Telegram отключил удаление аккаунтов по SMS из-за ситуации вокруг взломов абонентов МТС Статьи редакции
После ситуации с попыткой взлома аккаунта журналиста Сергея Пархоменко Telegram временно отключил возможность удаления защищённых двухфакторной аутентификацией профилей в мессенджере по коду из SMS. Об этом TJ рассказал Павел Дуров.
По словам Дурова, уязвимости, которая привела к удалению аккаунта Пархоменко, в мессенджере нет, однако временно возможность удалить профиль со включённой двухфакторной аутентификацией в Telegram отключили.
«Дырки» в безопасности не было; была возможность удаления 2FA-аккаунта на случай смены владельца SIM-карты или забытого пароля. Сейчас она отключена в связи с ситуацией вокруг МТС. Новый механизм не позволяет удалять активные 2FA-аккаунты.
Дуров передал TJ публичный ответ поддержки Telegram. По словам представителей мессенджера, возможность удалить профиль через код по SMS существовала на случай, если пользователь забыл пароль, или если к текущей SIM-карте её предыдущей владелец привязал другой номер.
Ситуации утраты пароля и передачи номера случаются часто. Однако в связи с возникновением угрозы перехвата SMS для удаления истории переписки мы сделали невозможным удаление активного аккаунта с доступом к своей SIM-карте.
В ближайшем обновлении две эти проблемы будут решаться более элегантным путём.
О попытке взлома Пархоменко рассказал вечером 21 июля. По его словам, на его телефон посыпались сообщения с кодами доступа для авторизации в Telegram, а затем, когда он попытался войти в мессенджер, там началась процедура регистрации — как будто он заходил в него впервые. Оказалось, что старый профиль журналиста полностью удалили со всей историей переписки.
Позднее Пархоменко выяснил у поддержки Telegram, что злоумышленники получили коды доступа у его оператора — МТС. Слова поддержки он передал так: «Telegram знает о существовании такой возможности — удалить чужой эккаунт, перехватив контроль над телефоном. По их уверениям, дырка в безопасности будет закрыта в течение ближайших нескольких дней. Но до тех пор эта процедура может со мной происходить ещё сколько угодно раз».
По словам журналиста, он не намерен подавать заявление в полицию, иск в суд или переходить к другому оператору.
Нет, я не буду жаловаться в полицию по этому поводу, поскольку считаю это бессмысленным. Нет, я не буду требовать ответа от МТС или преследовать их по суду, потому что и это считаю пустой потерей времени. Нет, я не буду менять номер телефона, потому что на вычисление нового (даже если его купит мне постороннее лицо) злодеям потребуется пара дней, не больше. Нет, я не буду переходить от МТС к другому провайдеру, потому что все они одинаковы.
Просто давайте жить дальше — теперь с этим небольшим дополнительным знанием и в новых чуть-чуть изменившихся условиях.
На похожие проблемы со взломом Telegram через SMS-коды в апреле 2016 года жаловались ещё два абонента МТС — сотрудник Фонда борьбы с коррупцией Георгий Албуров и директор НКО «Образ будущего» Олег Козловский. После скандала МТС запретил рядовым сотрудникам отвечать на запросы, касающиеся взлома Козловского и Албурова, и посоветовал переадресовывать их на юристов компании.
Комментарий недоступен
Я о том же говорю, позиционируют себя как "безопасный мессенджер", а в итоге получается, что нихера он не безопасный. Причем далеко не первый уже раз подобным способом ломают, но они там бездействуют. И все те, кто советует "меняйте оператора", "переезжайте в другую страну", "это не проблемы телеграма, это ваши власти охуели" - идите нахуй. Если мессенджер позиционирует себя как секьюрный, для меня это означает, что он должен быть защищен от всех возможных атак, включая даже популярные методы атаки с использованием социальной инженерии. И я думаю, что разработчикам тоже должно быть очевидно, что их клиентам безопасность важна и они выбирают этот мессенджер потому что на них идет охота, потому что их сообщения кому-то интересны и доступ к их аккаунту хотят добыть любой ценой и любыми методами.
А как сделать двухфакторную аутентификацию без уязвимости, которая связана с оператором?
А если не делать ДА, то будет высокая уязвимость к кейлоггерам. Мне кажется, риск, связанный с ними, значительно выше риска оператора.
Использовать Google Authenticator или аналоги.
Я думал, что он тоже по смс присылает, никогда не пользовался. Да, действительно, могли бы вспомогательное приложение-аналог выпустить, я ошибся.
По SMS — это двухэтапная, а Google Authenticator умеет в настоящую двухфакторную, с привязкой к железу или (как резервный вариант) одноразовыми кодами, которые нужно записать на бумажку.
Пароль спрашивать. То о чём мы говорим это не двухфакторная аутентификация а однофакторная когда владельцу симки доверяют доступ без необходимости ввода пароля
Ну так главный риск - доступ других пользователей к твоей информации. А этого не происходит. Но в целом согласен.
Ты за месенджер не платишь и никто тебе ничего не должен.
Когда мне будет важна конфиденциальность, я готов заплатить, если будут гарантии. Да и потом, я ж могу предпочесть тот же WhatsApp с шифрованием end-to-end по дефолту. Критика вполне уместна, учитывая то, что на рынке есть дохера конкурентов. Платных и бесплатных. Меня, как пользователя, не сильно волнует то, каким образом создатели мессенджера планируют получать с него деньги, но зато волнует защищенность и недоступность третьим лицам моей переписки. Я не думаю, что создатели Telegram такие щедрые, что денег не берут с пользователей. Просто они прекрасно понимают, что невозможно отвоевать на уже занятом рынке хоть какую-то долю, если они будут предоставлять мессенджер по подписке. Так что не надо, пожалуйста, херню нести.
Если ты один не будешь пользоваться телеграмом - всем похер! Даже если сотня тысяч таких. Не там вы все ищите безопасность и тайну переписки. Особенно если у продукта нет понятной монетизации. А уж обвинять телеграм в том, что можно заменить симкарту, ну так то и телефон можно отнять и пытать владельца пока пароль не скажет.
Хммм..
web.telegram.org
У меня до сих не стоит телеграм