2 окт. 2017 г.

Телеграм: уязвимость

Пока Павел Дуров опять что-то там отрицает, в Телеграме обнаружилась самая кондовая уязвимость из всех возможных. Как убедился канал Футляр от Виолончели на собственном печальном опыте, достаточно массово отправлять report с профиля эккаунта, ставя отметку "спам". Эккаунт удаляется, видимо, автоматически, со всей перепиской и ботами. Контроль над привязанном к этому эккаунту телеграм-каналом теряется навсегда.  Юзернейм освобождается, так что достаточно подловить момент и зарегистрировать его на себя. Вуаля!

36 комментариев:

  1. Да, но как, не будучи владельцем аккаунта, Вы будете будете что либо с него отправлять? (с телеграмом не знаком, могу чего-то не понимать)

    ОтветитьУдалить
    Ответы
    1. Пострадальцы пишут, что да, можно перехватить канал таким образом и писать туда. Мне немного странно это всё, потому что там же еще привязка к номеру телефона, но проверять не хочется.

      Удалить
  2. https://t.me/PlushevChannel/1156
    Как рассказал мне Павел Дуров, удаление аккаунта @webloop (канал "Футляр от виолончели") не имело отношения к атаке спам-репортами. "Система решила, что аккаунт участвовал в накрутке каналов, и перестаралась. Если бы он попал не в азиатскую поддержку, проблему решили бы быстрее. Добавили необходимые проверки, чтобы исключить подобные ситуации в будущем"

    ОтветитьУдалить
    Ответы
    1. Ну когда история стала публичной, то он отреагировал и как всегда не впопад. "Система ошиблась". Так она в любом случае закрыла эккаунт потому что увидела какую-то нездоровую активность (без разницы, жалобы на спам или "решила, что участвовала в накрутке"). Поддержка не реагировала никак. Как результат - потеря переписки, потеря эккаунта, потеря контроля над каналом. Допустим, они накручивали, но это всё равно дыра - ваш канал могут перехватить, если прикрыли ваш основной эккаунт.

      Удалить
  3. Ответы
    1. Да, это так. Даже хуже: я вижу всех из своей адресной книги, у кого есть телеграм. Включая электрика, например.
      мне интересно, как при таких условиях Незыгарь может оставаться анонимом.

      Удалить
    2. >> Даже хуже: я вижу всех из своей адресной книги, у кого есть телеграм. Включая электрика, например

      Телеграм — это же изначально мессенджер. В WhatApp-е том же аналогично — вы видите всех в из адресной книги, кто использует мессенджер.
      Если у Незыгаря просто отдельная симка для телеграмма, то адресные книги на него никак не влияют.

      Удалить
    3. Как человек, выросший на аське и прочих мессенджерах, я была не совсем готова к тому, что Телеграм будет использовать мою адресную книгу и показывать мой ник случайным людям, которые когда-то записали мой телефон. В старых мессенджерах ты сам формировал свой контактный лист и мог скрывать хотя бы свое присутствие в онлайне.

      Удалить
    4. Хм. Задумалась сейчас насчет аськи. Как-то не приходило в голову это сравнение, потому десктопные аська и скайп воспринималсь как одна история, а телефонный вотсапп — другая. Мессенджеры (уже телефонные) были прежде всего способом удобного Мобильного общения без платы за смс-ки и захода в социальные сети, поэтому казалось логичным и удобным, что они соединены с номером телефона: вы общаетесь в вотсапе или вайбере с теми, кому можете править смс. Всегда было проще сказать «найди по номеру», чем диктовать какой-то ник.

      А в Телеграме появились каналы, ник стал иметь значение и все смешалось в доме.

      Удалить
    5. Ну да. Как замена смс - нормально. Но кк мессенджер для какого-то конфиденциального общения и тем более ведения канала (я не веду, но всё же), не годится вообще. Тем более, что в телефоне полно разных левых телефонов людей, с которыми я не собираюсь общаться вообще, а у них соответственно, тоже есть мой телефон. А до начала соцсетей люди из интернетов и люди из реала (телефона) - это были совсем разные области. Мы не знали телефонов друг друга, а часто и почты. Да и сейчас я многих здесь знаю по комментам годами, но это не значит, что мне нужно знать их телефон и слать им сообщения в мессенджере.

      Удалить
    6. Да, это дичайше напрягает. Как-то незаметно изменился подход к privacy. Раньше by default предполагалось, что пользователь - это Кевин Митник, а теперь - толстожопый бухгалтер. И стало нормально требовать номер телефункена, даже для старых эккаунтов, которые были зарегистрированы до эпохи исторического материализма.
      В общем, молодежь нынче пошла не та. Corpuscula, вы, кстати, обратили внимание на очень интересный факт. Сейчас, пожалуй, единственный мне известный случай, когда олдстеры упрекают молодёжь в конформизме. И то натура уходит, начинают фапать на Навального.

      Удалить
    7. 2 corpuscula: по идее, если речь идет о Телеграме, то ситуация решается галкой — показывать контактам канал/не показывать контактам канал. Не знаю, почему у них галки нет.

      2 sergegers: олдстеры часто и густо упрекают молодежь в конформизме. А молодежь — олдстеров.

      Удалить
    8. Более того, у меня, например, в телеграме периодически возникают контакты, которые я несколько лет назад удалила, причем удалила с другого телефона. И в текущем телефоне в контактах их не было никогда. Возможно, у тех людей просто до сих пор записан мой номер телефона, но телеграм подсовывает не только мой ник им, но и их ники мне. Я постоянно чищу список контактов в телеграме, потому что там вечно возникает куча каких-то левых контактов.

      Удалить
    9. Дайджест для тех, кому лень самому читать Спорова.
      Благодаря телеге смартфон превратился в зубную щетку, которую нельзя передавать в пользование никому:
      недавно широко обсуждалась в узких кругах фанатов манера телеги через свой кэш взаимно подмешивать чужие контакты из чужого профиля после того, как страждущий знакомый просил "погонять" чужой смарт для временного экстренного захода в телегу через свой профиль.
      А заявление про безвозвратную потерю всего нажитого после блокирования ника выглядит совсем смешно на фоне всем известного факта, что никакие соцсети, и телега в частности, ничего не удаляют после того, как нечто "удаляет" их пользователь.
      Да и атака через кнопку "спам" не нова: сам Футляр припомнил аналогию у ФБ, и в скайпе точно так же уже давно балуются.

      Удалить
    10. А заявление про безвозвратную потерю всего нажитого после блокирования ника выглядит совсем смешно
      Нет, не смешно. Тут другая ситуация - пользователь теряет переписку, но на сервере она остается и к ней имеют доступ люди из Телеграма. Это мы уже узнали от Розенберга и это же сейчас подтвердил еще раз Футляр. Его эккаунт был восстановлен. Объяснения ДУрова пост фактум выглядят враньем и бессмыслицей.

      Павел Дуров прокомментировал (https://t.me/PlushevChannel/1156) блокировку контактного аккаунта «Футляра от виолончели» (https://t.me/rospres), сославшись на упущение азиатской поддержки Telegram, ошибочно заподозрившей аккаунт в «накрутке каналов». Не совсем понятно, как это могло произойти, если через наш контактный @webloop не администрировался «Футляр» или другие каналы/группы, а также не велись публичные чаты — только личная переписка.

      Мы хотим поблагодарить Дурова и всех тех, кто донес до Telegram информацию о нашем случае. До вмешательства Павла поддержка отвечала, что восстановление стертого аккаунта обеспечить не сможет. После все решилось, и мы сумели вернуть доступы.

      Удалить
    11. Поясню - не смешно, потому что сам юзер может лишиться и эккаунта, и переписки против своего желания.

      Удалить
    12. Отчетливо понимаю риск ухода в оффтопик, но только тот пользователь теряет переписку, который не отмечает уже много лет существующий "день бэкапа".
      А вот то, что атакованный ник становится свободным(например, в скайпе таковой остается "занятым") - это продолжение тех же штучек Дурова, что и общий кэш для разных логинов телеги.

      Удалить
    13. Это какой-то цифровой виктим блейминг - юзер сам виноват, потому что не бэкапился. Простите, зачем мне тогда предлагают все эти облачные хранилища, сервисы, которые всё хранят секьюрно и зашифровано? Чтобы потом говорить "бэкапиться надо было"? Нахрен мне сервис, который ни за что не отвечает и я должна всё время бэкапиться, как заведенная.

      Удалить
    14. А сейчас ДР просто стебется: предлагают все эти облачные хранилища как раз для снижения планки приватности, чтобы юзер сам и как можно больше всего про себя сливал.
      Это вообще бородатая шутка про privacy на Западе, которая продвигается одновременно с деанононом в их же ФБ. Именно на Западе начались грабежи в домах, про которые хозяева старательно публично сообщали о своем отсутствии, причем с указанием точных сроков. Даже платные сервисы почти ни за что не отвечают, а надеяться на бесплатные, которые монетизируются за счет бигдаты - это уже просто #!@$%^

      Удалить
    15. Нет, я не стебусь, как вы выразились. Мне предлагают продукт, УТП которого заключается в том, что мои данные защищены хотя бы от стирания. Храните ваши картинки, файлы, переписку тут, это надежно. Когда же выясняется, что ненадежно, вопреки начальным утверждениям, мне говорят "А что вы хотели? Бэкапиться надо было". Но это именно продавец услуг не выполнил своих обязательств. Это не юзер лох, это сервис говно.

      Социальные сети не отвечают за сохранность моего имущества в доме, но сервис, обещающий сохранность переписки, должен её обеспечивать. Речь-то идет не о хакерах, а о том, что сервис сам уничтожает переписку, причем, только для пользователя. Сами данные у него хранятся.

      Вообще Телеграм и его дутая защищенность - типичный для Дурова пиздеж.

      Удалить
    16. Сюда я начал комментить как раз в поддержку Вашего последнего утверждения. А по поводу сохранности тоже есть бородатая дискуссия про (смежные) права собственности на UGC-площадках: то ли надо удалять все, что наплодил ник, подвергнутый наказанию, то ли не надо. "Смежные" - потому что комменты и посты многих других ников, созданные в ответ или в связи с удаленными, тоже теряют осмысленность и ценность.
      Итого: по мотивам совета Футляра о суровой необходимости иметь несколько ников в админах ценного канала следует и сохзраняться в чужие облака, то есть не под тем ником, который хочется сберечь.

      Удалить
  4. Нет, старики обычно упрекают молодежь в попрании основ и адском разврате. Это всё равно как пожилой Сид Вишес вернулся с вечеринки к завтраку и обнаружил своего сына, кушающего слегка прожаренный тост и просматривающего котировки акций.
    - А как же No future for you, упавшим голосом спрашивает Сид.
    - Папа, не мешай, для тебя, может быть и нет будущего, а у меня всё чики-монтана.

    ОтветитьУдалить
    Ответы
    1. Вы рассматриватете одну крайность — Вишеса, вернее, бунтующих подростков, которых он олицетворяет.
      Ситуации, когда дети слышат про «когда ты научишься думать своей головой», стадность или там про «вы живете на всем готовом и ничего не хотете добиваться сами» не редкость сначала времен. Дети хиппи — яппи, дети яппи — хиппи, а у условных вишесов уже внуки.

      Удалить
    2. Не, если рассматривать смену поколений, то дети сначала всегда ниспровергают ценности своих родителей. Вот поэтому дети бюргеров - хиппи, а дети хиппи - яппи. Тогда это всегда бунт и "ничего святого". Но тогда и конформизм можно расценивать как бунт против идеализма родителей.

      Удалить
    3. Ну тогда любое поведение детей можно расценивать как бунт. Тут же с обеих сторон оценочные суждения: в конце концов, перестроечные родители с ленинградским рок-клубом в багаже могут обвинять в конформизме детей поколения z, а дети поколения z на деле просто хотят наслаждаться «маленькими вещами» и прочей фикой.

      Короче говоря, мне просто не видится ничего новового в обинениях в конформизме. Дети робеспьеров хотят выращивать герань и получают за это свою порцию этих обвинений обычно.

      Удалить
    4. Да, пожалуй. Бунтари и конформисты всегда представлены в новом поколении, причём конформистов гораздо больше (It's Ok). Здесь просто какая-то странность была: дерзкие конформисты выступали в роли Сида Вишеса, а робкие нонконформисты разве что ссылались на первую или какую-нибудь другую поправку конституции USA, т.е. на закон.

      Удалить
    5. Я не поняла, с чего именно возник разговор о конформизме, упреках в конформизме и детях. Топик вроде был про секьюрность и прайвеси в мессенджере.

      Удалить
    6. Да, но это навело меня на интересную мысль. Повторюсь, очень необычно, чтобы следование традиции стало новым бунтом.

      Удалить
    7. А в чем у нас традиция?

      Удалить
    8. Ну, скажем, для нас с вами традицией в юности было бы делать карьеру по комсомольской линии, потом перескочить на партийную. Такие люди были всегда, но новым является то, что подобные защеканы в частных разговорах говорили тебе - я всё понимаю, старик, но я буду подтачивать систему изнутри или что-то в этом роде. А вот потом был довольно длинный период, когда такие чуваки даже гордились своим говноедством. Это как-бы был тренд. А во сейчас, тьфу-тьфу, это уходит.
      Схематизируя - молодёжь обычно бунтует против говна, а тут молодёжь охотно ела говно.

      Удалить
    9. а тут молодёжь охотно ела говно.

      Кто именно ел? Где "тут"?

      Удалить
  5. Тем временем, Энтео-Цорионова изгнали из православнутых рядов за интимную связь со слугами Сотоны:

    https://varlamov.ru/2588873.html

    ОтветитьУдалить
    Ответы
    1. Что это еще за Энтео и Жульета?
      Алёхиной-то это вот зачем?

      Удалить
    2. Вот уж не знаю, может это такой акционизм? Может быть это акционизм с обеих сторон?

      Удалить
    3. О, теперь пару нужно добавить в новый клип Лазарева про «так красиво» и вообще все будет хорошо.

      Удалить

ВНИМАНИЕ!!! ГУГЛ ОТКЛЮЧИЛ OPEN ID, с ЖЖ эккаунтов теперь комменты не проходят.