habrahabr

Пару ласковых о Telegram

  • суббота, 7 сентября 2024 г. в 00:00:12
https://habr.com/ru/articles/840794/



Tелеге на вас плевать, даже если вы платите ей деньги.

Привет, друзья!


Я пользуюсь Телегой почти с момента ее появления в далеком 2013 году. Последние два года покупаю премиум. Несколько раз дарил премиум друзьям. Наивно полагал, что Телега заботится о своих пользователях, особенно платных. В целом меня все устраивало, пока недавно я не попал в "интересную" ситуацию невозможности управлять собственным аккаунтом.


Пару дней назад мой аккаунт взломали (вероятно, сам дурак; желаю взломщикам всего плохого). Злоумышленник завершил все мои активные сессии и стал рассылать моим контактам денежные запросы. Пытаясь вернуть аккаунт себе, я выяснил любопытную вещь: в Телеге отсутствует адекватный механизм блокировки/восстановления аккаунта.


При входе в аккаунт (в мобильном приложении) нужно ввести код, который либо отправляется на другое устройство (которым владеет злоумышленник, ха-ха), либо извлекается из номера, с которого звонит бот (извлечение работает через раз), либо отправляется в СМС. Получение кода не сильно помогает делу. Как только вы входите в систему, у злоумышленника появляется информации о начале новой сессии, которую он тут же завершает (возможно, запущен скрипт, который делает это автоматически). Завершение сессии приводит к тому, что вас выбрасывает из приложения.


При этом, код всегда сначала отправляется на устройство злоумышленника, видимо, чтобы он мог подготовиться к завершению вашей сессии.




После определенного количества циклов "вход-завершение сессии" срабатывает ограничение на количество запросов. Казалось бы, сервер не должен учитывать удачные входы, но, похоже, он считает все подряд, ибо нечего долго беспокоить злоумышленника попытками вернуть аккаунт.


После ввода ограничения следующую попытку можно предпринять не ранее чем через 24 часа, видимо, чтобы злоумышленник мог еще сутки спокойно пользоваться вашим аккаунтом.


Больше самостоятельно вы ничего со своим аккаунтом сделать не можете.




"У такого солидного продукта, как Telegram, должна быть хорошая поддержка пользователей", скажете вы. Я тоже так думал. Однако на деле оказалось, что поддержка не просто плохая, она отсутствует.


Есть страница support, и даже форма как будто куда-то отправляется, но ни ответа, ни привета от "поддержки" мне дождаться так и не удалось.


Еще есть адрес sms@telegram.org, который мне удалось откопать в Telegram X в сообщении об ошибке, связанной с превышением лимита (успешных, блин) входов, но с ним такая же "мертвая" история.


Впоследствии выяснилось, что поддержку пользователей Телеги осуществляют волонтеры.





Общение с волонтерами заканчивается тем, что бот обещает передать вопрос волонтеру.


Интересно, обеспечением приватности данных пользователей Телеги тоже волонтеры занимаются?



Попыток заблокировать взломанный аккаунт по причинам подозрительной активности со стороны Телеги не предпринималось.




Напоследок самое "забавное". При попытке завершить сессию злоумышленника после успешного входа получаем сообщение: "По причинам безопасности запрещается завершать старые сессии с новых устройств. Завершите сессии с более старого устройства или подождите несколько часов".





В итоге, сессию удалось завершить только спустя 24 часа. Видимо, это сделано для того, чтобы злоумышленник успел про вас вспомнить, завершить вашу сессию и продолжить пользоваться вашим аккаунтом.


Я не знаю, является ли это частью политики компании или имеет место пресловутое "облажались, а не заговор", но факт остается фактом — существующие на сегодняшний день механизмы "защиты" Телеги делают все, чтобы взломщик как можно дольше пользовался вашим аккаунтом.


Как вам такой девиз: "Telegram. Нас интересуют ваши деньги, а не ваши проблемы"?.

Так что не лайкайте подозрительных котиков. И включите двухфакторную аутентификацию. И следите за активными сессиями.


Всем безопасного месседжинга.