Список пиров Telegram Messenger LLP, можете убедиться сами
Как же так вышло? Мы решили поинтересоваться у Павла Дурова, через его же Telegram-аккаунт.
Что из этого вышло? Не то, чего мы ожидали от одного из создателей «самого безопасного мессенджера».
12 июня 2019 года мы решили написать Павлу Дурову на его аккаунт в Telegram, привязанный на номер, легитимность которого доказывается без каких либо проблем сразу несколькими способами. Тут мы опишем самый элегантный – номер, что к нему привязан, привязан и к id1 в социальной сети ВКонтакте. Почтовый ящик на данном аккаунте, кстати, находится на домене telegram.org. Думаю, сомнений не остается.
Восстанавливаем страницу, и видим, что номер привязан к id1
Идем дальше. Тут видно более интересный факт — почта на домене telegram.org. Сомнений, что номер настоящий, не остается
Сам номер: +44 7408 ****00 (звёздочки поставил модератор)
Писали мы с конкретной целью:
Выяснить, как же так вышло, что данные российские конторы являются пирами Telegram, а также чтобы понять, не вредит ли это безопасности инфраструктуры мессенджера. Понятный и адекватный вопрос, на который без труда можно было ответить, если бы не было чего скрывать. Правда?
После прочтения сообщения Дуровым (если честно, то мы думали, что он просто нас игнорирует, только вот все было не так радужно), началось то, чего мы даже не ожидали.
Он начал вскрывать аккаунт того человека, что ему написал, удаляя сообщения от Telegram с кодами подтверждения через секунду.
Позднее выяснилось, что переписки на данном аккаунте были чудесным образом удалены.
Самое интересное, что одно из сообщений о доступе сохранилось, и его я без зазрения совести предоставляю вам:
You have successfully logged in on desk.telegram.space via +42777. The website received your name, username and profile picture.
Browser: Chrome on Windows
IP: 149.154.167.78 (Netherlands)
You can press 'Disconnect' to disconnect desk.telegram.space
А теперь несколько вопросов:
- Почему к инфраструктуре Telegram напрямую подключен государственный провайдер Ростелеком?
- Почему Павел Дуров начал этот цирк после прочтения сообщения, если ему действительно нечего скрывать?
- Как мы можем доверять мессенджеру, в котором администратор сам проникает в ваш аккаунт после неудобного вопроса, используя свои инструменты администратора?
Вам решать, пользоваться ли данным мессенджером после всего этого.
Но, как мне кажется, есть то, что точно стоит сделать – попробовать добиться ответа от Дурова.
Если государственный провайдер имеет доступ к данным на серверах Telegram, все слова Дурова о безопасности мессенджера – ложь, которой он прикрывал утечку информации прямо у вас на глазах.
Откуда нам знать, что у государства действительно нет ключей для сообщений, что хранятся на серверах? После того, что произошло, никто из нас в этом не уверен.
Комментарий от админа Хабра
Насколько известно, сеть Интернет состоит из Автономных Систем (AS) — это изолированные сети, имеющие на своих границах пограничное оборудование, в состав которого входит гора всякого недешёвого железа, включая маршрутизаторы, межсетевые экраны и прочее. Любая AS может организовать стык с целью пропуска трафика с иной AS как напрямую, так и через так называемые точки обмена трафика (IXP). Если прямые стыки можно как-то выбирать и контролировать, то соседство по IXP зачастую слабо контролируемо (некоторые операторы пропускают транзитом трафик из IXP).
Технически, стык с каждым соседом в IXP выглядит как прямой стык, это может порождать интересные спецэффекты. Например, AS Хабра имеет два прямых соединения с провайдерами (апстримами) и участвует в двух IXP, однако, здесь мы видим пять пиров (соседей), хотя должно быть всего две записи (апстримы). Отдельно надо осознавать, что трафик идёт по административно кратчайшему пути и как он идёт в данный момент — надо смотреть в тот самый момент. То, что у AS есть пиринг с логически ближайшим транзитным соседом к иной AS, не значит, что трафик пойдёт через данную транзитную AS, в этом можно убедиться, внимательно изучив скандал МРГ с Билайном. Но даже если трафик идёт напрямую, это внешний трафик AS. При этом надо быть готовым к тому, что кто-то (NSA/Китай/russian silovik) потенциально имеют возможность в нём покопошиться.
Что касается Telegram. Для начала, у TG зарегистрировано четыре AS с различными номерами. Одна ничего не анонсирует, три остальных имеют соседства, две пирятся на удалённых IXP (раз, два), а одна пирится на трёх IXP, включая две российские Data IX и Global-IX (ссылка). Немудрено, что в этих IXP участвуют и РТ и прочий российский телеком. Если пропуск трафика через «вражеские сети» есть проблема безопасности для TG, то тут уже не важно, пирится ли TG с ними напрямую или нет.
В качестве вердикта: в целом всё выглядит вполне естественно и прямой проблемы безопасности тут нет. Шпионскую историю про удаление переписки прокомментировать не можем.
Комментарии (118)
KarasikovSergey
20.06.2019 13:20Увлекательная история, даже если придуманная. Любопытна схема раскрытия связи учётки в ВК с учеткой в ТГ — откуда взяты первичные данные?
backmeupplz
20.06.2019 22:03Это, как бэ, common knowledge. Только у ленивого не было хендла Павла.
PendalFF
21.06.2019 08:35+2Я очень ленив, вероятно. У меня нет никаких сведений о Дурове кроме того что он, вероятно, существует и его зовут Павел.
KarasikovSergey
21.06.2019 09:18-1Личный номер Дурова, на который зарегистрированы его учётки в соцсетях — это общие знания?
backmeupplz
21.06.2019 15:48Да, именно это я и написал в своем сообщение. Про интим фотки Дженнифер Лоуренс, наверное, тоже не слышали? Добро пожаловать в интернет.
amarao
20.06.2019 13:28+9Английский плакать язык.
"Is this can't harm", "can you" вместо "could you please"...
NotThatEasy
20.06.2019 15:24-1А можт can you please и could you?
ClearAirTurbulence
20.06.2019 15:53+2Можно и так и так. Можно вообще Would you be so kind as to. Но не так, как в оригинале.
Примерный перевод звучит как
Dear Mr. Durov,
Would you kindly explain why your network has Russian peers (such as Rostelecom, Fiord, etc)?
Could this compromise your network?
Но, судя по объяснению администрации ТМ, проблема не только с английским.NotThatEasy
20.06.2019 17:00Но, судя по объяснению администрации ТМ, проблема не только с английским.
Это точно.
Извиняюсь, если кого задел, однако же, стриггерился на «could you please» – учили, что это могут воспринять, как сарказм, и что, мол, клиента принимают за твердолобого.
P.S. «Would you be so kind as to» – благодарю за напоминание, и вправду отличный вариант.ClearAirTurbulence
20.06.2019 23:32Это чисто контекстуальный момент.
В русском фраза «не могли бы вы» тоже может в некоторых случаях звучать саркастически.
transcengopher
20.06.2019 22:58Would you kindly
Заголовок спойлера
jevius
20.06.2019 13:28+5Кто вы? Делая такие заявления, назовите свое имя, раз уж вы пишите такое рядом с именем другого человека. Вам очевидно нечего бояться, anyway
andreymal
20.06.2019 13:30+6по приглашению НЛО
Админы Хабра набрасывают )
Boomburum
20.06.2019 13:33+3по приглашению НЛО
Такая надпись появляется у всех тех, кто пришёл через песочницу (за исключением тех редких случаев, когда инвайт за песочный пост дал кто-то из Хабрапользователей) :)
Pas
20.06.2019 13:35+3Надо было придумать историю с чёрными вертолётами, чтобы интереснее было. А то взял и разрушил интригу, негодяй.
ghrb
20.06.2019 13:31+6Статья выглядит, кхм, слегка неубедительно. Достоверность, на мой взгляд, тоже сомнительная. Хотя бы описанный цирк.
KarasikovSergey
20.06.2019 13:36Ну дело Розенберга тоже выглядит как цирк, однако всё же он предоставил много пруфов реальности этого цирка. Тут хоть пруфов и не наблюдается, но тем не менее учитывая эпатажность Дурова — всё может быть.
pirateninja
20.06.2019 13:32+2А номер телефона откуда взят?
filkt
20.06.2019 13:42Я вот нагуглил этот номер, он проскакивал в какой то конфочке телеги, от какого то не понятного пользователя. Такая себе легитимность.
tgz
20.06.2019 13:35-5Все равно ни один из тех хомячков, что топили тут за безопасность телеги от него не откажутся.
RussDragon
20.06.2019 14:50Конечно не откажусь. ТГ пока что остается одним из наиболее удобных месседжеров на мобильных устройствах, если не самым удобным. Для безопасности есть чаты с E2E-шифрованием.
0xd34df00d
20.06.2019 17:02-3Conversations норм, есть OMEMO без дуровских олимпиадников и закрытых серверов. Удобство телеги кончилось на запросе телефонного номера.
ne_kotin
20.06.2019 17:13+1Conversations смахивается легким движением женского пальчика — и всё. Абонент оффлайн.
Или просто умрет по OOM.
И ты об этом никак не узнаешь, пока не перезапустишь. Потому что пушей в XMPP нету. Когда нужна надежная, конфиденциальная, оперативная mobile-first связь, Conversations тихонько плачет в сторонке.
Я уж молчу, что год назад он всё ещё не умел инлайнить картинки, в то время как в телеге это было из коробки пять (!) лет назад.
Это всё — удобство?andreymal
20.06.2019 17:16Я его сейчас попытался у себя смахнуть — он не смахивается и возвращается на место, продолжая держать соединение и болтаться в области уведомлений. Что я делаю не так?
И пуши в XMPP давным-давно есть. И версия Conversations из Google Play их умеет.
ne_kotin
20.06.2019 17:21Год назад не умела и прекрасно смахивалась, когда вся эта свистопляска с блокировками началась. Мы оценивали альтернативы и стоимость их поддержки для крупного комьюнити, и в итоге решили, что поддержка прокси — дешевле, чем пересаживать толпу народу на Conversations, объяснять как ставить плагин шаринга локации и войсов, и вообще страдать из-за отсутствия feature parity у альтернатив.
andreymal
20.06.2019 17:23У меня и два года назад не смахивалась, я пробовал.
А вообще расскажите о своём опыте где-нибудь здесь, а то там автор слишком фанатик)
ne_kotin
20.06.2019 17:27+2Смысла не вижу. Автор — фанатик, а мне — ехать а не шашечки.
0xd34df00d
20.06.2019 19:22-2В исходном комментарии речь шла о безопасности. Собственный сервер и OMEMO дают такую безопасность, которая никаким телеграмам и не снилась.
Не теряйте контекст.
Не всем, кстати, нужен инлайнинг картинок (обожаю, когда nsfw инлайнится на работе, ага) или что угодно, связанное с голосом (XSF дал им прекрасный текстовый протокол — не хочу, хочу вторгаться в чужое пространство).
andreymal
20.06.2019 20:00Да нифига он не прекрасный, за двадцать лет оброс кучей костылей (которые уклончиво называют расширениями), некоторые вещи чрезмерно переусложнены, некоторые наоборот слишком упрощены. А необязательность расширений приводит к тотальному бардаку в реализациях и слабой их совместимости друг с другом.
0xd34df00d
20.06.2019 20:07Я к нему писал клиент (и продолжаю его поддерживать), так что да, я прекрасно знаком со всеми костылями и всей кривизной.
Но все остальные известные мне протоколы по совокупности ещё хуже.
andreymal
20.06.2019 20:09Это да. При всей моей нелюбви к XMPP тоже держу личный XMPP-сервер и пользую OMEMO, потому что ничего лучше так и не придумали
welcomerooot
20.06.2019 13:39+8Однажды мы сидели занимались своими очень продуктивными делами
Не совсем понятно, кто «мы»? Специалисты по информационной безопасности? Операторы? Анонимусы с двача?
vebeer
20.06.2019 13:43+10У нас пол страны пирятся с ростелекомом напрямую, потому что Ростелек, как ни крути, крупнейший магистрал в РФ(ато и в СНГ) — логично иметь с ним стык, если есть клиенты в РФ.
Ну а остальное — про взлом, номер, и т.д. — выглядит довольно странно.
K0Y0T
20.06.2019 13:53+6Логика«разоблачения» критически ниже уровня адекватности и технической грамотности пользователей ресурса, на котором оно опубликовано. Да ещё и автор, который зарегистрировался пару дней назад и статей у него нет…
Комментарий администрации Хабра первый раз вижу в посте, но очень в тему! Спасибо администрации.vav180480_2
20.06.2019 15:37-1А может это не автор зарегистрировался пару дней назад, может автор зарегистрировал очередной аккаунт пару дней назад? С учетом того что автор может постоянно писать статьи и комментарии определенного содержания, которые некие хабровчане определенного склада ума, совести и убеждений постоянно минусуют, то это как бы нормально.
thornni
21.06.2019 06:46Очень возможно, что статью пропустили тут потому, что иначе начались бы обвинения в «замалчивании важной информации» и «потокательстве». То есть примерно те же причины, почему авторитетный The lancet когда-то вынуждены были опубликовать не выдерживающее никакой критики письмо Пуштаи. Потому что отреагировать как было бы разумно (игнором) было бы не разумно в перспективе.
AlxDr
20.06.2019 13:56+4не вредит ли это безопасности инфраструктуры мессенджера
А как стык с провайдером, пусть даже «вражеским» может вредить инфраструктуре мессенджера?
Он начал вскрывать аккаунт того человека, что ему написал, удаляя сообщения от Telegram с кодами подтверждения через секунду.
Как-то странно выглядит административный доступ к учётке.
dartraiden
20.06.2019 14:04+2После прочтения сообщения Дуровым (если честно, то мы думали, что он просто нас игнорирует, только вот все было не так радужно), началось то, чего мы даже не ожидали.
Он начал
«После того» не означает «вследствие того». Особенно на фоне того, что ответ на заданный вами ему вопрос очень простой — «никак не вредит».
Отдельный минус — кликбейтный заголовок. В статье никак не объясняется, где же этот самый обещанный «слив нас Ростелекому». Тут же всё-таки Хабр а не, прости господи, Аккет.
Vanored
20.06.2019 14:06+3Друг переименовывает себя в Pavel Durov, загружает нужное фото = profit, теперь можно делать заявления, что Павел такой плохой… и он всех обманывает и т.д.
Бред.
panaceya
20.06.2019 14:06+3А чего вы ждали, первым начав попытки сброса паролей в VK? Да, Вам прилетела ответка в виде мелкого троллинга. Ведь никто и ничего не пострадало?
KarasikovSergey
20.06.2019 14:10+1Если вы считаете админ-произвол с доступом к персональным данным клиента «мелким троллингом», то вы явно не понимаете, что такое репутация бизнеса.
panaceya
20.06.2019 14:43+1Почему Вы и автор поста утверждаете о доступе к сообщениям аккаунта?
Удаление сообщений можно было выполнить без прочтения (да, через базу), а сообщение о входе специально подделано.
У меня же точка зрения такова — автор придумал всю эту историю. Доказательств то нет.KarasikovSergey
20.06.2019 14:53Я утверждаю, что доступ к сообщениям — не мелкий троллинг. Я не утверждаю, что он был, я лишь отвечаю вам на ваше высказывание о приемлемости таких шалостей. Согласен с вами, что пруфов реальности этой истории — нет.
panaceya
20.06.2019 16:27ваше высказывание о приемлемости таких шалостей
Давайте называть вещи своими именами — высказывание своего видения ситуации.
Notaluckypey
20.06.2019 23:37Простите, а как же telegram.space?
На секундочку:
1)Этот домен нигде ранее не светился
2)Он не заблокирован в РФ
Я не хочу ничего лишнего говорить, но уже тот факт, что он банально всплывает в каком-то «левом» посте про то, как кого-то ломали… Ну такое себе получается на самом деле.panaceya
21.06.2019 11:11+1$ http desk.telegram.space HTTP/1.1 301 Moved Permanently Connection: keep-alive Content-Length: 185 Content-Type: text/html Date: Fri, 21 Jun 2019 08:04:59 GMT Location: https://telegram.space/ Server: nginx/1.12.2
Т.е. не вижу подтверждений, и еще — telegram.space есть в индексе, значит уже засветили.
Имхо выглядело более правдоподобно, если бы «вход» был с IP Telegram, на котором и веба то нет.
zartarn
20.06.2019 15:27При сбросе по номеру, когда показывается «это вы?» и аватарка — еще не отправляется код. Но данный способ верификации сомнительный, можно и другой аккаунт на этот номер зарегать с такой же аватаркой. Там данных теперь при восстановлении показывается — кот наплакал.
andreymal
20.06.2019 15:33В принципе, можно попробовать по ссылке на аватарку проверить, тот ли это пользователь — если тот, то ссылки у пользователя и у страницы восстановления совпадут (но не факт, что автор этим заморачивался)
ammo
20.06.2019 14:13+5Из статьи так и не понял, как телеграм сливает меня ростелекому
DrunkBear
20.06.2019 14:27+2TL;DR:
Изучив большое количество логов и проведя короткое расследование, мы наконец-то поняли, как Телеграмм сливает:хз.
Andrey_Dolg
20.06.2019 14:16Ваша правда или нет не имеет никакого значения. Если вы до этого верили про самый безопасный, то тут лишь ваша ошибка.
P.S. Не может безопасность и анонимность, в наше время, быть столь удобной и простой, да ещё и бесплатной.dimm_ddr
20.06.2019 15:14Теоретически оно может быть бесплатным какое-то время для захвата рынка. Например возможно что Дуров собирается как-то монетизировать телеграмм за счет вводимой валюты (правда я лично понятия не имею как это должно работать). Либо начать продавать какие-то данные в какой-то момент. То что сейчас удобно и безопасно (если это так), то это совсем не значит что прямо сейчас кому-то что-то в тайне от нас продают. Обратного естественно это тоже не значит, я скорее о том что ваши выводы не совсем обоснованны, а не о том что они неверны.
Andrey_Dolg
20.06.2019 15:27Ну вы верно подметили «бесплатным какое-то время» и удобным. Далее встаёт проблема что ваша безопасность и анонимность стоит денег(серверные мощности и список прокси как я понимаю). И вот тут я считаю что пока единственный выход для монетизации светить данные о вас в максимально обезличенной форме по которым правда возможна ваша идентификация. Анализ переписки я думаю все же ведётся но не форме полной засветки, а по категории интересов и геолокации этих интересов.
FreeManOfPeace
20.06.2019 14:17А какая вообще может быть безопасность в мессенджере где уже на входе требуют номер телефона? А касательно телеграма я давно сделал определённые выводы. Я считаю что все популярные мессенджеры так или иначе под колпаком у каких либо спецслужб, и прочих заинтересованных лиц. А если кто то хочет реальной безопасности, то есть такие вещи как Jabber + OTR, Tox, Ricochet и т.п., они как минимум имеют открытый исходный код. А ещё лучше, вообще не использовать для таких задач общедоступные компьютерные сети, а если и использовать то делать это как можно более нестандартно.
К автору статьи тоже есть определённые претензии, когда его «взламывал» Дуров (если таковой факт имел место) почему он не наделал скриншотов, тексты и я могу сочинить какие угодно, и IP какой угодно в них дописать (хотя скрины тоже можно подделать конечно, но несколько сложнее). Да и сам он какой то скажем так мутный, зарегистрировался и сразу накатал провокационную статью, возможно и правда чей то троллинг, ибо не очень я верю что если то о чём пишет действительно имеет место быть, оно будет так легко палиться (хотя, как говорится, миром правит не тайная ложа, а явная лажа).dartraiden
20.06.2019 14:28А какая вообще может быть безопасность в мессенджере где уже на входе требуют номер телефона?
А каким образом это влияет на безопасность? С двухфакторной авторизацией даже перехват SMS не страшен.KarasikovSergey
20.06.2019 14:30А каким образом это влияет на безопасность?
Приватность — не часть безопасности? Требуя привязки к номеру — поставщик услуги получает привязку реальной информации о клиенте.
QDeathNick
22.06.2019 00:02С каких пор телефонный номер стал реальной информацией о клиенте?
Любой желающий не светить свою информацию может купить себе симку даже не вставая из-за компа и уж точно без паспорта.
Хотя я согласен, всё должно быть опционально.
Andrey_Dolg
20.06.2019 14:31Можно по подробнее. Перехват смс вроде как как раз таки проблема?
dartraiden
20.06.2019 14:38При включённой двухфакторной авторизации кроме кода из SMS требуется пароль, хранящийся в голове владельца.
Andrey_Dolg
20.06.2019 14:42Процесс восстановления пароля через смс?
dartraiden
20.06.2019 14:44Нет, через почту. Причём, если в этот момент есть активные сессии с другого устройства, то надо ввести код, который приходит через Telegram на это самое другое устройство.
Т.е., если товарищ майор захочет почитать мою переписку, ему понадобится сперва получить доступ к клиенту, установленному на одном из моих устройств, а потом ещё и физически выбить из меня пароль (либо взломать почту).Andrey_Dolg
20.06.2019 14:47Идею понял, то есть желательно не светить почтовый ящик рядом с телефоном, да бы нельзя было случайно нарваться на засветку сразу 2х каналов(учитывая периодические сливы баз почтовиков).
Am0ralist
20.06.2019 15:20Так смс-то как раз и созданы для того, чтоб даже зная пароль злоумышленники не воспользовались вашим аккаунтом… Понятно, что возрастает надежность и нужно уже по двум векторам ломать, но утверждать, что перехват смс не страшен?
dartraiden
20.06.2019 15:31+1В традиционных сервисах у вас изначально есть пароль, а второй фактор — код из SMS (не очень хорошо)/пароли из OTP-приложения и т.д.
В Telegram, в силу его привязки к номеру телефона, у вас изначально есть SMS-код, который вы усиливаете (по желанию) паролем. Причём, если вы уже на одном из устройств с этого аккаунта залогинены в Telegram, то SMS-код у вас вообще не спросят, а пришлют код через Telegram (в этом случае, злоумышленник не имеет никакой возможности прочитать вашу переписку, перехватывая SMS).
Gurturok
20.06.2019 14:40В случае с tg даже при наличии двухфакторной авторизации можно было получить контроль над чужим аккаунтом если перехватить sms. Справедливости ради контакты и история удалялись (хотя я хз как там облачная история работает, может ее можно было вернуть). И вроде Дуров за ошибк это не считает.
dartraiden
20.06.2019 14:47Историю вернуть невозможно. Но атакующего в большинстве случаев интересует именно переписка, а не отжать голый аккаунт.
KarasikovSergey
20.06.2019 14:54-1Атакующего может интересовать возможность кому-то что-то отправить от чьего-то лица.
dartraiden
20.06.2019 15:37Атакующему придётся выждать неделю между удалением аккаунта и регистрацией нового на этот номер. За эту неделю настоящий владелец имеет возможность увидеть и отменить запрос на удаление аккаунта.
KarasikovSergey
20.06.2019 15:47-1Не каждое дело — срочное.
dartraiden
20.06.2019 15:51+1Ну, если пользователь видит, что его аккаунт собираются удалить и забивает на это аж целую неделю, то ССЗБ.
Ещё можно обнаружить, что сим-карта в телефоне работать перестала (злоумышленник подделал доверенность и перевыпустил её) и забить — ну привязан к ней онлайн-банк, подумаешь…
Вообще, проблема решается просто: при сбросе аккаунта нужно отправлять всем, у кого с этим аккаунтом есть переписка, сообщение «собеседник сбросил аккаунт», чтобы люди знали об этом факте (не знаю, делает ли так Telegram) и держали в уме вероятность, что сегодня «на том конце» уже не тот, кто был вчера.KarasikovSergey
20.06.2019 15:53Пользователь может быть по разным причинам уже не в состоянии проконтролировать или сообщить о несанкционированном доступе к его учетной записи своим доверенным лицам.
dartraiden
20.06.2019 15:56Так ему не нужно ничего сообщать: он просто в любой момент в течение недели нажимает в клиенте «отменить удаление аккаунта» и злоумышленник обламывается.
Всегда можно придумать частный случай «пользователь запускает клиент раз в 2 месяца, при этом он одновременно умудряется быть интересной целью, чтобы от его имени кого-то развести», но идеальной защиты не бывает.
В конце-концов это вообще без Telegram можно провернуть. Перевыпускаем симку и отправляем банальное SMS приятелю жертвы «Коля, не могу говорить, срочно нужны деньги вот на эти реквизиты, подробности потом». А Коля сочёт SMS с этого номера доверенным. Сейчас уже все наслышаны о разводе, когда такие SMS шлют с незнакомых номеров, а вот когда оно приходит со знакомого номера… представьте, что вы такое получаете с номера члена семьи — тут и повестись недолго.KarasikovSergey
20.06.2019 16:06-1Так ему не нужно ничего сообщать: он просто в любой момент в течение недели нажимает в клиенте «отменить удаление аккаунта» и злоумышленник обламывается.
Узко мыслите, клиент вообще может быть выведен тем или иным способом за скобки — это уже не его проблема, это уже проблема его доверенных лиц, которые получат якобы от него какие-то сообщения, ответы на которые могут им очень дорого стоить.
vlivyur
20.06.2019 17:55У меня как-то раз увели акк (другого сервиса), там тоже была ссылка «это не я» со сроком примерно в неделю. Проблема была в том, что я месяц был без интернета и не мог нигде ничего нажимать.
filkt
20.06.2019 15:41тогда проще зарегать аккаунт на номер от сервиса бесплатного приема смс. (я так делал, это работает, проблема только по перебирать номера и найти тот который ни кто еще не успел использовать)
KarasikovSergey
20.06.2019 15:47-1Как это поможет прикинуться каким-то конкретным номером телефона, сообщения с которого некий контакт считает доверенными?
dvmedvedev
20.06.2019 15:04+1Безотносительно темы обсуждения, заинтересовала игра слов здесь:
А касательно телеграма я давно сделал определённые выводы.
и по вашей ссылке:В данном посте я не собираюсь делать какие то выводы и строить какие то конспирологические теории, каждый сделает выводы для себя сам, я же буду оперировать лишь голыми фактами.
FreeManOfPeace
20.06.2019 16:43Ну для себя лично выводы я сделал.
А в статье выводов нет, там только данные на основе которых я сделал свои выводы. А вы можете сами сделать свои выводы на основе этих данных, либо отписаться в комментариях если с чем то не согласны.
andreymal
20.06.2019 15:20они как минимум имеют открытый исходный код
У клиентов Telegram тоже открытый исходный код, и этого более чем достаточно, так как каждый может проверить реализацию end-to-end шифрования и по желанию собрать клиент из исходиков самостоятельно
(Впрочем, обычные чаты всё равно незашифрованы, и это уже фатальный недостаток Telegram)
AlePil
20.06.2019 14:24+4Судя по списку пиров, телеграм сливает вас, судя по вашей же логике, еще ста пяти организациям, включая итальянский телеком и прочим ангольским товарищам, чего уж мелочиться, если начали. Попытка сброса пароля чужого аккаунта доставляет, как и доказптельства описанного взлома. Извините, но нет...
tvr
20.06.2019 15:07+2включая итальянский телеком и прочим ангольским товарищам
Меня вот колумбийские товарищи больше беспокоят.
Livid
20.06.2019 15:03+1Какой-то адский ад. РТК в пирах приравнивается к сливу, бредовые рассуждения про "административные инструменты" для "взлома", и не менее бредовые "пруфы" при том что при полном доступе к серверам (который у Дурова несомненно при необходимости есть) чтобы что-то там потереть или перехватить (кроме e2e чатов) вообще почти ничего делать не надо.
Какой-то третьесортный вброс. Как это оказалось в моём уютненьком? Загадка.
bromium
20.06.2019 15:50+1Тоже мне новость! Всем же известно, что телеграм — проект фсб, а Дуров — полковник фсб на задании.
Ps школьникам во время каникул лучше подтянуть английский (‘is this can’t’), а не разоблачать телеграмKarasikovSergey
20.06.2019 15:55-2Хорошо говорить о школьниках, плохо наблюдать средний ужасный уровень английского в среде IT-специалистов во время вопросов англоязычным докладчикам на конференциях.
phantom-code
20.06.2019 16:20Там еще «network have» в первом предложении. Складывается ощущение, что это очень неумелая попытка вброса.
bromium
20.06.2019 17:39Да мне лень было все их ошибки перечислять. Вопиющую только указал
phantom-code
20.06.2019 17:46Ох, прошу прощения за двусмысленность. Под «попыткой вброса» я имел в виду саму статью, а не ваш комментарий.
Alexey2005
20.06.2019 18:10Или научиться пользоваться Google Translate. Он конечно коряво переводит, но качество всё равно будет существенно выше, чем в приведённом в статье сообщении.
074909
20.06.2019 22:37Вопросы безопасности Telegram
Telegram, MTProto 2.0, и все-все-все
www.atraining.ru/telegram-mtproto-2-0-security-questions
gromazeka
20.06.2019 23:35-3Ох и дурачки же, это очередной хайп телеги, ну не может уже привлечь внимание, что у дурова осталось, крипту свою выпустить и медленно умирать, ожидая перевод ботов и каналов в вацап?
ne_kotin
21.06.2019 00:00А с чего ему умирать то? Инвесторы денег принесли лет на несколько вперед.
И, АФАИК, в вацапе ботов нету. Потому что API нету для этого. Да и вообще там все очень грустно с интеграциями.
stalactite
21.06.2019 10:01А зачем Дурову писать на английском вообще? Он что, по-русски не понимает, память отшибло? Дичь какая-то. Во всем надо показать: а смотрите какие мы умные, продвинутые, английский знаем.
DarkByte
22.06.2019 14:20Если хочешь, чтобы твой трафик перестали сливать, то выдерни сетевой кабель и переведи все устройства в автономный режим. В противном случае провайдеры будут обмениваться между собой твоим трафиком, сливая его налево и направо. С подключением к Интернету!
RussDragon
Пруфы взлома, конечно, железобетонные.
vvzvlad
«Если коробка квадратная, значит внутри круглое, если круглое — значит, дуров виноват».
al3zo1d1 Автор
естественно, а вы 24/7 записываете свой экран, ожидая того, что Дуров вам что-то сделает?
Вот и мы нет, но к сожалению все было так, как было.
RussDragon
К сожалению, аргументы «у меня нет ничего, что могло бы доказать мою правоту, но вы мне верьте» плохо работают в сообществе более-менее критически мыслящих людей.
Поэтому нет, я вам не верю.
andreymal
Вообще, лично я подумываю накатать скрипт-обёртку для ffmpeg, который записывал бы экран 24/7 (с автоматическим удалением старых ненужных записей). Чтоб редкие баги ловить, например