очередь работает с вашей телефонной книгой. Он синхронизирует ваши номера со своей базой и проверяет на наличие регистрации в телеграме. Далее – телеграм предлагает вам свободные сообщения и звонки с вашими потенциальными друзьями. «Удобно» — что еще сказать?
Воспользуемся этой удобностью.
Берем в руки Android. Я взял Samsung A3. Подключаем к ПК. Предварительно экспортируем контакты и получаем файлик с названием vCard.vcf. Следующие 5 минут прочтения этой статьи он будет нашим лучшим другом. Копируем себе на рабочий стол, открываем через текстовый редактор и видим следующую картину:
Каждый наш контакт заносится в некий шаблон с началом тега «BEGIN:VCARD» и концом «END:VCARD». Между ними находятся: имя контакта, телефон и фото (если есть) – это основные параметры, которые нам будут нужны.
Что ж, хорошо, но что это нам дает? А то, если мы создадим свою базу по подобному шаблону, то сможем импортировать ее обратно в наш телефон и использовать далее по назначению. Память андроида позволяет сохранять до 20 тысяч контактов. Ищем базу номеров в паблике/покупаем/генерируем сами, исходя из нашего региона, и т.д.
Смысл в том, чтобы собрать базу из 20 тысяч номеров, присвоить им номера и импортировать в наш телефон.
Я просто купил готовую базу для спама, номера которых зарегистрированы в телеграме. На PHP написал скриптик для генерации шаблона «name;number» и создал свой собственный vCard.vcf:
И так, мы имеем базу из 20к контактов, имена которых не известны, как и номера. Но мы же с вами собрались за экшеном, поэтому копируем эту базку на флешку нашего андроида, через контакты импортируем данную базу:
В итоге, имеем телефонную книгу из 20к контактов. Далее – самое интересное. Мы подрубаем интернет на телефоне. Желательно, Wi-Fi. Запускам клиент телеграма и, О, ЧУДО! «Телега» предлагает нам синхронизацию контактов, так как считает, что у нас якобы появились новые контакты, а, значит, потенциальные друзья! Мы соглашаемся, конечно же. И что делает телега? Телеграм проверяет ваши номера из телефонной книги на регистрацию в своей базе и выдает вам фото контактов, которые зарегистрированы!
И так, мы теперь знаем номер телефона и фото пользователя. Что же нам с этим делать? А делаем мы следующее: экспортируем все наши контакты. Стандартный экспорт контактов из телеграма не поможет, так как он не показывает фото, поэтому мы можем, воспользовавшись API, написать свой скриптик или взять готовый. Я взял готовый с гитхаба «ExportTelegramContacts». В конфиге надо прописать данные своего API, зарегистрировавшись как разработчик. Делается все за минуты.
Запускаем приложение через консоль
Авторизуемся и вводим команду на экспорт с фото!
Спустя некоторые секунды/минуты получаем файлик с форматом:
Абсолютно такой же вид, как и был у нас при генерировании импорта, только добавилось поле «фото». Это аватарка нашего контакта, зашифрованная base64.
То есть, телеграмм «сожрал» нашу базу из 20к номеров и выдал нам все контакты, которые зарегистрированы в системе, попутно привязав к ним реальный аватар пользователя: (фото есть не у всех пользователей).
Раз телеграм пробил реальных пользователей на регистрацию, то выдал нам их фото. Таким образом, мы знаем, кому принадлежит данный номер, но по прежнему не знаем логина и реального имени пользователя. Чтобы узнать логин пользователя, нам нужен другой аккаунт в телеграмме, с ранее добавленными пользователями по их логину.
Ну, а потом все повторяется. Экспортируем базу через ExportTelegramContacts и имеем такой же файл формата vcf с данными пользователей (фото, имя, логин).
Затем нам просто нужно сравнить 2 файла и перебрать всех пользователей из первого и второго аккаунтов. Сравнивать мы будем, конечно же, по фото (base64). Соответствующие фото будут означать найденных пользователей, следовательно, мы объединим их фото, логин, номер и имя. Таким образом, мы пробили данные нужных нам пользователей.
Конечно, этот процесс не быстрый и дает мало шансов, но, если нам нужно пробить пару тысяч пользователей, то загружая и выгружая по 20 тысяч пользователей, а затем, сравнив их, можно добиться вполне не плохих результатов.
И так, подведем итоги! Все просто! Имеем 2 телеграм аккаунта. Один нам нужен для импорта номеров, которые будем пробивать. В другой добавим интересующих нас людей. Экспортируем из первого аккаунта все наши контакты, которые определил телеграм, как друзей. Вид экспорта будет: «номер_телефона: фото». Из другого экспортируем те же самые контакты, только вид уже будет: «логин: фото».
Ну, а дальше все просто. Сравниваем два файла и перебираем циклично все контакты, находим те, которые соответствуют фото.
Таким образом, фото из одного списка, которое соответствует фото из друго списка, приравнивается к нашей жертве, и мы узнаем его номер.
Ведь, фото = фото => логин + номер
Наглядный скриптик для полного перебора пользователей: (извиняюсь за
Подведем итоги!
Процесс 1 цикла поиска занял у меня около 10 минут. За 10 минут я перебрал 20 тысяч номеров. В сутки можно прогнать до нескольких миллионов. Полностью автоматизировать этот процесс не удалось, поэтому работать придется руками, что весьма неудобно. К тому же, не все пользователи ставят фото в свой профиль. Ни с какими лимитами или ограничениями я не столкнулся. В течение нескольких часов тестировал по максимуму. Не смотря на минусы и плюсы сие метода — сама идея, что номер пользователя телеграмма можно раскрыть – имеет место быть.
Комментарии (170)
LumberJack
08.09.2018 17:52-4Я стесняюсь спросить, но зачем вам несколько миллионов фото?
molodoy_hacker Автор
08.09.2018 17:57Здравствуйте.
Суть в том, чтобы собрать базу из фото: номер.
А далее использовать ее для того, чтобы узнать у какого-либо пользователя с логином — его номер.
Чтоб собрать базу — надо прогонять по 10-20 тысяч номеров через телеграм, дабы узнать их фото.
Фото — единственный идентификатор, с помощью которого можно найти номер какого-либо человекаLumberJack
08.09.2018 18:01-12Простите, но это полная фигня. Ни одна соцсеть не требует реального фото для привязки к профилю. У меня, например, вообще котики стоят.
molodoy_hacker Автор
08.09.2018 18:04+7Прочитайте статью, если не читали еще.
Тематика аватара пользователя не важна. Пусть хоть там будут котики, хоть наркотики.
Важно, чтоб она просто стояла в профиле!
Мы подбираем номер телефона к логину через фото.
Если фото, которое выдал нам телеграм, когда мы добавили случайный номер в телефонную книгу, Совпало с фото пользователя, которого мы добавили по логину ранее, то мы узнали номер этого пользователя.
Некий брут номера телефона юзера по фото.
Фото — как пароль. Подобрав его, узнаем и номерLumberJack
08.09.2018 18:07-11Читал. Одного не пойму, нафига это всё нужно?
molodoy_hacker Автор
08.09.2018 18:10+4Это нужно спецслужбам.
Ну же, у вас ведь орел на аве.
Легко же понятьsmovlad
09.09.2018 12:35А что если например у нескольких пользователей совпадают фотографии? Ведь по идее их base64 будет одинаковым, а значит опять же сопоставить номер с аккаунтом по данному признаку будет сложно. Вроде как делают иначе — добавляют контакты на тот же девайс и в телеграме соответственно он получает то же имя, что и в телефонной книжке. Так легче ведь, чем сравнивать по аватарке (кроме того даже в вашем посте написано, что её может и не быть)
staticlab
09.09.2018 12:46+1Получится десяток номеров, которые, при целенаправленной "разработке" аккаунта, можно дальше анализировать другими методами.
eirnym
10.09.2018 11:49Наличие логина в системе не отвечает на вопрос об использовании. Telegram удаляет учетку после полугода, но заходить раз в полгода ради поддержания учетки — не проблема.
AlexanderS
08.09.2018 18:29+8Это нужно для деаномизации конкретного пользователя. Цели этого — у всех различные. И вовсе это необязательно спецслужбы. Такой возможностью с радостью воспользуеются мошеннки различных мастей. Но фишка даже не в этом: какого ***** мессенджер, который позиционировался как самый-самый зашифрованный и надёжный позволяет вытворять такую фигню?
dartraiden
08.09.2018 18:43+6Анонимность и зашифрованность — не синонимы. Допустим, ваш провайдер, прекрасно знает, какой абонент подключён в такой-то порт на коммутаторе. Но он не знает, какая информация передаётся внутри установленного вами VPN-туннеля.
Telegram не обещает вам анонимности, хотя достичь её можно: использовать для регистрации сервисы, позволяющие принять SMS, либо одноразовые симки в одноразовых копеечных телефонах; для подключения использовать прокси и т.д.AlexanderS
08.09.2018 18:52Согласен. Но непонятно, зачем нужно было оставлять такую дыру. Причём она уже стара как я не знаю что. Ведь в общем-то несложно затруднить её эксплуатацию, а воз и ныне там.
tmnhy
08.09.2018 18:56использовать для регистрации сервисы, позволяющие принять SMS
Не надо так делать, вы попадаете ещё на одну уязвимость, которая помимо прочего позволит угнать ваш аккаунт.dartraiden
08.09.2018 18:57А с двухфакторной авторизацией? Когда кроме обладания сим-картой нужно ещё обладать и паролем.
Доверять исключительно наличию сим-карты нельзя не только в Telegram, но и вообще везде. Симку не очень трудно перевыпустить без согласия владельца.lieff
08.09.2018 19:17Двухфакторке мешает перевыпуск симок на один и тот же номер, если симкой давно не пользовались. Иначе пользователь новой симки, на которой кто-то уже был, просто не сможет зарегаться. Потому существует процедура реги по одной смс, а мера защиты — задержка.
TyVik
09.09.2018 06:28А ещё Сбербанк при отправке перевода показывает имя и отчество получателя. Да, оно может не совпадать с ФИО владельца номера, но это не такая уж частая ситуация.
AlexanderS
09.09.2018 12:04Тут уже двояко. Банковские переводы — априори не анонимные. Это ж не крипта) Подразумевается, что я знаю, кому отправляю. И знание имени и отчества, а так же первой буквы фамилии здорово минимизирует ошибку перевода. С другой стороны, третья сторона может собрать массив из четырёх последних цифр карты, ИО и первой буквы фамилии.
JerleShannara
09.09.2018 12:15Мыслим дальше и шире. Через телеграм связали номер и логин, а далее через сбербанк вытащили ФИО (если человек есть в сбере), далее делаем что нам надо. Начиная от простого To: HorsePhuker Msg: Идоцкий Виктор Фигович, мы знаем, что вы предпочитаете. и заканчивая «Это служба поддержки сбербанк онлайн в телеге.»
bask
09.09.2018 13:02мессенджер, который позиционировался как самый-самый зашифрованный
А хомячки этому тупо верили :)
Позиционировался он так лишь для того, чтобы набрать миллионы пользователей.
На самом деле телеграм практически не зашифрованный. Шифруются только секретные чаты, которые возможны только на двух мобильных устройствах. Обычная переписка не шифруется.AlexanderS
09.09.2018 14:20Да это понятное дело. Просто в памяти-то осталось же его изначальное позиционирование, которое к нему и «приклеилось». Даже на хабре в комментах к статьям тех лет отношение к телеге было несколько иное, чем, допустим, сейчас в этой статье. Хотя изначально всё было понятно из-за привязки к номеру телефона.
Xaliuss
09.09.2018 16:59-1Всё шифруется, но немного по разному. Секретные чаты end-to-end с ключами только на устройствах, и доступа к ним без конкретных устройств не получить. У обычных чатов шифрование идет через сервер, что позволяет синхронизировать их и так далее, и доступ к ним идет через аккаунт, к чему доступ получить относительно проще.
aquarium
09.09.2018 17:23Готов спорить на пол биткоина что залатают в ближайшем обновлении.
AlexanderS
09.09.2018 17:36Этой, не то что б дыре, а, так скажем, эксплуатационной возможности уже года три! Причём в прошлом году её на хабре уже обмусоливали вроде)
lastuniverse
11.09.2018 10:28есть 2 таблицы данных. В одной 2 столбца: логин и фото, в другой 2 столбца: номер телефона и фото.
И есть задача — сопоставить логин и номер телефона.
Подумайте, как в этих условиях можно использовать фото
mazahakajay
09.09.2018 10:07люди вполне могут стать одинаковые аватары.
lastuniverse
11.09.2018 10:38Согласен. Фото, как и другие данные не дают 100? гарантии что при совпадении фото пользователя из первого и втрого списка контактов это будет один и тотже пользователь. Как вариант, сравнение на идентичность производть используя дополнительные данные, в идеале UUID. Для этих целей можно подумать о вариантах использования API телеграм бота. Такой подход возможно даже позволит автоматизировать процесс идентификации.
zerg59
09.09.2018 08:24Есть большая вероятность, что аватар из контактов телеги используется где-нибудь ещё. Как впрочем и логин. Я понимаю, что статья заказная, но проблема указана верно: аватар является ещё одним фактором, с помощью которого можно вычислить жертву. Кстати, имея базу телефонов можно запустить вайбер, вацап, фконтакт и прочие любители шариться по списку контактов и нарыть дополнительную информацию.
ingumsky
09.09.2018 22:56Можно полюбопытствовать. Кем заказана статья? У меня просто мнения, подобного вашему, не сложилось.
zerg59
10.09.2018 08:56Я так думаю, подобное можно проделать и с более популярными мессенджерами. Но статьи почему-то практически все про телегу. Один раз — случайность, два раза — совпадение, три раза — закономерность.
demimurych
08.09.2018 18:21Простите я не понял
Таким образом, мы знаем, кому принадлежит данный номер, но по прежнему не знаем логина и реального имени пользователя. Чтобы узнать логин пользователя, нам нужен другой аккаунт в телеграмме, с ранее добавленными пользователями по их логину.
Если он уже у меня добавлен, зачем мне его узнавать?molodoy_hacker Автор
08.09.2018 18:29+2Вы когда добавляете в телеграм человека по логину, его номер телефона показывает?
Отвечу за вас — нет.ivan386
08.09.2018 19:33+1Если его номер уже есть в записной книжке то покажет. Или это уже пофиксили?
200sx_Pilot
09.09.2018 00:08+1Я знаю твой логин в телеграме, но не знаю твоего телефона.
Беру 20 000 номеров и сравниваю с твоим логином. Совпадений не нахожу, беру еще 20 000, повторяю, и так до победы.
В результате имею пару [твой логин: твой номер] связанную признаком [твой аватар].
Зная твой номер, нахожу твоё имя и адрес регистрации, номер авто, место работы, устанавливаю личности родителей, жены, детей, круг общения, интересов…
Продолжать?plin2s
09.09.2018 11:42+1Так это ж, блин, одна из разновидеостей "соц.сетей", которая не обещает анонимности и никогда не обещала. Не хочешь чтоб тебя можно было найти — либо не пользуйся в принципе, либо регайся в разных местах с разными никами/аватарками/телефонами.
Те кто хотят анонимности знают что делать, те кто не хотят — им пофигу на такие методы. На диванных анонимов пофигу, пусть продолжают прожигать диван по любому поводу.
ratijas
09.09.2018 10:38Что означает "добавляете в телеграм"? Начинаете чат? Заносите в адресную книгу? Но в адресной книге те, кто уже с номерами.
Мысли в слух: раз есть аватарки, то должна быть и другая мета-информация о пользователях. Опять же, проверю, но сдаётся мне, что если написать кастомный клиент, то можно разом гораздо больше сливок снять.
Ernillgeek
08.09.2018 18:26-25Опять ФСБ заказало текстик о плохом телеграме? Снова не вышло. Не заплатят тебе сегодня, лучше иди улицы подметай, чем ФСБ задницей подмахивать
Andrey_Volk
08.09.2018 18:32+12Наркоман, что ли? Способ очень старый и реально рабочий. Но, настоящих анонимов по нему не вычислить. Хотя бы потому, что симкарты оч просто покупаются сейчас на улице без регистрации по паспорту. На заметку автору — фича работает не только с телеграмом.
molodoy_hacker Автор
08.09.2018 18:36На заметку автору — фича работает не только с телеграмом
Да, спасибо. Я догадывался об этом, но не было желания тестировать с другими мессенджерами. Не знаю, как обстоят дела с API у того же вацапа или вайбера, но если функционал позволяет, то, возможно, можно сделать куда лучше, в плане автоматизации поискаzviryatko
09.09.2018 09:07Вот меня тоже заинтересовала идея сгенерировать все возможные телефонные номера, прогнать их через телефон по всем месенжерам, для скорости можно использовать sdk, так получится немалая база пользователей для рассылки рекламы
firedragon
09.09.2018 09:20Кому нужен неуловимый джо, если еще учесть что ники везде одинаковые, то вычисляй не хочу.
molodoy_hacker Автор
08.09.2018 18:33+6Статья опубликована, вы комментируете. Вроде, все вышло. Все хорошо. Будьте вежливее, выходные же! Добра вам. Оно вам необходимо, как этот текстик ФСБ
Sabubu
08.09.2018 18:37+8Это все из-за маниакального стремления Дурова собирать личные данные. Если бы ТГ можно было пользоваться без номера телефона и email, уязвимости бы считай и не было.
AlexanderS
08.09.2018 18:42Есть мессенджеры с привязкой к некому ID. Например, Antox или Ring. Но они значительно менее распространены.
ivan386
08.09.2018 19:40Ну Antox очень не стабильный. Ну и первый контакт сложный. Можно конечно QR код сканировать но я вручную хеш вводил.
aureliano_b
09.09.2018 11:17+1поддерживаю! Токс, несмотря на проблемы с мобильными версиями, на мой взгляд, вне конкуренции.
aureliano_b
09.09.2018 11:30Ring — это SIP клиент с добавленной фичей отправки сообщений. Если вам нужен SIP клиент — то да, он не плох. Но насчет секьюрности… Ни про то, как устроена отправка сообщений в Ring, ни каких бы то ни было других технических описаний самой сети (если они не используют для тех же целей SIP) я не нашел. Так же, по правде сказать, я ранее не встречал на него никаких ссылок или рекомендаций в IS рассылках.
Я пользуюсь его предшествующей версией — SFLPhone, и она отличная. Но это только для SIP.AlexanderS
09.09.2018 14:21SFLPhone, и она отличная
А проблем с совместимостью нет? Он же вроде уже давно не развивается.
Mobile1
08.09.2018 18:49+2Рега по номеру и соответственно вытекающий отсюда доступ к записной книжке — это 2 самые большие дыры в мессенджерах.
Что толку от супер-пупер шифрования, если можно человека на раз деаномизировать.
Именно поэтому мы сделали свой мессенджер без реги по номеру и запретили доступ к записной.ValdikSS
08.09.2018 19:06+7Что толку от супер-пупер шифрования, если можно человека на раз деаномизировать.
Конфиденциальность и анонимность — не связанные между собой понятия. Называть «дырой» это неправильно, это отличительная особенность многих мессенджеров.
wlr398
08.09.2018 19:09+2Одновременно рега по номеру и большое удобство. От пользователя на смартфоне не требуется вообще ничего. И большинству пользователей анонимность до лампочки.
Ещё асечный UIN был довольно удобен. А вот необходимость придумывать и подбирать обычный логин, это неудобно совсем. Все благозвучные и короткие быстро становятся заняты. Приходится использовать длинный, кривой и плохо диктующийся по телефону.wlr398
08.09.2018 21:46+1Вспомнилось, кстати, как достаточно легко в случае необходимости по совершенно анонимному на вид е-мейлу при помощи гугла и яндекса раскручивалась информация. Люди на досках объявлений, форумах, сайтах типа линкедин и прочих ресурсах этот е-мейл размещали рядом с ФИО, местом жительства, местом работы, номером телефона и прочими персональными данными, ещё и другие способы связи указывали — аська, скайп.
Так что, если человек не хочет быть деанонимизированным, то лучше вообще интернетом не пользоваться.Daddy_Cool
08.09.2018 22:03Как мне видится — есть несколько степеней публичности/приватности.
1. Есть имя-фамилия-мэйл-страница в ВК и ФБ — которые публичны и соответствуют реальному человеку. Для официальных контактов.
2. Все то же — но НЕ СООТВЕТСТВУЮЩЕЕ реальному человеку, с абстрактным ником и котятками на автарках. Для неофициальных контактов, из которых впрочем человек не делает особой тайны.
3. Отдельный ноут с ТОРом с которого человек выходит в сеть в секретных местах в усах, парике, темных очках и занимается своими страшно-секретными делами.
Проблема в пункте 2. Можно случайно выложить э… неправильный демотиватор или поругать не тех кого можно.wlr398
08.09.2018 22:21По пункту 2 найдут и по IP адресу, привязка к телефону тут не столь принципиальна.
Mobile1
09.09.2018 13:08Вспомнилось, кстати, как достаточно легко в случае необходимости по совершенно анонимному на вид е-мейлу при помощи гугла и яндекса раскручивалась информация. Люди на досках объявлений, форумах, сайтах типа линкедин и прочих ресурсах этот е-мейл размещали рядом с ФИО, местом жительства, местом работы, номером телефона и прочими персональными данными, ещё и другие способы связи указывали — аська, скайп.
А если и емейла нет для реги в мессенджере?
У нас так, можно и без мейла.wlr398
09.09.2018 13:30Ну так ваш контакт будет указан на доске объявлений или в резюме на хедхантере вместе со всей остальной персональной информацией. Какая разница. Речь о том, что отсутствие привязки к телефонному номеру не даёт в общем случае ничего. И анонимность востребована очень, очень маленьким количеством пользователей, часто по надуманным причинам.
«Продать» это миллионам пользователей не получится.Mobile1
09.09.2018 13:57+2И анонимность востребована очень, очень маленьким количеством пользователей, часто по надуманным причинам.
Расскажите пожалуйста, какие у вас были «надуманные» причины фигурировать на Хабре под ником wlr398, а не под настоящим вашим ФИО?
wlr398
09.09.2018 14:17Не задумывался вообще над этим вопросом. Просто по озвученным выше причинам приходится регистрировать вот такие дурацкие е-мейл, Хабр требует для регистрации е-мейл, дальше оно само подставилось.
Думаю, если «кому надо» понадобится меня найти, то это у них получится.
Месенджер, где семья, работа, абсолютно не волнует, что он на телефонный номер.
TeiSinTai
10.09.2018 16:27Ну вы как нерусский, что-ли =) Когда заходит речь об идентификаторе в сети, хочется что-то легко запоминающееся — и вроде бы ФИО тут подходит… Но — нужно латиницей писать. Оппа. Я знаю человека, у которого на кредитке (!) фамилия была написана «К». Просто «К», потому что остальное — имя, больше не влезло. Транслит очень сильно раздувает многие буквы русского (Ш — уже две буквы). И даже если мы решаем смириться с этим, вылазит вторая проблема — коллизии. И вместо простого ФИО мы уже внезапно ФИО5. И приходится помнить, что на этом сайте ты 5-й, а на этом второй. И тут приходит мысль — если логин всё равно запоминать/записывать, почему не взять ник и сократить его как душе угодно? Если честно, я не вспомню ни одного человека из знакомых, у кого бы ник был длиннее фамилии и имени.
kmeaw
08.09.2018 22:24Можно использовать номер телефона в качестве логина — вряд ли он будет занят.
wlr398
08.09.2018 22:45Можно телефон. Можно имя.фамилия, как делают в компаниях. Но это ведь деанонимизация.
kmeaw
09.09.2018 00:17Я к тому, что система (назовём её системой #1), в которой можно выбирать себе произвольный (но не использованный другим пользователем) логин точно не хуже системы (#2), где логины совпадают с номером телефона.
Если пользователю важна анонимность, то он просто не воспользуется системой #2.
Если не важна, и он не хочет придумывать и подбирать что-либо, то в качестве логина он может просто взять свой номер телефона.
По этому критерию, система #1 точно не хуже системы #2, поэтому возможность выбора мне сложно посчитать недостатком.wlr398
09.09.2018 02:24С точки зрения пользовательского опыта, система с номером телефона чуть-чуть лучше, потому что в ней полностью отсутствует процедура регистрации, достаточно проинсталлировать приложение на смартфон. Если ориентироваться на большой охват, а не тех, кому нужна анонимность.
Mobile1
09.09.2018 13:14Я к тому, что система (назовём её системой #1), в которой можно выбирать себе произвольный (но не использованный другим пользователем) логин точно не хуже системы (#2), где логины совпадают с номером телефона.
Если пользователю важна анонимность, то он просто не воспользуется системой #2.
Если не важна, и он не хочет придумывать и подбирать что-либо, то в качестве логина он может просто взять свой номер телефона.
По этому критерию, система #1 точно не хуже системы #2, поэтому возможность выбора мне сложно посчитать недостатком.
Помимо номера сливается и записная книжка и именно это свойство использовал ТС.
И это да, во всех поп-мессенджерах.
Можно забить в свою записную книжку рандомные номера, создать из них группу, никого не спрашивая и делать рассылки например.
С какой-нить ссылкой на вирус.wlr398
09.09.2018 13:31С какой-нить ссылкой на вирус.
С этим справляются и через SMS.Mobile1
09.09.2018 14:04Обычно для СМС по умолчанию стоит настройка не открывать ссылки.
А именно в мессенджерах нет такого.wlr398
09.09.2018 14:23Может быть. Только последний активный спам помню по аське. В скайпе один раз у одного контакта угнали учётку и начали просить денег взаймы. Ни в телеграме ни в вотсапе ни разу ничего не приходило. Зато в СМС валится куча и спама и вирусных ссылок.
eirnym
10.09.2018 11:46Если Вы разрешите, то сливается. Я пользуюсь Telegram X, который не сливает. пользуюсь WA без слива моей записной книжки, но примерно помню по номерам телефонов и картинкам. Viber даже не хочу ставить.
xMushroom
09.09.2018 11:00Если нравится асечный UIN, что мешает сгенерировать себе логин из 9 цифр?
wlr398
09.09.2018 12:30Ничего не мешает. Только это получится отдельная сущность. Для тех, кому анонимность не нужна, использование в месенджере регистрации по Е.164 номеру более удобно. Не получится по какой-то причине связаться через месенджер, можно будет просто позвонить.
xMushroom
09.09.2018 12:42Нет, с телефоном я не спорю, я вот про это:
Ещё асечный UIN был довольно удобен. А вот необходимость придумывать и подбирать обычный логин, это неудобно совсем
Легко лично для себя можно использовать логин из 9 цифр по образцу аськи.
ratijas
09.09.2018 10:47"Мы сделали свой месседжер", но продолжаем путать анонимность и конфидециальность, авторизацию и аутентификацию, Краснодар и Красноярск...
Mobile1
09.09.2018 11:15Речь в комментарии шла о конечной безопасности пользователя, а как эту безопасность можно обеспечивать, с помощью анонимности или кофидециальности, с помощью релокации в Краснодар или Красноярск — это уже не так важно.
Важно то, что не требуя регу по номеру и не требуя доступ к записной книжке, мессенджер получается более безопасным для конечного пользователя.wlr398
09.09.2018 12:19Важно то, что не требуя регу по номеру и не требуя доступ к записной книжке, мессенджер получается более безопасным для конечного пользователя.
Попробуйте теперь это продать :)Mobile1
09.09.2018 12:57Попробуйте теперь это продать :)
Ну Дуров же продал конфидециальность без анонимности.
Значит можно продать и 2 в 1 — и конфидециальность и анонимность в одном флаконе :)wlr398
09.09.2018 13:35Тут надо только понимать, что Дуров это Дуров, он стал медийной персоной до телеграма и продать что-либо было гораздо проще, чем десяткам-сотням прочих месенджеров. Плюс довольно большие деньги.
Так же, конфиденциальность идёт бонусом и не требует от пользователя никаких телодвижений. Регистрации, логины, пароли — требуют.
huhen
08.09.2018 23:37По мне, номер телефона — это бесплатный ресурс для обычного пользователя и при этом платный для спамера. На данный момент никто вроде не придумал лучшего способа защиты от множественных регистраций.
ExplosiveZ
08.09.2018 19:40Разве телеграм не отобразит номер в профиле, если добавить номер в контакты на телефоне?
ptica_filin
08.09.2018 19:52-1Об этом и статья.
Генерим кучу телефонных номеров, добавляем в контакты, получаем логины привязанных к этим номерам пользователей телеграма. Повторяем, пока не надоест.
AsTex
08.09.2018 19:59+3Вообще, можно просто посылать запросы к серверу телеги через Telegram API(не путать с bot api)
Далее сохраняем пару id- номер, чтобы найти по нику — просто делаем запрос на поиск и получаем id по нику, вот и все.DonkeyHot
09.09.2018 13:00Вот именно.
И аватар не нужен, потому что идентифицируем по ID.
Связывать через аватар это костыль и главное аватара у половины юзеров нет.molodoy_hacker Автор
09.09.2018 13:16Что ж, вперед!
Потом скажете, какая была скоростьAsTex
10.09.2018 13:29Я, собственно, так и сделал уже давно.
Даже зарепортил им на security мэйл.
Я отсылал пачками по 1к номеров, с делэем, чтобы не схватить банан за спам.
Клиент телеграма работает через TL Api. Только вместо того, чтобы генерировать самим и сохранять в контакты — все это работало автоматом.
Более того, сохранялись только те контакты, которые были в текущей пачке, остальные сразу удалялись.
Ca5per
08.09.2018 20:01Помойный мессенджер, заставляют регистироваться на телефон и не могут должным образом обеспечить безопасность. На выходе получаем спам, с никами или именами и мошеннические звонки.
Не удивлюсь если потом email-ы телеги (двухфакторная) тоже утекут.hMartin
09.09.2018 02:13Простите, я видимо, что-то упустил, а кто заставляет вас регистрироваться? На рынке полно иных предложений, в том числе, с регистрацией не по номеру телефона и полным e2e.
Как бы мне не хотелось, чтобы Телеграм шел по пути максимальной защищенности, здравый смысл подсказывает, что без фич, подобных сабжу, сей мессенджер не вышел бы никогда на нынешний уровень популярности и довольствовался бы кол-вом инсталлов конкурентов: Wire или Signal, например.
DarkGenius
08.09.2018 20:05А что если у нескольких человек одинаковые аватарки?
ivan386
08.09.2018 20:12+3Если телеграмм их пережимает то скорей всего будут различия в данных.
Chupaka
09.09.2018 13:07Это, простите, как надо пережимать одну и ту же картинку, чтобы на выходе каждый раз было что-то новое?..
ivan386
09.09.2018 21:57+1Разные настройки. Разные версии и конвертеры. Несколько конвертаций подряд. Метаданные с датой и временем конвертирования. Ошибки. Возможно также есть зависимось от процессора.
good_message
08.09.2018 20:28+1ВКонтакте ввела возможность запретить поиск аккаунта по номеру телефона («Кто может найти меня при импорте контактов»).
Как на счёт продвижения предложения ввести эту функцию в Телеграм? Пользователь сможет сам решать, хочет ли он быть найденным.
Может быть, РосКомСвобода (Temych) поможет в инфо-поддержке?kreatr
11.09.2018 16:56+1ВКонтакте ввела возможность запретить поиск аккаунта по номеру телефона
да, но сначала ввела возможность поиска аккаунта по номеру телефона
vics001
08.09.2018 20:39-1Опять пишут, про то, что Телеграм сливает ФИО+Телефон и про то, что это надо всячески запретить. Давайте не будем скрывать очевидное:
1. Телеграмму нужен ваш телефон только, для того, чтобы гарантировать «уникальность» человека. Телефон не гарантирует этого, но очень защищает от «спама». [Защита от спама]. Это крайне важно если телеграмм используется как площадка для рекламы — рекламодатели любят знать точное количество уникумов.
2. Телеграмму нужен телефон и соединение, чтобы вы общались в телеграмме. Если у вас есть контакт и переписываетесь по почте, то телеграмм всяческим способом будет показывать, что вы можете использовать для этого Телеграм [Виральность + Реклама]
Это никакого отношения к безопасности не имеет. Да и безопасность от чего? От общения? Тогда лучше не пользоваться вообще телеграммом. Безопасность от Спама?
Телеграм рекламирует всего 2 вещи:
1. Приватные чаты действительно приватны
2. Они постараются не допустить утечки информации с сервера никаким 3-им лицам.
Преследуя много целей одна из которых удобство, очевидно что в клиенты будет попадать «лишняя» информация, которая будет компрометировать контакты или список контактов.molodoy_hacker Автор
08.09.2018 21:38Телеграм ничего не сливает.
Если вы не читали статью, то объясню вкратце: «мы сами сливаем реальные номера и имена у пользователей»eirnym
09.09.2018 10:41Точнее то, что они там написали и какую фотографию залили :) далеко не факт, что они реальные.
vics001
09.09.2018 13:19вкратце Telegram никак не проверяет действительно ли есть такой контакт у вас или нет (он и не может проверить с custom client) и отдает user_id, photo по телефону и, наоборот, по чату мы узнаем user_id, name, photo. Единственная защита, кол-во контактов по API. Сканим чаты, сканим БД телефонов — profit.
Можно написать свой клиент и проверить.eirnym
10.09.2018 11:43Сценарий 1: Предположим, что у Вас есть реально около 15к контактов (так сложилось), и вы включаете Telegram, который проверяет только 5к. Будете ли Вы, как пользователь, довольны? Как Вы будете доказывать, что Вы правы?
Сценарий 2: у вас три аккаунта с очень большим числом номеров, между запусками вы их отключаете и подключаете (Ваш Андроид не может съесть их все за раз). Telegram Вам сказал, что Вы не можете проверять дальше, потому что Вы, скорее всего, фишер/… (нужное подставить). Будете ли Вы, как пользователь, довольны? Как Вы будете доказывать, что Вы правы?
nickdeny
08.09.2018 22:25Кстати говоря, немного ранее отписал на почту Телеграма эту проблему и её фикс: возможность поставить галочку «Не показывать меня, если номера нету в моих контактах» либо такую же галочку для игнорирования номера при синхронизации контактов
1delovoj1
08.09.2018 22:36-3Я думаю что пользователей которые занимаются чем то противозаконным (которым нужна анонимность и шифрование) не более 10% от пользователей мессенджеров.
А остальным 90% удобно когда контакты синхронизируются.
Конечно на хабре процент заботящихся об анонимности намного выше.
Но в реальной жизни сколько слышали о хабре?wlr398
08.09.2018 22:51Шифрование никоим образом не пересекается с анонимностью. Шифрование нужно для защиты от перехвата трафика на транспорте. Без шифрования в куче точек можно поставить снифер и видеть всю переписку, раздолье для мошенников.
molodoy_hacker Автор
08.09.2018 22:57Если поставить снифер по ДНС, то шифрование телеграма не даст вам видеть все сообщения в читабельном виде.
Это сравнимо с PGP.
Только у телеги свои ключи
riot26
08.09.2018 22:57+3Как вы ловко назвали всех кому нужны анонимность и шифрование преступниками.
AlexanderS
09.09.2018 17:44Мне непонятно почему некоторые отчего-то считают, что если человек чем-то просто не хочет делиться, то это плохо, подозрительно и бог ещё знает что.
Если человек не хочет чем-то делиться с другими это не значит, что он представляет угрозу для общества!DelphiCowboy
10.09.2018 09:56Потому что очень хотят уговорить этого человека поделиться деньгами.
AlexanderS
10.09.2018 11:11Боюсь, что некоторые искренне верят в то, что «нам скрывать нечего» и «мои данные не представляют большой ценности». Когда же в результате эффективного корелляционного применения big data отрицательность такого отношения к своим данным станет очевидным, то будет уже поздно. Хотя реальность она такова, что… мы всё равно все будем в big data. Разница просто в том, что одни изначально сопротивляются, а другие нет)
backinfo
09.09.2018 00:43-1Может быть, таким вот подходом к отдельным аспектам безопасности Дуров как бы намекает некоторым идейным пользователям: у меня не получилось, бегите, в крупных мессаджерах вам нечего делать.
funca
09.09.2018 01:26Набор контактов в адресной книге, во многих случаях является уникальным и позволяет идентифицировать пользователя, если у вас уже есть про него сведения с других продуктах.
CeyT
09.09.2018 02:29Сейчас Паша прикрутит лимит на 19999 записей при импорте и выступит с заявлением, что самый лучший, анонимный и защищённый «Телеграм» (с серверами в России) стал только надёжнее и безопаснее.
lxsmkv
09.09.2018 03:33Чтобы узнать логин пользователя, нам нужен другой аккаунт в телеграмме, с ранее добавленными пользователями по их логину
Это то место где мы рисуем остаток совы?
Интересно, а что будет если, (как в спаме от ватсапа) выслать телеграм-сообщение на случайный номер? Как отобразится получатель спама в списке контактов телеграма, если мы попадем на пользователя телеграма? номером? или логином?Goodkat
09.09.2018 09:04Это то место где мы рисуем остаток совы?
Ага, при чтении я тоже споткнулся и перечитал пару раз этот абзац, но там дальше становится понятно, что автор пробивает уже имеющиеся у него логины. Т.е. не нравится (или наоборот, нравится) тебе кто-нибудь, о ком тебе известен лишь логин в телеграме и аватарка, можешь таким образом найти привязанный к логину телефонный номер или, точнее, телефонные номера с точно такой же аватаркой.
402d
09.09.2018 11:51Из пальца высосана проблема.
Это как двум девушкам представляться разными именами и требовать от всех окружающих,
чтобы тебя не спалили. И не дай бог окажется что одноклассник показал коллективное фото, где Вы все подписаны.
Почему нормой должна быть возможность гадить анонимно?
У меня даже домашний адрес легко найти. А не только связки телеграм-телефон-емайл-фио-фотоimanushin
10.09.2018 02:36Почему нормой должна быть возможность гадить анонимно?
Не гадить, а общаться. Мы же про программу для общения говорим.
А про анонимность: а зачем в нашем мире программа по защите свидетелей?
402d
10.09.2018 13:00Посмотрим например на ресурс ЧатВдвоем лидер по запросу «Анонимное общение» ;)
Место, где можно развлечься и пообщаться один на один с неизвестным собеседником, выбранным случайно. Никаких регистраций, все совершенно тайно.
Просмотры 1 555 046 11 032 844 47 427 337
Посетители 57 005 138 898 440 070
Смотрим в код страницы
_gaq.push(['_setAccount', 'UA-59536135-1'])
Ya.Metrika2 аж webvisor:true
ну и куча остального, что палит личность ;)
ihouseyou
09.09.2018 11:51Сколько РКН заплатил за статью?
molodoy_hacker Автор
09.09.2018 12:22А за что собственно они должны платить?)
Я не думаю, что это такая прям новость для кого-нибудь. Раньше уже были мысли по поводу этого. Я просто показал это наглядно. Уверен, что есть способы получше и эффективнее
Slasher111
09.09.2018 11:51Мне кажется, эту уязвимость закрыть проще простого. Телеграм как в приложение, так и через API должен отдавать для аватарки каждый раз разные фотографии, отличающиеся буквально в десятке рандомных пикселей, которые слегка и незаметно для человеческого глаза поменяют свой цвет. Визуально картинка будет все та же, но зато методом, описанным в статье, будет пользоваться невозможно.
molodoy_hacker Автор
09.09.2018 11:54Не совсем верный способ.
Ибо сравнение будет происходить уже не через прямое сравнение "==", а «попиксельное».
Вычислить средние цвета изображения, похожие участки пикселей, да и другие известные способы распознавания объектов на изображении, — все это не трудно.
staticlab
09.09.2018 12:33Если Телеграм позволяет с помощью открытого API написать свой клиент, то поиск контактов можно полностью автоматизировать?
vlsinitsyn
09.09.2018 13:14Феерично! Хотя, этого следовало ожидать. Мне сразу не понравился этот мессенджер своим желанием получить мой реальный телефонный номер. И это при том, что реклама напирала именно на анонимность.
keslo
09.09.2018 13:59Телеграм стоит вообще отказаться от возможности добавить свое фото. Просто сделать на выбор с десяток встроенных аватарок кому очень нужно.
Yur1j
09.09.2018 14:08Какой ужас, но знаете что еще страшнее, в сеть утекли понкоды от банковских карт, вы только посмотрите:
Пинкодыpastebin.com/2qbRKh3R
я более чем уверен, черт побери, да что б мне жениться, да тут пинкоды всех карт имеются!
лично проверилmolodoy_hacker Автор
09.09.2018 14:21Осталось лишь найти все пластиковые карты и перебрать все пинкоды)
KirEv
09.09.2018 14:14недавно обнаружил у себя установленный телеграмм… телефон сменил месяца 2 назад, телеграмм не ставил — так как в принципе им не пользовался…
… но он был установлен на предыдущем телефоне, который лежит почивает… новый тел. — андроид, старый тел — ios…
… откуда у телеграмма появились подобные привелегии — понять не могу… просто однажды пришло собщение на андроид фон (где я телегу не ставил) про какойто паспорт в версии 4.9…
konchok
09.09.2018 16:09-1Проблема высосана из пальца, любому понятно что регить на свой номер и ставить в аватарке своё фото и настоящее имя идея не очень хорошая. Потому что как ни крути это *публичные* данные. Забота Телеграма — сохранность переписки а ваше фото, ваш номер и ваш IP адрес это только ваше дело.
egor3245
09.09.2018 17:23-11. Человек который следит за анонимностью не будет регистрировать телеграмм на свой номер. Есть куча сервисов приема смс, на крайняк покупают другую симку.
2. Ключево шаг о котором он говорит — сопоставить логин и номер через сравнение фотографии профиля, чтобы узнать, тот ли это человек. Так вот, собственно можно не поставить фотографию в профиль)
Кстати, я часто пробиваю левые номера через Viber, Facebook, Instagram, vk, GetContact и телеграмм не исключение.
Но задача у него была обратная: имея логин в телеграме — узнать его номер, что без фото видимо невозможно.
А его статья — это так, метод припугнуть школьника, методом перебора 100 миллионных телефонных баз.
SF_NET
09.09.2018 20:21несомненно инструмент определения номера, логина и фото отражает недоработку разработчиков teiegramm, но по названию статьи представлял инструмент определения номера конкретного пользователя, а тут оказалось, что лишь те пользователи которым посчастливилось попасть в полученную базу номеров)
molodoy_hacker Автор
09.09.2018 20:22У вас проблемы с восприятием, ибо название «Раскрываем номера пользователей Telegram» не утверждает, что мы будет раскрывать номера конкретного пользователя, как вы написали
cahbe
09.09.2018 20:22Перечитал три раза и так и не понял о чём идёт речь в конце концов. На моменте что с чем сравниваем? Загнал сгенерированые номера в инст, оно подтянуло фото (то же самое в вибере, думаю и васап так же), а дальше что?
molodoy_hacker Автор
09.09.2018 20:23Такое чувство, будто вы читали лишь первые 2 абзаца.
Дальше самый сок. Там будет описан сам процессeirnym
10.09.2018 12:17-1Операция сравнения фото==фото — это сложность O(m*n) [m — число прогнанных номеров, n — число фотографий, которые нужно сравнить] с вероятно большим числом коллизий и false-positive, если брать хэши и пытаться оптимизировать без знания предметной области. Это можно немного оптимизировать, добавив ИИ, и многие другие мета-аттрибуты, но это добавляет дополнительной работы, отвлекая Вас от намеченной цели найти человека.
С базой, которую Вы уже получили, относительно быстро исчерпаются ресурсы, или станет не рентабельно проводить дальнейшие операции сравнения. При подсчете учтите, что фото себя любимого может быть не самым актуальным, поэтому придётся проверить не только актуальное фото профиля из публичного доступа, но, возможно, все остальные.
Добавлю, что я рад, что Вы догадались до этого способа "обмануть" телеграм, но этот способ был описан, когда появились первые привязки номеров телефонов много лет назад и обоснования, почему он будет плохо работать.
Так же настоятельно рекомендую Вам повторить алгоритмы и оценку сложности операций. На хабре есть много полезных статей, например эта и эта. А так же алгоритмы поиска по картинкам, которые можно найти здесь же.
ne555
09.09.2018 23:04Какая по счету статья за последний месяц посвящается Телеграм, шестая?
И как расценивать простому юзеру: Сороковины Телеграм или хайп?
Юбилей ТГ оказался жарким, как и Дубай.
DIMON1702
10.09.2018 16:34Интересная статья, но насколько эффективен данный подход без полной автоматизации?
Немного математики: для одного кода оператора приходится 10 млн номеров (7 цифр). За раз мы можем сгенерировать (из статьи) около 20 тысяч номеров, на каждую генерацию тратится по 10 минут. В результате получаем примерно 10 000 000/20 000 * 10 = 5000 минут. это примерно 3.5 дня на 1 только код оператора. В России используется около 75 кодов (число примерное). Для полного перебора необходимо почти 9 месяцев непрерывной работы (без сна и прочих радостей жизни). Так что эффективность данного метода вызывает некоторые вопросы.molodoy_hacker Автор
10.09.2018 16:36Чем больше человек будет работать над созданием общей базы «фото: номер», тем быстрее пройдет перебор.
В теории, это можно сделать и за месяц.
DancingBanana
10.09.2018 16:36Тут уже обсуждали не раз — анонимность в Телеграмме никто не обещал. Обещали приватность переписки. А приватность переписки и анонимность пользователя это разные вещи, которые могут пересекаться но не обязаны это делать. Если хочется анонимности то TOR + Tutanota ваш выбор.
mrngstr
10.09.2018 16:36Это все конечно хорошо, но в силу трудностей и практически рандомного вбива номеров — угроза не существенная. Для спец. служб это конечно вариант, а вот для мамкиных-хакеров слишком сложный и долгий процесс.
TeiSinTai
10.09.2018 16:49Всё хорошо написано, только уберите, пожалуйста, Телеграм из заголовка — или допишите туда же Вайбер, Вацап, ТамТам, ICQ, и вообще все остальные современные популярные мессенджеры. Я уверен, что в любом из них при наличии синхронизации с адресной книгой этот метод будет работать с ровно той же эффективностью =) Более того, если мессенджеры поддерживают синхронизацию с иными сущностями, кроме телефонных номеров, вида адресов электронной почты, и учёток соцсетей — их тоже можно пробивать таким образом.
С одной стороны, мне не нравится весь этот хайп вокруг «телеграм не анонимен!!!11адынадын». Действительно, таких статей много — и они уже реально пахнут заказухой. С другой стороны, мне и хайп «телеграм анонимен!!!11адынадын» тоже не нравится — все эти «откровения депутата, которого ищут в здании Думы» и прочая муть. Мне просто нужен удобный мессенджер с хорошим API.
OnelaW
10.09.2018 17:32сё хорошо написано, только уберите, пожалуйста, Телеграм из заголовка — или допишите туда же Вайбер, Вацап, ТамТам, ICQ, и вообще все остальные современные популярные мессенджеры
Именно так оно и есть. В каждом мессенжере хоть одна зацепка да появится. В одном телефон, в другом e-mail. Я однажды таким способом нашел uin шестизнак одной личности и несколько его постов на одной древней борде. Зная его ФИО, телефон, e-mail личный, место работы, и прочие плюшки, можно с этими данными творить всё что угодно, законное и незаконное.
Alexveto
11.09.2018 08:37Хотел экспортировать базу через ExportTelegramContacts, делал все по инструкции, но выскакивает ошибка: «Попытка установить соединение была безуспешной, т.к. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера.
Кто сталкивался с такой ошибкой, что делать?
trublast
11.09.2018 15:18Несколько месяцев назад проделывал похожую штуку с номерами, добавляя их в WhatsApp, запущенный в виртуалочке. Целью было проверить — можно ли получить аватарки и имена пользователей, которые они указали при установке приложения.
Там все более прилично получилось — фотографии автоматически подгружаются только от тех контактов, у кого ваш номер телефона тоже есть в контактах. Если на «той стороне» ваш номер отсутствует в адресной книге, то фото не подгружается. А если вы что-то напишете пользователю, то у него всплывет уведомление «возможно это спам».
Если для фото достаточно быть у пользователя в адресной книге, то для получения имени нужно больше телодвижений. У себя вы имя будете видеть только то, которое у вас было в адресной книге, а то что указал пользователь — видеть не будете. Можно добавить его в групповой чат, при этом добавив второго пользователя, у которого этого контакта нет в адресной книге, в тот же чат. Тогда это второй пользователь будет видеть никнейм. Но когда вас в чат добавляют — это заметно.
mobi
Где-то это уже было…
habr.com/post/329982
denis-19
Т.е. лимиты остались те же, как в статье по ссылке и комментах к ней?
Есть 2 лимита: на общее количество контактов, и ограничение для предотвращения брутфорса.
Первый лимит — 10 000, если мне не изменяет память.
Второй лимит — что-то около 5000.
molodoy_hacker Автор
Около 100к номеров прогнал на одном аккаунте. Фото у всех пробивались
trimtomato
Извините, но считаю, что кто-то должен это перепроверить. Я просто не верю, что такое возможно. Тем более, что ранее люди натыкались на эти лимиты.
Есть и другие факторы которые заставляют меня сомневаться.
ratijas
Раньше трава была зелене, а супер-группы по 1000 тел максимум. А сейчас? Лимиты ростут как на дрожжах.
Однако, всё же проверю.