• Главная
• Дыры в безопасности телеграм. Как тебя могут пробить и меры предосторожности

Дыры в безопасности телеграм. Как тебя могут пробить и меры предосторожности

    Все интересующиеся данным вопросом думаю помнят историю со слитыми базами данных слив телеграм. Там якобы некие организации парсили базу данных номеров путем банального перебора номеров в записных книжках, используя весьма идиотскую функцию телеги - показывать аккаунты, присутствующие в записных книжках.

    База сейчас есть в открытом доступе и ее можно скачать и убедиться самому.
Актуальность базы примерно на осень 2019 года. Для пользователей России и стран СНГ.
Она содержит следующие строки данных:
ID - идентификатор аккаунта, который намертво к нему привязан и его невозможно изменить.

    Номер телефона - самое неприятное палево, по которому можно вычислить личность участника. Даже, если вы сменили номер телефона - ваш старый номер телефона все равно остается в базе.
Никнейм - временный идентификатор, выполняющий роль ссылки на ваш аккаунт. Меняется в несколько кликов.
Также в базе есть другие строки, но они особой роли для нас не играют, поэтому их рассматривать не будем.

   Сразу же после слива базы как грибы стали появляться сервисы для пробива по базе. В том числе телеграм боты.
Суть этих ботов была проста: ты вводишь какой-то из этих трех параметров (ID, номер, никнейм) и бот находит в базе совпадения и выдает недостающие строки.
Также ID можно было вычислить, переслав сообщение жертвы в данный бот, по которому он определял его ID.

  Вот пример подобных ботов для пробива
@getmyid_bot (пробивает ID по пересланному сообщению)
@deanonym_bot (пробивает номер телефона по ID, используя ту самую слитую базу).
Иными словами, если ваш номер в базе, то нужно беречь ID как зеницу ока.

  Собственно, как инфа о сливе начала распространяться, телеграм принял меры против этого.
Во-первых, всем было предложено сменить никнейм, если он ставился до осени 19 года.
Во-вторых, в настройках конфиденциальности появилась возможность запрещать находить номер телефона, если отсутствуют взаимные контакты.

В общем, предложили выкрутить настройки конфиденциальности на максимум, сменить никнейм и жить спокойно.

Но было бы слишком если так.

  Недавно появились боты, которые дают возможность ID по никнейму, даже если он был сменен после 2019 года, да хоть вы никнейм поставили минуту назад.
   Суть в том, что эти боты используют уязвимость протокола телеги, которая дает возможность напрямую получать ID, если известен никнейм пользователя. А зная ID, как уже говорилось выше, можно получить и все остальное.
     Вот пример ботов, которые делают подобное:

@CheckID_AIDbot (пробивает ID по никнейму вне зависимости от того был он в базе или нет).

@deanonym_bot (уже представлял бот выше - пробивает номер телефона по ID)

Ну и вишенка на торте...

   В нем совмещены функции двух ботов выше + кроме пробива по базе телеги, данный бот представляет собой полноценный "комбайн" для пробива по открытым базам данным. С помощью бота пробивается и сам номер телефона (по базам Getcontact, NumBuster и др.).

В телеграме бот выдает также инфо о том, в каких публичных чатах вы состоите.
А также много еще чего. К сожалению, бот платный. Хотя и не особо дорогой. Кому надо, тот поверьте пробьет.

    Есть на самом еще множество OSINT решений для пробива (гугл в помощь).

    Также у меня есть подозрение, что для пробива ID телеграм на самом деле можно обойтись даже без никнейма - просто никнейм нужен боту в качестве ссылки на пользователя, чтобы иметь возможность перейти на его аккаунт. Но, если ваш собеседник уже с вами общался ранее, и у вас есть сохраненные переписки друг с другом, то вы теоретически можете узнать ID (и следовательно все остальное), даже не зная никнейма друг друга.