Telegram отключил удаление аккаунтов по SMS из-за ситуации вокруг взломов абонентов МТС Статьи редакции

После ситуации с попыткой взлома аккаунта журналиста Сергея Пархоменко Telegram временно отключил возможность удаления защищённых двухфакторной аутентификацией профилей в мессенджере по коду из SMS. Об этом TJ рассказал Павел Дуров.

Сергей Пархоменко

По словам Дурова, уязвимости, которая привела к удалению аккаунта Пархоменко, в мессенджере нет, однако временно возможность удалить профиль со включённой двухфакторной аутентификацией в Telegram отключили.

«Дырки» в безопасности не было; была возможность удаления 2FA-аккаунта на случай смены владельца SIM-карты или забытого пароля. Сейчас она отключена в связи с ситуацией вокруг МТС. Новый механизм не позволяет удалять активные 2FA-аккаунты.

Павел Дуров, основатель Telegram и «ВКонтакте»

Дуров передал TJ публичный ответ поддержки Telegram. По словам представителей мессенджера, возможность удалить профиль через код по SMS существовала на случай, если пользователь забыл пароль, или если к текущей SIM-карте её предыдущей владелец привязал другой номер.

Ситуации утраты пароля и передачи номера случаются часто. Однако в связи с возникновением угрозы перехвата SMS для удаления истории переписки мы сделали невозможным удаление активного аккаунта с доступом к своей SIM-карте.

В ближайшем обновлении две эти проблемы будут решаться более элегантным путём.

поддержка Telegram

О попытке взлома Пархоменко рассказал вечером 21 июля. По его словам, на его телефон посыпались сообщения с кодами доступа для авторизации в Telegram, а затем, когда он попытался войти в мессенджер, там началась процедура регистрации — как будто он заходил в него впервые. Оказалось, что старый профиль журналиста полностью удалили со всей историей переписки.

Позднее Пархоменко выяснил у поддержки Telegram, что злоумышленники получили коды доступа у его оператора — МТС. Слова поддержки он передал так: «Telegram знает о существовании такой возможности — удалить чужой эккаунт, перехватив контроль над телефоном. По их уверениям, дырка в безопасности будет закрыта в течение ближайших нескольких дней. Но до тех пор эта процедура может со мной происходить ещё сколько угодно раз».

По словам журналиста, он не намерен подавать заявление в полицию, иск в суд или переходить к другому оператору.

Нет, я не буду жаловаться в полицию по этому поводу, поскольку считаю это бессмысленным. Нет, я не буду требовать ответа от МТС или преследовать их по суду, потому что и это считаю пустой потерей времени. Нет, я не буду менять номер телефона, потому что на вычисление нового (даже если его купит мне постороннее лицо) злодеям потребуется пара дней, не больше. Нет, я не буду переходить от МТС к другому провайдеру, потому что все они одинаковы.

Просто давайте жить дальше — теперь с этим небольшим дополнительным знанием и в новых чуть-чуть изменившихся условиях.

Сергей Пархоменко, журналист

На похожие проблемы со взломом Telegram через SMS-коды в апреле 2016 года жаловались ещё два абонента МТС — сотрудник Фонда борьбы с коррупцией Георгий Албуров и директор НКО «Образ будущего» Олег Козловский. После скандала МТС запретил рядовым сотрудникам отвечать на запросы, касающиеся взлома Козловского и Албурова, и посоветовал переадресовывать их на юристов компании.

{ "author_name": "Никита Лихачёв", "author_type": "self", "tags": [], "comments": 14, "likes": 59, "favorites": 4, "is_advertisement": false, "subsite_label": "flood", "id": 31738, "is_wide": false, "is_ugc": true, "date": "Fri, 22 Jul 2016 17:36:30 +0300", "is_special": false }
0
14 комментариев
Популярные
По порядку
Написать комментарий...

Ответный самолет

6

По словам Дурова, уязвимости, которая привела к удалению аккаунта Пархоменко, в мессенджере нет

Так блин, если нашли способ наебать мессенджер, то это, в первую очередь, проеб мессенджера же. Особенно, если такие случаи были ранее, а они ничего и не сделали.

Ответить

Правовой Денис

Сергей
8

Я о том же говорю, позиционируют себя как "безопасный мессенджер", а в итоге получается, что нихера он не безопасный. Причем далеко не первый уже раз подобным способом ломают, но они там бездействуют. И все те, кто советует "меняйте оператора", "переезжайте в другую страну", "это не проблемы телеграма, это ваши власти охуели" - идите нахуй. Если мессенджер позиционирует себя как секьюрный, для меня это означает, что он должен быть защищен от всех возможных атак, включая даже популярные методы атаки с использованием социальной инженерии. И я думаю, что разработчикам тоже должно быть очевидно, что их клиентам безопасность важна и они выбирают этот мессенджер потому что на них идет охота, потому что их сообщения кому-то интересны и доступ к их аккаунту хотят добыть любой ценой и любыми методами.

Ответить

Противоположный хичхакер

Kolyanok
5
Ответить

Экспериментальный танк88

Kolyanok
3

А как сделать двухфакторную аутентификацию без уязвимости, которая связана с оператором?

А если не делать ДА, то будет высокая уязвимость к кейлоггерам. Мне кажется, риск, связанный с ними, значительно выше риска оператора.

Ответить

Широкий Влад

RC
8

Использовать Google Authenticator или аналоги.

Ответить

Экспериментальны

Антон
0

Я думал, что он тоже по смс присылает, никогда не пользовался. Да, действительно, могли бы вспомогательное приложение-аналог выпустить, я ошибся.

Ответить

Невыносимый

RC
2

По SMS — это двухэтапная, а Google Authenticator умеет в настоящую двухфакторную, с привязкой к железу или (как резервный вариант) одноразовыми кодами, которые нужно записать на бумажку.

Ответить

Решительный кот

RC
2

как сделать двухфакторную аутентификацию без уязвимости, которая связана с оператором

Пароль спрашивать. То о чём мы говорим это не двухфакторная аутентификация а однофакторная когда владельцу симки доверяют доступ без необходимости ввода пароля

Ответить

Принципиальный Орзэмэс

Kolyanok
2

Ну так главный риск - доступ других пользователей к твоей информации. А этого не происходит. Но в целом согласен.

Ответить

Королевский теркин30см

Kolyanok
0

Ты за месенджер не платишь и никто тебе ничего не должен.

Ответить

Правовой Денис

Авдей
1

Когда мне будет важна конфиденциальность, я готов заплатить, если будут гарантии. Да и потом, я ж могу предпочесть тот же WhatsApp с шифрованием end-to-end по дефолту. Критика вполне уместна, учитывая то, что на рынке есть дохера конкурентов. Платных и бесплатных. Меня, как пользователя, не сильно волнует то, каким образом создатели мессенджера планируют получать с него деньги, но зато волнует защищенность и недоступность третьим лицам моей переписки. Я не думаю, что создатели Telegram такие щедрые, что денег не берут с пользователей. Просто они прекрасно понимают, что невозможно отвоевать на уже занятом рынке хоть какую-то долю, если они будут предоставлять мессенджер по подписке. Так что не надо, пожалуйста, херню нести.

Ответить

Королевский

Kolyanok
0

Если ты один не будешь пользоваться телеграмом - всем похер! Даже если сотня тысяч таких. Не там вы все ищите безопасность и тайну переписки. Особенно если у продукта нет понятной монетизации. А уж обвинять телеграм в том, что можно заменить симкарту, ну так то и телефон можно отнять и пытать владельца пока пароль не скажет.

Ответить

Должностной Кирилл

4

Хммм..

web.telegram.org

Ответить

Прошлый якорь

0

У меня до сих не стоит телеграм

Ответить
Обсуждаемое
Новости
ХАМАС начал массовый обстрел Тель-Авива, Израиль ответил новыми ударами. Количество жертв достигло 40 с обеих сторон
По Израилю запустили более 700 ракет, по сектору Газа — около 500.
Новости
Число жертв в секторе Газа возросло до 69. В Израиле начались массовые беспорядки
За ночь во время протестов арестовали более 370 человек, 36 полицейских ранены.
Новости
«Да, я не без греха, я тоже ошибалась»: экс-солистка «Тату» Юлия Волкова записала первое предвыборное видео
В нём она объяснила, почему решила пойти в политику.
Популярное за три дня
Twitter
Разборы
«Медуза»: управление делами президента и АП причастны к утечке данных с сайта «Свободу Навальному!». Главное
По данным издания, со сливом связан программист из Самары.
Истории
91 год назад умер Фритьоф Нансен. Человек, спасший несколько сотен тысяч жизней без единого выстрела
Вы наверняка слышите эту фамилию впервые.

Комментарии

null