Авторские колонки

В Telegram якобы нашли уязвимость, из-за которой можно узнать данные пользователей. И что это значит?

 


Газета «Известия» опубликовала сегодня статью «Деанонимный Telegram: в популярном мессенджере нашли уязвимость», в которой рассказывается , что программисты Центра исследований легитимности и политического протеста разработали программу, которая определяет по юзернейму пользователя Telegram номер телефона, на который зарегистрирован аккаунт. Систему назвали «Криптоскан», работает она так: программа направляет запрос, содержащий юзернейм, в Telegram, и приложение выдает недостающие данные пользователя — ID и номер телефона, фамилию и имя.  Григорий Мальцев, один из основателей FinTab, рассуждает, что же означают эти заявления, что популярный мессенджер не такой анонимный и безопасный, каким кажется.

 

Сегодня вся моя новостная лента разрывается от новости о Telegram. В принципе, нечего удивляться, что в «Известиях» будет полная чушь. Обиднее, что многие нормальные СМИ поддержали эту новость (вообще, есть ли у людей компетенции хоть какие-то?). Так получилось (интересные совпадения бывают), что мы недавно задумались сделать сервис, который позволяет по юзернейму и имени и фамилии, указанным в Telegram, определить номер телефона. Поэтому меня зацепила эта статья и я попробую прояснить, что к чему. Пойдем сверху вниз, разбирать пропаганду.

 

1) Первая часть заголовка. «Деанонимный Telegram: в популярном мессенджере нашли уязвимость». Забудьте про анонимность в сети. Это почти невозможно. Если говорить конкретно про Telegram — кому надо, сидит с «левых» сим-карт. Хотя и до них можно отследить цифровой след (я, возможно, параноик, но и не парюсь, потому что нечего скрывать).

 

2) Вторая часть заголовка: «нашли уязвимость». Серьезно? Что я сделаю, если найду уязвимость в Telegram: 

  • попробую продать это самому Telegram (у них есть вознаграждения за взлом, думаю, за уязвимости тоже может быть);
  • попробую извлечь из этого выгоду и по-тихому монетизировать;
  • продам органам (про себя не могу сказать, но кто-то мог бы захотеть);
  • вот если прям невмоготу — похвастаюсь в «даркнете» (но там новость появилась намного позже, чем в «Известиях» и её, скорее, высмеяли).

Но вот что я точно не буду делать — писать в «Известия» об этом, чтобы это было первоисточником. Это не солидно + ну закроют же быстро «уязвимость». И чему радоваться тогда? Публикации в «Известиях»?

 

3) Подзаголовок. «Номер телефона можно узнать по его юзернейму». Ну круто. Только есть несколько нюансов: пока мы проверяли лимиты и техническую возможность, на случайной выборке мы обнаружили, что большинство рядовых пользователей не используют юзернеймы. Они регистрируются под именем и фамилией (неважно, настоящими или нет). Соответственно, определить номер по имени и фамилии — это уже другая немного задача. Но у нас это тоже получилось сделать, но, как мне показалось, на этом этапе мы нашли небольшой баг, но, на мой взгляд, совсем некритичный и непринципиальный.

Так вот, спросите вы, как это возможно? У вас в телефонной книге есть номера, заходите в Telegram, и он предлагает вам их синхронизировать. «Ок». После этого вы можете писать людям, которые есть и в вашей телефонной книге, и в Telegram. Думаю, дальше понятно, как решить обратную задачку.

 

4) Дальше рассказывается, как органы смогут установить личность абонента.  Здорово. Установили личность. А установить, что и кому пишет человек — невозможно. «Центр исследований легитимности и политического протеста уже начал искать пользователей по запросу МВД и ФСБ». Упустим крутость названия. Начали искать. Преступников. Которые распространяют наркотики. Которые занимаются этим профессионально и не первый день. И это действительно хорошее намерение (искать преступников, в смысле), гораздо лучше, чем сажать за репосты. Только есть проблема: те, кому есть что скрывать, сидят в Telegram с подставных сим-карт и аккаунтов, которые можно купить за 4 рубля, а номер будет вести аж в Филиппины или Канаду. А если и местные, то сделанные на подставное лицо. 

В общем, с пафосом и благими намерениями органы в Telegram смогут вычислить, к сожалению, только школьников, делающих «закладки».

 

5) «Сопровождение» статьи. Какие статьи рекомендуется почитать посетителю на эту тему (сбоку, внизу страницы). Если вдруг будет непонятно — заголовки реальные, комментарии — сарказм (как и многое в моем посте).

  • «Mediascope зафиксировал падение аудитории Telegram». Сошиал пруф, что Telegram — это «уже не круто».
  • «В Индии задумались о блокировке соцсетей и мессенджеров». Вот! Вот вам доказательство, что не только в России тирания и отсутствие свободы, мир тоже поддерживает такую политику.
  • «В WhatsApp появятся группы наподобие Telegram-каналов». Правильно, надо сделать было больше акцента на этом. А то с этим Telegram ну никак не договориться.
  • «Telegram объявил о новых возможностях приложения». Неожиданно, но даже есть позитивная новость в выдаче. Только заканчивается она (очень в тему, после обзора новых возможностей) «27 июня пользователи сообщали о сбоях в работе Telegram по всему миру».

 

6) Все-таки я не могу обойти названия стороной, уж больно забавно мне. Сервис называется «Криптоскан». Попробуйте найти. А сделала его компания «Центр исследований легитимности и политического протеста». Вот первая ссылка, которую дает Google: http://protestonline.ru/. Внимание! У ребят, которые «нашли уязвимость» в Telegram, сайт открывается только с http! C https вы получите сообщение «Подключение не защищено» и вам будет предложено не заходить на сайт.


В общем, получился интересный коктейль из пропаганды и некомпетентности СМИ. Выводов можно сделать много, но здесь хотел бы отметить: не читайте всякую чушь, будьте скептичнее, а действительно хорошая информация в последнее время все тяжелее находится в Google и «Яндексе».

 

P.S. Технически, мы нашли решение. Даже с дополнением — определение номера по first name и last name, которые человек указал при регистрации (повторюсь, username необязателен и далеко не у всех есть). Но есть но: сделали предварительный анализ спроса (не только на деанонимизацию, но и косвенные методы использования в маркетинге) и пришли к выводу, что это не так востребовано. И технически: да, это возможно. Но с умными лимитами (оказалось, у Telegram они действительно весьма умные) — это долгая и весьма недешевая история. Что еще раз наводит на мысль, что нет никакого «Криптоскана».

 

Фото: Christian Wiediger on Unsplash