Офтоп
Вадим Елистратов

Из-за бага в Telegram москвичка получила возможность незаметно читать переписку редакции «Дождя»

В конце июня пользовательница Telegram из Москвы рассказала TJ, что уже в течение нескольких месяцев по неизвестным причинам получает уведомления о сообщениях из чатов, в которых не состоит. С недавних пор она таким образом получила возможность наблюдать за редакционным чатом сайта телеканала «Дождь». TJ разобрался в произошедшем: как выяснилось, к смене аккаунта в мессенджере Павла Дурова нужно подходить очень внимательно.

Странные уведомления

По словам Анны, свой iPhone 5c она купила с рук в ноябре 2015 года после того, как у неё украли предыдущий айфон. Прошлая владелица решила не сбрасывать устройство на заводские настройки, но из всех аккаунтов девушки последовательно вышли — как в приложениях, так и в iCloud.

За первый месяц использования смартфона никаких проблем замечено не было, однако в январе девушке начали приходить чужие уведомления в Telegram.

В январе на заблокированном экране всплыло сообщение из какой-то беседы, в которой я не состою. Я удивилась и открыла Telegram. Чат не отображался, хотя уведомления продолжали поступать. Написала в поддержку, приложив скриншоты.

Анна Горбачёва

Поддержка девушке оперативно не ответила, поэтому она просто удалила Telegram, которым почти не пользовалась на тот момент. Однако с недавнего времени мессенджер понадобился ей вновь.

Неделю назад всё началось снова. Я работаю в рекламном агентстве, мы часто используем Telegram для общения по работе.

И вот сегодня я опять очутилась в каком-то чате, но на этот раз он оказался рабочим, как и у нас в агентстве, где также обсуждаются проекты.

И тут меня осенило. А вдруг кто-то так же читает мой чат?!

Анна Горбачёва

Как и в первый раз, девушка могла видеть только уведомления из чата, но не сам чат. При попытке перейти по уведомлению приложение начинало работать странно. На экране открывался чат, но пустой — без сообщений, аватарки и даже названия.

Попытки написать людям, чью переписку Анна читала, не увенчались успехом. Её сообщения в чат не попадали — рядом с ними появлялся красный восклицательный знак, рапортующий об ошибке. Сами участники переписки, судя по сообщениям, не были в курсе, что за ними кто-то следит.

По просьбе TJ Анна сняла баг на видео. Она попросила извиниться перед читателями за то, что во время записи назвала версию приложения Telegram «лицензионной» вместо «официальной».

Тёмный попутчик «Дождя»

Увидев, что чат называется SMM, Анна поначалу подумала, что по ошибке попала в массовый чат SMM-щиков (такие есть и во «ВКонтакте», и в Telegram), однако позже заметила, что ей приходят уведомления только от нескольких людей — Ильи Клишина, Антона Астафурова, Дениса Касянчука, Алексея Абанина и Даниила Зубова. Все они являются сотрудниками телеканала «Дождь».

Вскоре стало понятно, что Анна стала невольной читательницей SMM-чата «Дождя», где сотрудники обсуждают продвижение материалов сайта в соцсетях. Она заметила, что ссылки, которые приходят ей в сообщениях, тут же публиковались в твиттере издания, фейсбуке или сообществе во «ВКонтакте».

По словам девушки, SMM «Дождя» появился в её Telegram не сразу. Первые две недели после установки мессенджер работал нормально, после чего ей начали приходить уведомления от неизвестных людей. SMM-чат «Дождя» появился уже позже.

Анна утверждает, что с момента покупки устройство она никому не давала, не переставляла SIM-карты и не позволяла другим людям логиниться в своём Telegram. На смартфоне нет джейлбрейка и установлена iOS 9.3.2.

Общение с поддержкой Telegram

После того, как Анна обратилась в TJ, поддержка Telegram ей всё-таки ответила и предложила завершить все активные сессии, что девушка и сделала.

В процессе общения агент поддержки, по-видимому, решил, что проблема была именно в том, что девушка использовала не новый телефон, однако не объяснил, что она сделала неправильно и чем вызвала баг.

Анна отметила, что техника Apple часто перепродаётся, и заявила, что видит в произошедшем нарушение приватности, однако в поддержке ей заявили, что «выясняют подробности» и снова пропали на неопределённое время.

Тем временем закрытие активных сессий не только не помогло, но и усугубило ситуацию: уведомления начали приходить Анне сотнями.

В разговоре с TJ Павел Дуров сообщил, что причиной неисправности действительно был баг. По версии Telegram, телефон достался девушке от друга, который состоял в чате «Дождя» и удалил приложение, не сняв авторизацию.

По словам самой Анны, телефон она купила у подруги, которая на тот момент не имела отношения к «Дождю».

Дуров рассказал, что об этой неисправности известно давно. Её зафиксировали и устранили, но только для новых случаев. Тогда как для уже пострадавших людей она не решилась. Им не стали сбрасывать кэш, и принудительно сбросили только после обращения TJ, хотя пользователи могли сделать это и самостоятельно.

Сам баг исправлен 10 июня, при первом обращении в поддержку. Это было исправление новых некорректных подписок плюс ручное удаление старых, у тех кто пожаловался.

28 июня из-за жалобы от этой девушки добавил при каждой новой подписке (она происходит при перезапуске приложения) принудительное удаление старых некорректных подписок в автоматическом режиме.

Баг заключался в том, что при подписывании устройства на пуши Apple, старая привязка этого же устройства не затиралась.

Если у людей именно эта проблема, то во всех произошедших случаях человек «А» читал сообщения человека «Б», у которого он взял телефон, «снеся» Telegram, но не разавторизовавшись вручную внутри.

разработчик Telegram

Однако Анна Горбачёва получает неотключаемые уведомления из чужих чатов до сих пор — даже после закрытия всех активных сессий.

Проблема перелогина

В процессе подготовки этого материала выяснилось, что перелогин (вход и выход из аккаунта) является достаточно распространённой «болячкой» Telegram.

Бывший сотрудник «Комитета» Егор Монахов рассказал TJ о похожей истории с получением доступа к чужому списку контактов, которая неожиданно закончилась появлением в листе его друзей актёра Дмитрия Дюжева или кого-то, кто выдавал себя за него.

Примерно год назад срочно понадобилось воспользоваться своим Telegram-аккаунтом с планшета бывшей девушки, на котором до этого уже стоял активный аккаунт.

Мой телефон сел, но нужно было что-то срочно кому-то написать. Спустя пару дней мне в мессенджер пришло уведомление о том, что непонятный мне контакт присоединился к Telegram. Потом за ним ещё одно, потом ещё. На третьем я понял, что это контакт из записной книжки моей девушки.

Как оказалось, все наши контакты перемешались на сервере мессенджера. То есть сразу, как только персонаж из записной книжки девушки регистрировался в нем, он автоматически появлялся у меня и сохранялся в записной книжке телефона.

Когда расстался с девушкой, проблема начала раздражать. Написал в поддержку, там сказали, что такой баг действительно есть, и для того, чтобы всё это остановить, одному из нас нужно удалить аккаунт. Девушке он был не нужен, так что мой остался цел.

Спустя месяц в моем Telegram появился Дмитрий Дюжев.

Егор Монахов

С аналогичной проблемой столкнулся и Илья Казаков из компании Gameloft.

Мой коллега залогинился на iPad в свой аккаунт в Telegram. Затем на этом iPad я вышел из его аккаунта и зашёл в свой.

Где-то через пару недель заметил в списке контактов Telegram незнакомых персоналий, удивился, но не придал этому большого внимания.

Потом с коллегой решили сравнить списки контактов наших «телеграмов» и удивились, что они друг у друга продублировались.

Я удалил его контакты вручную, было не много, а он, насколько я понял, снёс аккаунт и завёл заново.

Илья Казаков

Ещё один пользователь Telegram Владимир Титов рассказал TJ, что у него аналогичная ситуация произошла после логина в Telegram на чужом компьютере.

При общении с Егором Монаховым поддержка Telegram назвала произошедшее «большой печалькой» и заявила, что единственный способ отвязаться от аккаунта его бывшей девушки — полностью удалить свой или её профиль.

Что делать

Хотя появление уведомлений из других чатов Дуров назвал багом, объединение контактов после перелогина, по его словам, «так и задумано», так как Telegram «не рассчитан на то, чтобы в него заходили с чужих устройств».

В случае, если подобный инцидент всё же произошёл, следует пройти по ссылке «https://telegram.org/deactivate», открыв её прямо в мессенджере (желательно — в веб-версии на компьютере). После процедуры пропадут все архивы переписки и файлы.

Чтобы избежать подобных проблем в Telegram Егору Монахову посоветовали пользоваться «лишь своим аккаунтом со своих устройств», фактически признав, что мессенджер имеет привязку к «железу». Альтернативный вариант — при перелогине предварительно закрыть Telegram доступ к контактам, иначе он автоматически перенесёт их к пользователю, который решил на время войти в мессенджер с чужого телефона.

В случае Анны предыдущей владелице телефона было необходимо разлогиниться из Telegram, а затем сделать заводской сброс настроек телефона.