Полезные знания Пару ласковых о Telegram

vaspvort

Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💰️
Регистрация
10/4/18
Сообщения
5.082
Репутация
10.008
Реакции
15.284
RUB
1.045
Сделок через гаранта
18
gvp_pydgtmd7cyzdmxgdtcxgkae.png




Tелеге на вас плевать, даже если вы платите ей деньги.
Привет, друзья!


Я пользуюсь Телегой почти с момента ее появления в далеком 2013 году. Последние два года покупаю премиум. Несколько раз дарил премиум друзьям. Наивно полагал, что Телега заботится о своих пользователях, особенно платных. В целом меня все устраивало, пока недавно я не попал в "интересную" ситуацию невозможности управлять собственным аккаунтом.

Пару дней назад мой аккаунт взломали (вероятно, сам дурак; желаю взломщикам всего плохого). Злоумышленник завершил все мои активные сессии и стал рассылать моим контактам денежные запросы. Пытаясь вернуть аккаунт себе, я выяснил любопытную вещь: в Телеге отсутствует адекватный механизм блокировки/восстановления аккаунта.


При входе в аккаунт (в мобильном приложении) нужно ввести код, который либо отправляется на другое устройство (которым владеет злоумышленник, ха-ха), либо извлекается из номера, с которого звонит бот (извлечение работает через раз), либо отправляется в СМС. Получение кода не сильно помогает делу. Как только вы входите в систему, у злоумышленника появляется информации о начале новой сессии, которую он тут же завершает (возможно, запущен скрипт, который делает это автоматически). Завершение сессии приводит к тому, что вас выбрасывает из приложения.


При этом, код всегда сначала отправляется на устройство злоумышленника, видимо, чтобы он мог подготовиться к завершению вашей сессии.




После определенного количества циклов "вход-завершение сессии" срабатывает ограничение на количество запросов. Казалось бы, сервер не должен учитывать удачные входы, но, похоже, он считает все подряд, ибо нечего долго беспокоить злоумышленника попытками вернуть аккаунт.


После ввода ограничения следующую попытку можно предпринять не ранее чем через 24 часа, видимо, чтобы злоумышленник мог еще сутки спокойно пользоваться вашим аккаунтом.


Больше самостоятельно вы ничего со своим аккаунтом сделать не можете.




"У такого солидного продукта, как Telegram, должна быть хорошая поддержка пользователей", скажете вы. Я тоже так думал. Однако на деле оказалось, что поддержка не просто плохая, она отсутствует.


Есть страница , и даже форма как будто куда-то отправляется, но ни ответа, ни привета от "поддержки" мне дождаться так и не удалось.


Еще есть адрес [email protected], который мне удалось откопать в Telegram X в сообщении об ошибке, связанной с превышением лимита (успешных, блин) входов, но с ним такая же "мертвая" история.


Впоследствии выяснилось, что поддержку пользователей Телеги осуществляют волонтеры.


https://habrastorage.org/r/w1560/webt/r1/dq/Экс экс/r1dqhhcx8tltx47fhpdlerk5jus.png



Общение с волонтерами заканчивается тем, что бот обещает передать вопрос волонтеру.


Интересно, обеспечением приватности данных пользователей Телеги тоже волонтеры занимаются?



Попыток заблокировать взломанный аккаунт по причинам подозрительной активности со стороны Телеги не предпринималось.




Напоследок самое "забавное". При попытке завершить сессию злоумышленника после успешного входа получаем сообщение: "По причинам безопасности запрещается завершать старые сессии с новых устройств. Завершите сессии с более старого устройства или подождите несколько часов".


a2mm3l_nwawiipm-r2hfsxzohfu.png




В итоге, сессию удалось завершить только спустя 24 часа. Видимо, это сделано для того, чтобы злоумышленник успел про вас вспомнить, завершить вашу сессию и продолжить пользоваться вашим аккаунтом.


Я не знаю, является ли это частью политики компании или имеет место пресловутое , но факт остается фактом — существующие на сегодняшний день механизмы "защиты" Телеги делают все, чтобы взломщик как можно дольше пользовался вашим аккаунтом.


Как вам такой девиз: "Telegram. Нас интересуют ваши деньги, а не ваши проблемы"?.
Так что не лайкайте подозрительных котиков. И включите двухфакторную аутентификацию. И следите за активными сессиями.


Всем безопасного месседжинга.


Дополнение от 8.09​


Вчерась днем получил долгожданный ответ от поддержки (обратился четвертого утром, О — оперативность) следующего содержания:


22sflwlcjevupj7npx48odrlsyo.png




Очень повеселила эта часть:


"Если злоумышленники выгоняют вас из аккаунта раньше, чем проходит 24 часа, то мы рекомендуем продолжать попытки входить в аккаунт: скорее всего, рано или поздно они могут не заметить ваш вход, вам удастся пробыть в аккаунте целые сутки, и тогда вы сможете завершить их сеансы."


Оказывается, удалить аккаунт все-таки можно:


"… вы можете попробовать удалить свой аккаунт: войдите в него и сразу после этого откройте в браузере ссылку my.telegram.org, введите свой номер, потом пароль, полученный в Телеграм, и удалите аккаунт."


Но "восстановить данные из удаленного аккаунта невозможно".


А как вам эта часть?


"Если вы хотите помочь другому пользователю, которого взломали, то перешлите сообщения злоумышленников нашему аккаунту @notoscam и напишите подробное письмо на адрес [email protected].


К сожалению, мы не можем сами выгнать злоумышленников из вашего аккаунта: аккаунты пользователей защищены от любого постороннего вмешательства, даже со стороны самой платформы Телеграм."


Звучит похоже на "вы, конечно, можете нам написать, но сделать мы ничего не сможем".

 
  • Теги
    telegram tg взлом телеграм
  • Сверху Снизу