Hitech logo

кибербезопасность

Уязвимость в Telegram позволяет раскрывать данные пользователей

TODO:
Александр Носков9 августа 2018 г., 08:08

Российские провластные активисты, которые ранее занимались мониторингом сообщений в соцсетях на предмет выявления «экстремизма», утверждают, что взломали Telegram. И теперь могут узнать личные данные пользователя по его юзернейму. Уязвимость хотят поставить на службу ФСБ, добивающейся от мессенджера доступа к частной переписке.

Самые интересные технологические и научные новости выходят в нашем телеграм-канале Хайтек+. Подпишитесь, чтобы быть в курсе.

Российская компания под названием «Центр исследований легитимности и политического протеста» утверждает, что взломала Telegram и теперь может узнать номер телефона пользователя по его юзернейму. Пишут об этом «Известия». Как работает программа, в центре не объясняют — там собираются передать этот «ключ» от Telegram в ФСБ и МВД.

Разработчики назвали свою систему «Криптоскан». В публикации написано, что когда сотрудник «Известий» попросил раскрыть данные одного из редакторов по его юзернейму, найденный номер телефона совпал, а имя и фамилия — нет.

Детали или хотя бы принцип работы — тайна. «Мы проанализировали API (часть программного интерфейса приложения) и выяснили, что в мессенджере есть уязвимость, позволяющая раскрывать номера мобильных пользователей», — утверждает руководитель центра Евгений Венедиктов.

С учетом того, что Евгений регулярно дает комментарии газете (1, 2, 3), эксперимент с поиском телефона по юзернейму сотрудника редакции сложно назвать чистым.

Эксперты, опрошенные «Известиями», говорят, что этот механизм предоставит новые возможности вычислять нарушителей закона, например, тех, кто с помощью мессенджера продает наркотики через чаты.

В FAQ на сайте Telegram написано, что API не позволяет узнавать номер телефона по юзернейму. Высвечивается номер лишь в одном случае — если вы переписываетесь с человеком, чей телефон уже есть в вашем списке контактов.

Венедиктов утверждает, что его организация уже ищет пользователей по запросам МВД и ФСБ. Деталей не приводится.

Глава центра ранее представлял программу с пафосным названием «Демон Лапласа», которая мониторит соцсети в поисках политического экстремизма. «Новая газета» называла программу «машиной по массовой рассылке доносов». В МВД тогда сообщали, что только в Псковской области по заявлениям Венедиктова провели около сотни проверок. В своем канале на YouTube активист регулярно выкладывает видео о работе «Демона». Последнее посвящено «фиксации роста внутренних связей в группах политического протеста и деструктивных культов».

Ранее другие эксперты указывали на недочеты в системе безопасности сервиса Telegram Passport: используемый алгоритм шифрования позволяет взломать большинство паролей в течение пяти дней методом сплошного перебора.