Новость про деанонимизацию Telegram – это не новость

14.08.2018

Вернуться к списку статей

Комментирует ведущий аналитик «СёрчИнформ» Алексей Парфентьев.

На прошлой неделе газета «Известия» сообщила, что российские специалисты разработали программу, позволяющую узнать номер телефона пользователя Telegram по его юзернейму. «Это даст возможность правоохранительным органам, запросив информацию у операторов связи, установить личность абонента. Таким образом, до сих пор считавшийся анонимным мессенджер перестает быть таковым», – процитировало издание выводы экспертов. 

Эксперты представляют «Центр исследований легитимности и политического протеста». Его руководитель сообщил, что анализ API (часть программного интерфейса приложения) помог выявить в мессенджере уязвимость, позволяющую раскрывать номера мобильных пользователей.

Я отношусь к этой новости скептически: API-интерфейс Telegram создан давно, хорошо описан и задокументирован. В нем всегда были методы, позволяющие получать на запрос телефон, никнейм, имя или фамилию. Зарегистрировать аккаунт без телефона невозможно, так как в Telegram это первичный ключ идентификации. Остальное – опционально. Вы вполне можете вообще не создавать никнейм и не заполнять другую дополнительную информацию.

Может ли «Центр исследований легитимности и политического протеста» действительно получить детали о пользователе без номера в ответ на API запрос — очень сомневаюсь. (В то же время никто не мешает вам заиметь огромную базу активных номеров и опрашивать никнеймы по этой базе – это работает). Мы в компании не нашли подтверждений тому, что метод коллег из «Центра исследований» работоспособен.  

Поражает масштаб раскрутки этой новости: она, по факту, и не новость. А информация о действительно серьезных проблемах у мессенджеров не выходит за пределы специализированных СМИ или даже форумов. К примеру, пару лет назад специалисты ИБ-компании CheckPoint нашли способ, позволяющий незаметно для владельца получать доступ к телеграм-переписке и даже отправлять сообщения от чужого имени. На рынке не первый год есть специализированные корпоративные системы, которые могут перехватывать телеграм-трафик: тексты, файлы и звонки, если коммуникация ведется с ПК. Это, в частности умеет наша DLP-система «Контур информационной безопасности СёрчИнформ».

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними

 
 
 
Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика). Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.
Давая настоящее согласие, я подтверждаю, что:
  • действую свободно, своей волей и в своих интересах;
  • являюсь дееспособным;
  • настоящее согласие является конкретным, информированным и сознательным;
  • ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.
Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.