{"id":726,"title":"\u0427\u0435\u043c\u0443 \u043c\u044b \u043c\u043e\u0433\u043b\u0438 \u0431\u044b \u043d\u0430\u0443\u0447\u0438\u0442\u044c\u0441\u044f \u0443 \u0440\u043e\u0441\u0441\u0438\u0439\u0441\u043a\u0438\u0445 \u043a\u043e\u0441\u043c\u043e\u043d\u0430\u0432\u0442\u043e\u0432","url":"\/redirect?component=advertising&id=726&url=https:\/\/vc.ru\/promo\/254448-like-an-astronaut&hash=a5030a2f62915a7a07a8c868a88a0ed490fc2610974523f02fd63666cb17bc7c","isPaidAndBannersEnabled":false}

Telegram отключил удаление аккаунтов по SMS из-за ситуации вокруг взломов абонентов МТС Статьи редакции

После ситуации с попыткой взлома аккаунта журналиста Сергея Пархоменко Telegram временно отключил возможность удаления защищённых двухфакторной аутентификацией профилей в мессенджере по коду из SMS. Об этом TJ рассказал Павел Дуров.

Сергей Пархоменко

По словам Дурова, уязвимости, которая привела к удалению аккаунта Пархоменко, в мессенджере нет, однако временно возможность удалить профиль со включённой двухфакторной аутентификацией в Telegram отключили.

«Дырки» в безопасности не было; была возможность удаления 2FA-аккаунта на случай смены владельца SIM-карты или забытого пароля. Сейчас она отключена в связи с ситуацией вокруг МТС. Новый механизм не позволяет удалять активные 2FA-аккаунты.

Павел Дуров, основатель Telegram и «ВКонтакте»

Дуров передал TJ публичный ответ поддержки Telegram. По словам представителей мессенджера, возможность удалить профиль через код по SMS существовала на случай, если пользователь забыл пароль, или если к текущей SIM-карте её предыдущей владелец привязал другой номер.

Ситуации утраты пароля и передачи номера случаются часто. Однако в связи с возникновением угрозы перехвата SMS для удаления истории переписки мы сделали невозможным удаление активного аккаунта с доступом к своей SIM-карте.

В ближайшем обновлении две эти проблемы будут решаться более элегантным путём.

поддержка Telegram

О попытке взлома Пархоменко рассказал вечером 21 июля. По его словам, на его телефон посыпались сообщения с кодами доступа для авторизации в Telegram, а затем, когда он попытался войти в мессенджер, там началась процедура регистрации — как будто он заходил в него впервые. Оказалось, что старый профиль журналиста полностью удалили со всей историей переписки.

Позднее Пархоменко выяснил у поддержки Telegram, что злоумышленники получили коды доступа у его оператора — МТС. Слова поддержки он передал так: «Telegram знает о существовании такой возможности — удалить чужой эккаунт, перехватив контроль над телефоном. По их уверениям, дырка в безопасности будет закрыта в течение ближайших нескольких дней. Но до тех пор эта процедура может со мной происходить ещё сколько угодно раз».

По словам журналиста, он не намерен подавать заявление в полицию, иск в суд или переходить к другому оператору.

Нет, я не буду жаловаться в полицию по этому поводу, поскольку считаю это бессмысленным. Нет, я не буду требовать ответа от МТС или преследовать их по суду, потому что и это считаю пустой потерей времени. Нет, я не буду менять номер телефона, потому что на вычисление нового (даже если его купит мне постороннее лицо) злодеям потребуется пара дней, не больше. Нет, я не буду переходить от МТС к другому провайдеру, потому что все они одинаковы.

Просто давайте жить дальше — теперь с этим небольшим дополнительным знанием и в новых чуть-чуть изменившихся условиях.

Сергей Пархоменко, журналист

На похожие проблемы со взломом Telegram через SMS-коды в апреле 2016 года жаловались ещё два абонента МТС — сотрудник Фонда борьбы с коррупцией Георгий Албуров и директор НКО «Образ будущего» Олег Козловский. После скандала МТС запретил рядовым сотрудникам отвечать на запросы, касающиеся взлома Козловского и Албурова, и посоветовал переадресовывать их на юристов компании.

{ "author_name": "Никита Лихачёв", "author_type": "self", "tags": [], "comments": 14, "likes": 59, "favorites": 4, "is_advertisement": false, "subsite_label": "flood", "id": 31738, "is_wide": false, "is_ugc": true, "date": "Fri, 22 Jul 2016 17:36:30 +0300", "is_special": false }
0
14 комментариев
Популярные
По порядку
Написать комментарий...

Основной Орзэмэс

6

По словам Дурова, уязвимости, которая привела к удалению аккаунта Пархоменко, в мессенджере нет

Так блин, если нашли способ наебать мессенджер, то это, в первую очередь, проеб мессенджера же. Особенно, если такие случаи были ранее, а они ничего и не сделали.

Ответить
8

Я о том же говорю, позиционируют себя как "безопасный мессенджер", а в итоге получается, что нихера он не безопасный. Причем далеко не первый уже раз подобным способом ломают, но они там бездействуют. И все те, кто советует "меняйте оператора", "переезжайте в другую страну", "это не проблемы телеграма, это ваши власти охуели" - идите нахуй. Если мессенджер позиционирует себя как секьюрный, для меня это означает, что он должен быть защищен от всех возможных атак, включая даже популярные методы атаки с использованием социальной инженерии. И я думаю, что разработчикам тоже должно быть очевидно, что их клиентам безопасность важна и они выбирают этот мессенджер потому что на них идет охота, потому что их сообщения кому-то интересны и доступ к их аккаунту хотят добыть любой ценой и любыми методами.

Ответить

Подлинный цветок

Kolyanok
5
Ответить

Кредитный бас

Kolyanok
3

А как сделать двухфакторную аутентификацию без уязвимости, которая связана с оператором?

А если не делать ДА, то будет высокая уязвимость к кейлоггерам. Мне кажется, риск, связанный с ними, значительно выше риска оператора.

Ответить

Странный месяц

RC
8

Использовать Google Authenticator или аналоги.

Ответить

Кредитный бас

Антон
0

Я думал, что он тоже по смс присылает, никогда не пользовался. Да, действительно, могли бы вспомогательное приложение-аналог выпустить, я ошибся.

Ответить

Уличный

RC
2

По SMS — это двухэтапная, а Google Authenticator умеет в настоящую двухфакторную, с привязкой к железу или (как резервный вариант) одноразовыми кодами, которые нужно записать на бумажку.

Ответить

Ложный завод

RC
2

как сделать двухфакторную аутентификацию без уязвимости, которая связана с оператором

Пароль спрашивать. То о чём мы говорим это не двухфакторная аутентификация а однофакторная когда владельцу симки доверяют доступ без необходимости ввода пароля

Ответить

Голодный магнит

Kolyanok
2

Ну так главный риск - доступ других пользователей к твоей информации. А этого не происходит. Но в целом согласен.

Ответить

Молочный бокал

Kolyanok
0

Ты за месенджер не платишь и никто тебе ничего не должен.

Ответить

Синий жар

Авдей
1

Когда мне будет важна конфиденциальность, я готов заплатить, если будут гарантии. Да и потом, я ж могу предпочесть тот же WhatsApp с шифрованием end-to-end по дефолту. Критика вполне уместна, учитывая то, что на рынке есть дохера конкурентов. Платных и бесплатных. Меня, как пользователя, не сильно волнует то, каким образом создатели мессенджера планируют получать с него деньги, но зато волнует защищенность и недоступность третьим лицам моей переписки. Я не думаю, что создатели Telegram такие щедрые, что денег не берут с пользователей. Просто они прекрасно понимают, что невозможно отвоевать на уже занятом рынке хоть какую-то долю, если они будут предоставлять мессенджер по подписке. Так что не надо, пожалуйста, херню нести.

Ответить

Молочный бокал

Kolyanok
0

Если ты один не будешь пользоваться телеграмом - всем похер! Даже если сотня тысяч таких. Не там вы все ищите безопасность и тайну переписки. Особенно если у продукта нет понятной монетизации. А уж обвинять телеграм в том, что можно заменить симкарту, ну так то и телефон можно отнять и пытать владельца пока пароль не скажет.

Ответить

Царский единорожек88

4

Хммм..

web.telegram.org

Ответить

Судебный Гоша

0

У меня до сих не стоит телеграм

Ответить
Обсуждаемое
Новости
Baza: в России сложился «чёрный рынок» сертификатов вакцинации от Covid-19 — за деньги вносят в госреестр без прививки
Через Telegram-чаты можно оформить фейковый «паспорт вакцинации» и отметку на Госуслугах, стоимость — от 10 до 20 тысяч рублей.
Беларусь
«Никто меня пальцем не тронул»: Роман Протасевич выступил на пресс-конференции белорусского МИДа
Он призвал всех «поменьше распускать слухи и домыслы» и его здоровье.
Новости
В Новосибирске взорвалась автозаправка. Ранены более 20 человек
Среди них — маленький ребёнок и двое сотрудников МЧС.
Популярное за три дня
Новости
В Новосибирске взорвалась автозаправка. Ранены более 20 человек
Среди них — маленький ребёнок и двое сотрудников МЧС.
Дизайн и архитектура
Подурачился с логотипом TJ в стиле других ресурсов
Поставил себе два условия для модернизации: сохранить оригинальные цвета и стилистику ключевых элементов. Пока нарисовал 10 логотипов, дальше может будет больше. Предупреждение: количество иностранных агентов на квадратный мегапиксель зашкаливает!
Twitter
Это Ройзман 😂
Комментарии
null