{"id":741,"title":"\u0427\u0442\u043e \u043f\u043e\u0434 \u043a\u0430\u043f\u043e\u0442\u043e\u043c \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u0445 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0439","url":"\/redirect?component=advertising&id=741&url=https:\/\/vc.ru\/special\/inside&hash=8cd453b694f2fbdab552a331ca897ca0ffa35ce83c96c59b3a50ee70d30b9dab","isPaidAndBannersEnabled":false}

Telegram отключил удаление аккаунтов по SMS из-за ситуации вокруг взломов абонентов МТС Статьи редакции

После ситуации с попыткой взлома аккаунта журналиста Сергея Пархоменко Telegram временно отключил возможность удаления защищённых двухфакторной аутентификацией профилей в мессенджере по коду из SMS. Об этом TJ рассказал Павел Дуров.

Сергей Пархоменко

По словам Дурова, уязвимости, которая привела к удалению аккаунта Пархоменко, в мессенджере нет, однако временно возможность удалить профиль со включённой двухфакторной аутентификацией в Telegram отключили.

«Дырки» в безопасности не было; была возможность удаления 2FA-аккаунта на случай смены владельца SIM-карты или забытого пароля. Сейчас она отключена в связи с ситуацией вокруг МТС. Новый механизм не позволяет удалять активные 2FA-аккаунты.

Павел Дуров, основатель Telegram и «ВКонтакте»

Дуров передал TJ публичный ответ поддержки Telegram. По словам представителей мессенджера, возможность удалить профиль через код по SMS существовала на случай, если пользователь забыл пароль, или если к текущей SIM-карте её предыдущей владелец привязал другой номер.

Ситуации утраты пароля и передачи номера случаются часто. Однако в связи с возникновением угрозы перехвата SMS для удаления истории переписки мы сделали невозможным удаление активного аккаунта с доступом к своей SIM-карте.

В ближайшем обновлении две эти проблемы будут решаться более элегантным путём.

поддержка Telegram

О попытке взлома Пархоменко рассказал вечером 21 июля. По его словам, на его телефон посыпались сообщения с кодами доступа для авторизации в Telegram, а затем, когда он попытался войти в мессенджер, там началась процедура регистрации — как будто он заходил в него впервые. Оказалось, что старый профиль журналиста полностью удалили со всей историей переписки.

Позднее Пархоменко выяснил у поддержки Telegram, что злоумышленники получили коды доступа у его оператора — МТС. Слова поддержки он передал так: «Telegram знает о существовании такой возможности — удалить чужой эккаунт, перехватив контроль над телефоном. По их уверениям, дырка в безопасности будет закрыта в течение ближайших нескольких дней. Но до тех пор эта процедура может со мной происходить ещё сколько угодно раз».

По словам журналиста, он не намерен подавать заявление в полицию, иск в суд или переходить к другому оператору.

Нет, я не буду жаловаться в полицию по этому поводу, поскольку считаю это бессмысленным. Нет, я не буду требовать ответа от МТС или преследовать их по суду, потому что и это считаю пустой потерей времени. Нет, я не буду менять номер телефона, потому что на вычисление нового (даже если его купит мне постороннее лицо) злодеям потребуется пара дней, не больше. Нет, я не буду переходить от МТС к другому провайдеру, потому что все они одинаковы.

Просто давайте жить дальше — теперь с этим небольшим дополнительным знанием и в новых чуть-чуть изменившихся условиях.

Сергей Пархоменко, журналист

На похожие проблемы со взломом Telegram через SMS-коды в апреле 2016 года жаловались ещё два абонента МТС — сотрудник Фонда борьбы с коррупцией Георгий Албуров и директор НКО «Образ будущего» Олег Козловский. После скандала МТС запретил рядовым сотрудникам отвечать на запросы, касающиеся взлома Козловского и Албурова, и посоветовал переадресовывать их на юристов компании.

{ "author_name": "Никита Лихачёв", "author_type": "self", "tags": [], "comments": 14, "likes": 59, "favorites": 4, "is_advertisement": false, "subsite_label": "flood", "id": 31738, "is_wide": false, "is_ugc": true, "date": "Fri, 22 Jul 2016 17:36:30 +0300", "is_special": false }
0
14 комментариев
Популярные
По порядку
Написать комментарий...

Равный бас

6

По словам Дурова, уязвимости, которая привела к удалению аккаунта Пархоменко, в мессенджере нет

Так блин, если нашли способ наебать мессенджер, то это, в первую очередь, проеб мессенджера же. Особенно, если такие случаи были ранее, а они ничего и не сделали.

Ответить

Мягкий будильник

Сергей
8

Я о том же говорю, позиционируют себя как "безопасный мессенджер", а в итоге получается, что нихера он не безопасный. Причем далеко не первый уже раз подобным способом ломают, но они там бездействуют. И все те, кто советует "меняйте оператора", "переезжайте в другую страну", "это не проблемы телеграма, это ваши власти охуели" - идите нахуй. Если мессенджер позиционирует себя как секьюрный, для меня это означает, что он должен быть защищен от всех возможных атак, включая даже популярные методы атаки с использованием социальной инженерии. И я думаю, что разработчикам тоже должно быть очевидно, что их клиентам безопасность важна и они выбирают этот мессенджер потому что на них идет охота, потому что их сообщения кому-то интересны и доступ к их аккаунту хотят добыть любой ценой и любыми методами.

Ответить

Идеальный ключ

Kolyanok
5
Ответить

Психический дебаркадер

Kolyanok
3

А как сделать двухфакторную аутентификацию без уязвимости, которая связана с оператором?

А если не делать ДА, то будет высокая уязвимость к кейлоггерам. Мне кажется, риск, связанный с ними, значительно выше риска оператора.

Ответить

Внешний клуб

RC
8

Использовать Google Authenticator или аналоги.

Ответить

Психический

Антон
0

Я думал, что он тоже по смс присылает, никогда не пользовался. Да, действительно, могли бы вспомогательное приложение-аналог выпустить, я ошибся.

Ответить

Поразительный

RC
2

По SMS — это двухэтапная, а Google Authenticator умеет в настоящую двухфакторную, с привязкой к железу или (как резервный вариант) одноразовыми кодами, которые нужно записать на бумажку.

Ответить

Хитрый рубин

RC
2

как сделать двухфакторную аутентификацию без уязвимости, которая связана с оператором

Пароль спрашивать. То о чём мы говорим это не двухфакторная аутентификация а однофакторная когда владельцу симки доверяют доступ без необходимости ввода пароля

Ответить

Сельскохозяйственный микрофон

Kolyanok
2

Ну так главный риск - доступ других пользователей к твоей информации. А этого не происходит. Но в целом согласен.

Ответить

Системный бинокль

Kolyanok
0

Ты за месенджер не платишь и никто тебе ничего не должен.

Ответить

Мягкий будильник

Авдей
1

Когда мне будет важна конфиденциальность, я готов заплатить, если будут гарантии. Да и потом, я ж могу предпочесть тот же WhatsApp с шифрованием end-to-end по дефолту. Критика вполне уместна, учитывая то, что на рынке есть дохера конкурентов. Платных и бесплатных. Меня, как пользователя, не сильно волнует то, каким образом создатели мессенджера планируют получать с него деньги, но зато волнует защищенность и недоступность третьим лицам моей переписки. Я не думаю, что создатели Telegram такие щедрые, что денег не берут с пользователей. Просто они прекрасно понимают, что невозможно отвоевать на уже занятом рынке хоть какую-то долю, если они будут предоставлять мессенджер по подписке. Так что не надо, пожалуйста, херню нести.

Ответить

Системный

Kolyanok
0

Если ты один не будешь пользоваться телеграмом - всем похер! Даже если сотня тысяч таких. Не там вы все ищите безопасность и тайну переписки. Особенно если у продукта нет понятной монетизации. А уж обвинять телеграм в том, что можно заменить симкарту, ну так то и телефон можно отнять и пытать владельца пока пароль не скажет.

Ответить

Удачный цветок

4

Хммм..

web.telegram.org

Ответить

Худой Макс

0

У меня до сих не стоит телеграм

Ответить
Читать все 14 комментариев
Обсуждаемое
Новости
В Москве и Петербурге установилась аномальная жара — температура бьёт рекорды, местные жители скупают вентиляторы
В соцсетях жалуются на 35-градусную жару, делятся советами, как её пережить, а также показывают спасающихся от зноя питомцев.
Истории
Матч Германии и Венгрии прошёл под знаком поддержки ЛГБТ. Немцы протестуют из-за запрета УЕФА «радужно» подсветить арену
Радужные флаги, подсветка других стадионов и поддержка от местных брендов.
Новости
Лоббисты оружия в США выступили на фальшивом выпускном перед тысячами пустых стульев. Они означают убитых детей
Родители обманули тех, кого считают причастными к смертям подростков.
Популярное за три дня
Животные
Канадец поставил над бобровой тропой флаг — в тот же день его украла бобриха по кличке Картошка
Она унесла знамя в свой пруд.
Новости
В Петербурге закрасили граффити с врачом-супергероем — его нарисовали ко Дню медицинского работника
Изображение убрали, потому что оно не было согласовано.
Twitter
Комментарии
null