Оппозиционные активисты пожаловались на удалённый взлом аккаунтов в Telegram Статьи редакции
Сотрудник Фонда борьбы с коррупцией Георгий Албуров и директор НКО «Образ будущего» Олег Козловский заявили, что ночью 29 апреля неизвестные получили доступ к их аккаунтам в мессенджере Telegram. Согласно сообщению, полученному от Telegram, вход произошёл с одного и того же IP-адреса, записанного в Нью-Йорке. Обновлено в 16:56: добавлен комментарий поддержки Telegram.
Взлом обоих аккаунтов произошёл в три часа ночи по московскому времени: вероятно, злоумышленники предполагали, что жертвы в это время будут спать. Судя по времени публикации твитов, Козловский и Албуров действительно заметили вход в их аккаунт посторонних только утром.
Судя по опубликованному Албуровым скриншоту, вход в его аккаунт произошёл через необычный клиент Telegram — TelegramCli, работающий в виде командной строки под Linux. На сайте Telegram он указан как неофициальный, его разработкой занимался Виталий Вальтман, выпускник матмеха СПбГУ.
В ответ на вопрос, мог ли вход произойти через выпуск дубликата SIM-карты, Козловский заявил, что его SIM-карта продолжает работать.
Албуров рассказал TJ, что в личном кабинете МТС у него переадресация SMS не активирована. По его словам, он написал в поддержку Telegram, там ему пока не ответили, и в качестве меры защиты он собирается включить двухфакторную авторизацию.
В поддержке Telegram Албурову рассказали, что вход произошёл по SMS, но сам Албуров его не получил, потому что кто-то временно отключил на его SIM-карте сервис доставки сообщений.
Вход был осуществлён через код, отправленный в SMS на ваш номер. Поскольку двухфакторная авторизация не была включена, этого было достаточно, чтобы войти.
Однако от МТС в систему потом пришёл ответ, что SMS не было доставлено адресату. Такое может случаться и в штатном режиме, но учитывая ситуацию, подозрительно.
Поддержка МТС сообщила, что сообщение не было вам доставлено по причине того, что для вашего аккаунта в тот момент был отключён сервис SMS: «Не доставлено, т.к. у получателя не был подключён сервис приема/передачи коротких сообщений».
Если вы не отключали сервис SMS, возможно, стоит узнать у МТС, как это получилось.
При авторизации Telegram отправляет пароль не только в SMS, но и на другие устройства в виде сообщения в мессенджере. Однако Албуров у себя такого сообщения не нашёл. В поддержке Telegram предположили, что злоумышленники удалили это сообщения до того, как оппозиционер его прочитал: «А вот сообщение о входе не отправляется на то устройство, вход с которого был выполнен. Для них этого сообщения просто не существовало».
TJ обратился за комментарием в пресс-службу МТС. По мнению сотрудничающего с ФБК специалиста Владислава Здольникова, атака могла быть спланирована ФСБ совместно с МТС: SMS с кодом авторизации перехватили либо на дубликате SIM-карты, либо на SMS-шлюзе МТС.
В разговоре с TJ Павел Дуров также предположил, что вход мог произойти через создание дубликата SIM-карты по поддельным паспортным данным, но пообещал уточнить детали этого случая позднее.
Хотя злоумышленники и получили доступ к аккаунту, они не смогли бы узнать содержимое секретных чатов. В Telegram такая переписка привязана к конкретному устройству и не хранится на серверах компании.
В апреле сразу несколько журналистов сообщили о попытках взлома их почтовых аккаунтов спецслужбами. Такие уведомления от Google получили сотрудник Центра по исследованию коррупции (OCCRP) Роман Шлейнин, писавший о панамских офшорах, и журналист Олег Кашин.
В сентябре 2015 года журналисты «Новой газеты» рассказали о взломе их почтовых ящиков через выпуск SIM-карты по поддельным документам. В таких схемах участвовали сотрудники МТС и «Билайна», однако здесь отличие было в том, что при выпуске новой SIM-карты старая блокировалась: злоумышленники производили взлом, зная, что журналисты в это время пользуются другим телефоном.
В апреле 2015 года Telegram добавил возможность просмотра активных сессий и подключения двухфакторной аутентификации. В этом случае одного пароля из SMS для входа в аккаунт недостаточно: при входе ещё потребуется ввести PIN-код, который знает только владелец аккаунта.
Жестокий самолет
Разве это не надёжнее связки логин/пароль в большинстве случаев?
Классный череп
Это надёжнее в плане двухфакторной авторизации, когда обязан быть логин-пароль и аутентификация через SMS. В ином случае - это дыра. (хотя, говорят в телекраме можно включить требование пароля в любом случае)
Любовный бокал
Да, в телеграме есть двухфакторная, но работает наоборот — по умолчанию вход по смс, но можно добавить пароль.
Тут вот некоторое возможное объяснение механизма атаки https://telegram.me/unkn0wnerror/34
Больной фитиль
Чтобы сообщение с кодом отправилось в Telegram клиент должен быть в сети, если нет, то отправляется СМС.
Может быть в этом замешан сам МТС? Отключили соединение с клиентом и перехватили СМС...
Нужно узнать у Паши отправлялись ли СМС и одновременно проверить телефон на вирусы.
Больной фитиль
Опять же все зависит от того был ли Telegram в сети, если владелец сам его отключил, то возможно СМС просто перехватили.
Комментарий удален
Исключительный
Да ну? И пароль gmail нельзя восстановить просто имея доступ к телефону? Когда я последний раз проверял, можно было и никакой пароль знать не нужно было.
Исключительный
Ты уверен? Когда я последний раз проверял было совсем не так. Да и ещё раз, причём тут "двухфакторная" авторизация? А как тогда они сейчас называют режим при котором восстановить доступ по телефону можно но код смс при каждом логине не спрашивается?
Молчаливый кран
1) Если у другого сервиса нет восстановления пароля через смс, то как они сервис взломают? 20-символьный пароль подберут?
2) Если почта нигде не засвечена, то как они вообще узнают какую именно почту им нужно ломать?
Исключительный
Если у другого сервиса нет восстановления пароля через смс
... то значит оно скоро там появится
В гмайле тоже не обязательно указывать телефон но он заставит тебя его указать после "подозрительного" логина с "подозрительного" ip и заблокирует профиль пока не привяжешь.
Молчаливый кран
Можно указать телефон, но не включать двухфакторку. Так что тут это не связано.
Исключительный
Якобы "двухфакторная" авторизация это защита от кражи пароля, а не от перехвата доступа к телефону. Дядя чекист нажмёт на кнопку "восстановить доступ" его спросят код доступа который на смс выслали. И всё у него есть доступ.
Молчаливый
Если предложенный тобою способ захвата аккаунта станет популярным - то люди найдут способ защиты от него.
Исключител
Тоесть ты соврал сейчас и гмайл всётаки позволяет восстановить доступ по смс и это огромная брешь в безопасности которую к тому же никак нельзя обойти и оппозиционеру надо свой почтовый сервер устанавливать?
Молчаливый
которую к тому же никак нельзя обойти
Можно удалить номер телефона - тогда через смс ничего не сделать.
Исключител
Нет нельзя удалить номер. Вот я проверил почту через прокси и гмайл требует меня указать номер ато по его мнению в мой профиль заходили с подозрительного ip и он видители хочет меня обезопасить навязывая мне систему с абсолютным доверием оператору сотовой связи.
Молчаливый
Не, ты что-то путаешь.
1. "Параметры восстановления аккаунта" → номер телефона → удаляешь.
2. Захожу через прокси. Нажимаю "забыл пароль" - предлагает ответить на секретный вопрос, отправить на резервную почту, заполнить анкету.
3. Захожу через прокси, ввожу верный пароль - предлагает подтвердить что это действительно я: введя секретный вопрос, отправив на резервную почту, заполнив анкету.
Про телефон ничего не спрашивает.
4. Указываю номер телефона в параметрах восстановления. Нажимаю "забыл пароль" - вот теперь он уже предлагает через смс.
В общем, перепроверь что там у тебя.
Исключител
Не знаю может чтото изменилось, раньше 3 пункт заканчивался шагом с обязательным указанием номера телефона с текстом аля "мы заботимся о вас и чтобы это не повторилось в дальнейшем укажите номер телефона". И со 2 пунктом кстати не всё гладко. Один мой ящик заблокировали жёстко и насовсем хотя я знал ответ на секретный пароль но не было привязки к номеру, теперь для разблокировки просят заполнить какуюто анкету вроде даты последнего логина и т.п. но в ответ тишина и доступ мне никто не возвращает, правда это было лет 7 назад уже.
Исключител
Чтобы проверить... Он у меня привязан к телефону сейчас, а отвязывать эмитировать доступ с прокси с риском лишиться профиля... ну это надо новый ящик тогда создавать мне чёто ломы
Автомобильный спрей
Он надежный и защищеный не потому, что принципиально нельзя взломать аккаунт, а потому, что взломав аккаунт, нельзя получить информацию из секретных чатов.
Больной фитиль
Telegram не виноват, что люди не осознали небезопасность СМС.
Нормальные люди давно отвязали номера если возможно и включили двухэтапную аутентификацию, сразу после случаев с Новой Газетой.
Исключительный хичхакер
А зачем они сделали привязку то вообще? И можно ли его вообще отвязать и использовать без номера телефона? А при получении кода по смс он требует пароль? Как тогда стал возможет такой "взлом"?
Городской Орзэмэс
Ночью, сказали же. Ну а спецслужбы с оппозицией работают плотно, по Касьянову видно: разумеется, съёмку не рептилоиды делали и не НТВ-шники. Сейчас пойдут волны взломов телеграмов всяких там оппозиционеров, просто с ордером на коммутатор приходят, и всё.
Я вот не понимаю, человек выходит и говорит такие вещи:
"По мнению сотрудничающего с ФБК специалиста Владислава Здольникова, атака могла быть спланирована ФСБ совместно с МТС: SMS с кодом авторизации перехватили либо на дубликате SIM-карты, либо на SMS-шлюзе МТС."
Он в глаза долбится? Каждое последующее устройство в телеграм авторизовывается при помощи кода, который отправляется в пуш сообщении на авторизованное устройство.
Смотреть надо в сторону перехвата Пуша, а не СМС, как минимум.
Адекватный яд
Он же написал, наверняка уведомление пришло в три ночи, а потом взломщики его удалили.
Нефтяной турник
Ну, собственно, прояснилось. И если без шуток, это *******.
https://meduza.io/news/2016/04/29/mts-otklyuchil-oppozitsioneram-sms-servis-vo-vremya-vzloma-ih-telegram
Теоретический
Ну хз на что они вообще надеялись, когда регистрировали аккаунты на российские номера. Можно же в любой другой стране купить симку, к которой не будет доступа у российских спецслужб. Тем более можно даже не палить номер. В некоторых странах даже данные никакие не нужны для покупки симки (в Эстонии, например).
Городской
Чуть сложнее, но проходят смски через тот же коммутатор, нужно просто выбрать, через какой они будут приходить. Чуть больше нужно спицолистов и космонавтов - к каждому провайдеру. А вообще проблема в том, что для всех этих мер нужно был кулхацкером, а не оппозиционером.
Так что очень ждём ответа Дурова.
Нефтяной турник
Можно и в России купить левую симку. Главное потом не вставлять ее в паленый телефон.
Классный череп
Телеграм вынуждает привязывать аккаунт к телефону, так что можно считать это уязвимостью телеграма
Здравствуйте Георг. Наши специалисты исследовали ваш случай и вот что узнали:
Вход бы осуществлён через код, отправленный в СМС на ваш номер. Поскольку двухфакторная авторизация не была включена, этого было достаточно чтобы войти.
Однако от МТС в систему потом пришёл ответ, что СМС не было доставлено адресату. (Такое может случаться и в штатном режиме, но учитывая ситуацию, подозрительно.)
Поддержка МТС сообщила, что сообщение не было Вам доставлено по причине того что для Вашего аккаунта в тот момент был отключён сервис СМС. ("Не доставлено, т.к. у получателя не был подключён сервис приема/передачи коротких сообщений.")
Если вы не отключали сервис СМС, возможно, стоит узнать у МТС как это получилось.
На настоящий момент, настоятельно рекомендуем включить в настройках двухфакторную авторизацию, чтобы использовать для авторизации не только код, но и пароль. Settings – Privacy & Security – 2-Step Verification.
Посмотрите, о чем твитнул(а) @alburov: https://twitter.com/alburov/status/726042734952370176?s=09
Виктор, получение доступа к учётной записи только лишь само по себе не обязательно означает нарушение конституционного права на тайну переписки. Если при этом не происходит знакомства с сообщениями. Равно как и не обязательно нарушает закон о персональных данных. Если регистрационные данные безличностные.
Единообразия судпрактики я здесь не наблюдаю. Посмотрите судрешения вот для этих дел: А40-153867/2013, №А40-56844/2013, А40-56142/2013, А40-113991/2013. Они мне пришли на память. Более свежая судпрактика мне не известна.
Ещё, возможно, Вам будут полезны определения Конституционного суда от 2 октября 2003 года №345-О и №528-О.
Подробнее о порядке получения уполномоченным органом (в т.ч. ФСБ) доступа к личной переписке можете прочитать в статьях 8 и 9 закона об оперативно-розыскной деятельности.
--
Фантастический
Слишком Вы не любите Telegram, что даже пропускаете разумные аргументы. Контакт-лист передается через API, а следовательно, шифруется.
Getter: https://core.telegram.org/method/contacts.getContacts
Setter: https://core.telegram.org/method/contacts.importContacts
Фантастический
Попробуйте угнать для начала аккаунт, если у вас двухфакторная авторизация. Вы так рассуждаете, принципиально огибая двухфакторную авторизацию, как нечто недосягаемое. Проще украсть телефон и получить доступ к контакт листу, нежели получить доступ к контактам, "угнав" аккаунт.
Классный череп
Так, стоп, суть топика в авторизаци по смс и в этой ветке комментов вообще не говорится про авторизацию. Итого - угнав аккаунт указанным в топике образом нельзя получить содержимое секретных чатов. Можно ли получить контакт-лист?