Оппозиционные активисты пожаловались на удалённый взлом аккаунтов в Telegram
Сотрудник Фонда борьбы с коррупцией Георгий Албуров и директор НКО «Образ будущего» Олег Козловский заявили, что ночью 29 апреля неизвестные получили доступ к их аккаунтам в мессенджере Telegram. Согласно сообщению, полученному от Telegram, вход произошёл с одного и того же IP-адреса, записанного в Нью-Йорке. Обновлено в 16:56: добавлен комментарий поддержки Telegram.
Взлом обоих аккаунтов произошёл в три часа ночи по московскому времени: вероятно, злоумышленники предполагали, что жертвы в это время будут спать. Судя по времени публикации твитов, Козловский и Албуров действительно заметили вход в их аккаунт посторонних только утром.
Судя по опубликованному Албуровым скриншоту, вход в его аккаунт произошёл через необычный клиент Telegram — TelegramCli, работающий в виде командной строки под Linux. На сайте Telegram он указан как неофициальный, его разработкой занимался Виталий Вальтман, выпускник матмеха СПбГУ.
В ответ на вопрос, мог ли вход произойти через выпуск дубликата SIM-карты, Козловский заявил, что его SIM-карта продолжает работать.
Албуров рассказал TJ, что в личном кабинете МТС у него переадресация SMS не активирована. По его словам, он написал в поддержку Telegram, там ему пока не ответили, и в качестве меры защиты он собирается включить двухфакторную авторизацию.
В поддержке Telegram Албурову рассказали, что вход произошёл по SMS, но сам Албуров его не получил, потому что кто-то временно отключил на его SIM-карте сервис доставки сообщений.
Вход был осуществлён через код, отправленный в SMS на ваш номер. Поскольку двухфакторная авторизация не была включена, этого было достаточно, чтобы войти.
Однако от МТС в систему потом пришёл ответ, что SMS не было доставлено адресату. Такое может случаться и в штатном режиме, но учитывая ситуацию, подозрительно.
Поддержка МТС сообщила, что сообщение не было вам доставлено по причине того, что для вашего аккаунта в тот момент был отключён сервис SMS: «Не доставлено, т.к. у получателя не был подключён сервис приема/передачи коротких сообщений».
Если вы не отключали сервис SMS, возможно, стоит узнать у МТС, как это получилось.
При авторизации Telegram отправляет пароль не только в SMS, но и на другие устройства в виде сообщения в мессенджере. Однако Албуров у себя такого сообщения не нашёл. В поддержке Telegram предположили, что злоумышленники удалили это сообщения до того, как оппозиционер его прочитал: «А вот сообщение о входе не отправляется на то устройство, вход с которого был выполнен. Для них этого сообщения просто не существовало».
TJ обратился за комментарием в пресс-службу МТС. По мнению сотрудничающего с ФБК специалиста Владислава Здольникова, атака могла быть спланирована ФСБ совместно с МТС: SMS с кодом авторизации перехватили либо на дубликате SIM-карты, либо на SMS-шлюзе МТС.
В разговоре с TJ Павел Дуров также предположил, что вход мог произойти через создание дубликата SIM-карты по поддельным паспортным данным, но пообещал уточнить детали этого случая позднее.
Хотя злоумышленники и получили доступ к аккаунту, они не смогли бы узнать содержимое секретных чатов. В Telegram такая переписка привязана к конкретному устройству и не хранится на серверах компании.
В апреле сразу несколько журналистов сообщили о попытках взлома их почтовых аккаунтов спецслужбами. Такие уведомления от Google получили сотрудник Центра по исследованию коррупции (OCCRP) Роман Шлейнин, писавший о панамских офшорах, и журналист Олег Кашин.
В сентябре 2015 года журналисты «Новой газеты» рассказали о взломе их почтовых ящиков через выпуск SIM-карты по поддельным документам. В таких схемах участвовали сотрудники МТС и «Билайна», однако здесь отличие было в том, что при выпуске новой SIM-карты старая блокировалась: злоумышленники производили взлом, зная, что журналисты в это время пользуются другим телефоном.
В апреле 2015 года Telegram добавил возможность просмотра активных сессий и подключения двухфакторной аутентификации. В этом случае одного пароля из SMS для входа в аккаунт недостаточно: при входе ещё потребуется ввести PIN-код, который знает только владелец аккаунта.