Telegram выдает силовикам участников митингов и протестов
В Telegram обнаружена лазейка, позволяющая властям различных стран вычислять номера телефонов тех, кто участвует в акциях протеста и числится в соответствующих группах в мессенджере. Проблему обнаружили эксперты из Гонконга, где сейчас проходят многотысячные протесты.

Небезопасный мессенджер
Мессенджер Telegram может выдавать третьим лицам номера телефонов пользователей без их на то согласия. Брешь в системе безопасности популярного сервиса обнаружили разработчики ПО из Гонконга.
По словам специалистов, обнаруженная ими лазейка может использоваться властями и спецслужбами для сбора номеров телефонов тех, кто участвует в митингах и акциях протест. Ресурс ZDNet пишет, что подобным образом могут быть вычислены личные данные тех, кто участвует в протестах в Гонконге и координируют свои действия через Telegram.
Как это работает
Злоумышленники могут действовать в обход настроек приватности в мессенджере, в которых можно скрыть видимость номера телефона. Это работает, даже если скрыть номер телефона от всех, включая список контактов. Для того, чтобы выяснить, состоит ли тот или иной человек в протестных группах и чатах в Telegram, третьим лицам достаточно всего лишь добавить в свою адресную книгу тысячи номеров, после чего подключиться к необходимым группам и синхронизировать свои контакты с клиентом Telegram. После синхронизации месседжер сразу покажет, кто из владельцев добавленных номеров состоит в «непопулярных» группах.
Для Гонконга возможная деанонимизация пользователей Telegram сейчас имеет большое значение. По всей стране с начала июня 2019 г. проходят многочисленные акции протеста против законопроекта о рассмотрении запросов об экстрадиции подозреваемых в уголовных преступлениях с территории Гонконга, подаваемых властями Макао, Тайваня и Китая. Документ был принят к рассмотрению, что и побудило жителей Гонконга высказать свое недовольство. Протестующие устроили шествие, построили баррикады и перекрыли движение по крупным шоссе и дорогам. В первый день протеста против законопроекта выступило более 240 тыс. человек, что стало крупнейшей демонстрацией в Гонконге за последние 20 лет.
Опасения небеспочвенны
Разработчики Telegram отреагировали на заявление гонконгских программистов об обнаружении им столь серьезного бага. Сотрудники ZDNet связались с ними с целью выяснения их дальнейших действий и приблизительных сроков исправления проблемы.
На запрос журналистов девелоперы ответили, что в актуальных версиях мессенджера присутствуют алгоритмы, препятствующие столь грубому взлому.
Автоматический поиск номеров телефонов участников тех или иных групп в Telegram возможен теоретически и практически – разработчики даже продемонстрировали его в действии, однако выполнение скрипта было прервано спустя две секунды после начала его работы, и в результате было импортировано 85 контактов. Аккаунт, с которого проводилась синхронизация, получил ограничение на добавление новых контактов – не более пяти в день.
В итоге защита от «кражи» номеров телефонов в Telegram есть, но ее можно обойти не качеством, а количеством. Теоретически, деанонимизацию пользователей можно проводить, используя большое количество Telegram-аккаунтов и ботов.
Безальтернативный мессенджер
Информация о возможных проблемах Telegram с анонимностью своих пользователей за несколько часов распространилась на популярных в Гонконге социальных ресурсах. Инженеры, обнаружившие брешь, заявили, что ее использование можно автоматизировать, то есть тем, кому поручено выявить личности протестующих, не будут вручную заносить тысячи номеров в свои списки контактов. По их утверждению, власти Гонконга осведомлены о предоставленной им возможности борьбы с протестующими и пользуются ей на протяжении неопределенного количества времени. В качестве решения проблемы и дальнейшего использования Telegram в качестве инструмента координации акций протеста участникам предложено использовать одноразовые SIM-карты, а также номера, оформленные на других лиц или на поддельные паспорта.
В то же время отказаться от Telegram в пользу других мессенджеров протестующие не спешат. Это связано в первую очередь с более проработанными алгоритмами работы Telegram с большими группами, а также тем, что альтернативные сервисы по умолчанию раскрывают номера телефонов. В качестве примера был приведен мессенджер Signal, в котором номер телефона скрыть нельзя.
DDoS-атаки мирового масштаба
Telegram во второй раз за лето 2019 г. оказывается в центре внимания мировой общественности из-за ситуации в Гонконге. 11 июня 2019 г., через два дня после начала протестов, мессенджер перестал работать по всей планете вследствие массированных DDoS-атак мощностью от 200 до 400 Гбит/с. По словам создателя Telegram Павла Дурова, атаки напрямую связаны с этими протестами.

Небезопасный мессенджер
Мессенджер Telegram может выдавать третьим лицам номера телефонов пользователей без их на то согласия. Брешь в системе безопасности популярного сервиса обнаружили разработчики ПО из Гонконга.
По словам специалистов, обнаруженная ими лазейка может использоваться властями и спецслужбами для сбора номеров телефонов тех, кто участвует в митингах и акциях протест. Ресурс ZDNet пишет, что подобным образом могут быть вычислены личные данные тех, кто участвует в протестах в Гонконге и координируют свои действия через Telegram.
Как это работает
Злоумышленники могут действовать в обход настроек приватности в мессенджере, в которых можно скрыть видимость номера телефона. Это работает, даже если скрыть номер телефона от всех, включая список контактов. Для того, чтобы выяснить, состоит ли тот или иной человек в протестных группах и чатах в Telegram, третьим лицам достаточно всего лишь добавить в свою адресную книгу тысячи номеров, после чего подключиться к необходимым группам и синхронизировать свои контакты с клиентом Telegram. После синхронизации месседжер сразу покажет, кто из владельцев добавленных номеров состоит в «непопулярных» группах.
Для Гонконга возможная деанонимизация пользователей Telegram сейчас имеет большое значение. По всей стране с начала июня 2019 г. проходят многочисленные акции протеста против законопроекта о рассмотрении запросов об экстрадиции подозреваемых в уголовных преступлениях с территории Гонконга, подаваемых властями Макао, Тайваня и Китая. Документ был принят к рассмотрению, что и побудило жителей Гонконга высказать свое недовольство. Протестующие устроили шествие, построили баррикады и перекрыли движение по крупным шоссе и дорогам. В первый день протеста против законопроекта выступило более 240 тыс. человек, что стало крупнейшей демонстрацией в Гонконге за последние 20 лет.
Опасения небеспочвенны
Разработчики Telegram отреагировали на заявление гонконгских программистов об обнаружении им столь серьезного бага. Сотрудники ZDNet связались с ними с целью выяснения их дальнейших действий и приблизительных сроков исправления проблемы.
На запрос журналистов девелоперы ответили, что в актуальных версиях мессенджера присутствуют алгоритмы, препятствующие столь грубому взлому.
Автоматический поиск номеров телефонов участников тех или иных групп в Telegram возможен теоретически и практически – разработчики даже продемонстрировали его в действии, однако выполнение скрипта было прервано спустя две секунды после начала его работы, и в результате было импортировано 85 контактов. Аккаунт, с которого проводилась синхронизация, получил ограничение на добавление новых контактов – не более пяти в день.
В итоге защита от «кражи» номеров телефонов в Telegram есть, но ее можно обойти не качеством, а количеством. Теоретически, деанонимизацию пользователей можно проводить, используя большое количество Telegram-аккаунтов и ботов.
Безальтернативный мессенджер
Информация о возможных проблемах Telegram с анонимностью своих пользователей за несколько часов распространилась на популярных в Гонконге социальных ресурсах. Инженеры, обнаружившие брешь, заявили, что ее использование можно автоматизировать, то есть тем, кому поручено выявить личности протестующих, не будут вручную заносить тысячи номеров в свои списки контактов. По их утверждению, власти Гонконга осведомлены о предоставленной им возможности борьбы с протестующими и пользуются ей на протяжении неопределенного количества времени. В качестве решения проблемы и дальнейшего использования Telegram в качестве инструмента координации акций протеста участникам предложено использовать одноразовые SIM-карты, а также номера, оформленные на других лиц или на поддельные паспорта.
В то же время отказаться от Telegram в пользу других мессенджеров протестующие не спешат. Это связано в первую очередь с более проработанными алгоритмами работы Telegram с большими группами, а также тем, что альтернативные сервисы по умолчанию раскрывают номера телефонов. В качестве примера был приведен мессенджер Signal, в котором номер телефона скрыть нельзя.
DDoS-атаки мирового масштаба
Telegram во второй раз за лето 2019 г. оказывается в центре внимания мировой общественности из-за ситуации в Гонконге. 11 июня 2019 г., через два дня после начала протестов, мессенджер перестал работать по всей планете вследствие массированных DDoS-атак мощностью от 200 до 400 Гбит/с. По словам создателя Telegram Павла Дурова, атаки напрямую связаны с этими протестами.
* Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Рейтинг: