Telegram научился защищать юзернейм от угона
⁠⁠⁠
Админы популярных Telegram-каналов и групп часто сталкивались с перехватом их юзернеймов. В чат или канал накручивали ботов, владелец пытаясь отбиться от этого переводил чат или канал в приват, но не успевая зарезервировать адрес, терял его, потому что чекеры перехватывали его быстрее.

Об этом мы писали, и советовали не переводить канал в приватный при таких атаках.

Теперь, угнать юзернейм таким способом не получится, в команде разработчиков нашли решение.

tginfo.me/safe-username

81 comments

Show 11 more comments
H. K.
Классный диалог, по существу 👍🏻
Диалога нет, вы написали чушь, не обозначили проблему и решенин, и чего-то требуете
Antonio Marreti
Если оно не помогает, значит спамерам надо помогать?
Нет, значит нужно вводить нормальные механизмы против бота, а "защиту через мобильный номер" -- убрать, не заставляя пользователей уменьшать(!) свою(!) безопасность(!) использованием небезопасных мобильных номеров, с угоном которых тоже можно украсть профиль и его юзернейм.
Antonio Marreti
Механизмы защиты есть а разрешать регистрацию без номера это как раз таки помощь спамерам, вы один из них? Ну и да, когда в последний раз угоняли профиль?
Ваши предположения гениальны. Я хотел поставить на одном из ваших комментариев лайк, но таки хорошо, что не поставил, учитывая, "что вы несёте".

Я уже написал, что защита через небезопасный механизм -- не защита. Пусть делают адекватную защиту любым другим механизмом, я только ЗА и я это ПИСАЛ.
Antonio Marreti
Что есть небезопасный механизм? И какая сейчас защита по вашему?
Мобильный номер есть небезопасный механизм, когда его 1) перевыпускает любая пешка в любом из салонов без какого-либо наказания; 2) блокирует оператор и номер остаётся свободным; 3) когда отбирают за неуплату через 3 месяца; 4) когда злоумышленники звонят ожидая перезвон и восстанавливают как будто СИМ вообще их; 5) когда с помощью уязвимости в SS7 могут получить и совершить что угодно; 6) когда купив устройство за 100-200 баксов, имитирующе фемтосоту или базовую станцию воруют контент из смс; 7) когда владелец условного Мегафона захочет ваш канал без палева отобрать.

И никакая 2FA не поможет, т.к. хоть переписка и будет очищена, но аккаунт будет угнан.

Любой ИБ-специалист вам скажет, что полагаться на безопасность мобильных номеров всё равно что доступы в сеть опубликовать.
А относительно ботов и спамеров скажу, что купить пачку виртуальных или даже реальных номеров и зарегистрировать на них аккаунты не представляет никакого труда, не говоря уже о сворованных и купленных в даркнете аккаунтах. Иначе спамеров бы сейчас не было. А они есть. И каждый день в личку отправляют бесящие картинки.
A. / Книгар 🇺🇦
Мобильный номер есть небезопасный механизм, когда его 1) перевыпускает любая пешка в любом из салонов без какого-либо наказания; 2) блокирует оператор и номер остаётся свободным; 3) когда отбирают за неуплату через 3 месяца; 4) когда злоумышленники звонят ожидая перезвон и восстанавливают как будто СИМ вообще их; 5) когда с помощью уязвимости в SS7 могут получить и совершить что угодно; 6) когда купив устройство за 100-200 баксов, имитирующе фемтосоту или базовую станцию воруют контент из смс; 7) когда владелец условного Мегафона захочет ваш канал без палева отобрать. И никакая 2FA не поможет, т.к. хоть переписка и будет очищена, но аккаунт будет угнан. Любой ИБ-специалист вам скажет, что полагаться на безопасность мобильных номеров всё равно что доступы в сеть опубликовать.
1) И что? 2FA и левые люди не могут войти в профиль.

2) И? Заблокировали номер, пользователь перенёс аккаунт на новый номер и уже никто не знает на каком он номере.

3) Смотреть пункт выше.

4) Всё также второй пункт, и двухфакторка, лишние люди, которые не знают пароля не могут войти, а через настройки приватности можно завершить незаконченные попытки авторизации (тот кто ввел код из СМС, но не ввел парол), или просто перенести аккаунт на другой номер, и всё, попытки входа в твой аккаунт остановились.

5) Несмотря на то что это супер старая уязвимость спасает двухфакторка, о которой написано выше.

6) Ну и пусть покупает хоть за тысячу долларов, двухфакторка спасает.

7) Как владелец мегафона обойдёт пароль?

С чего это двухфакторка не спасает? Более того, людей которые ввели код из СМС но не ввели пароль можно убирать (Кик из сессии).

Ну, взлома двухфакторки не было ни разу, так что не важно что там скажут ИБ-специалисты, все пункты похожи на то, что их писал человек который совершенно не разбирается в защите своего аккаунта.
A. / Книгар 🇺🇦
Мобильный номер есть небезопасный механизм, когда его 1) перевыпускает любая пешка в любом из салонов без какого-либо наказания; 2) блокирует оператор и номер остаётся свободным; 3) когда отбирают за неуплату через 3 месяца; 4) когда злоумышленники звонят ожидая перезвон и восстанавливают как будто СИМ вообще их; 5) когда с помощью уязвимости в SS7 могут получить и совершить что угодно; 6) когда купив устройство за 100-200 баксов, имитирующе фемтосоту или базовую станцию воруют контент из смс; 7) когда владелец условного Мегафона захочет ваш канал без палева отобрать. И никакая 2FA не поможет, т.к. хоть переписка и будет очищена, но аккаунт будет угнан. Любой ИБ-специалист вам скажет, что полагаться на безопасность мобильных номеров всё равно что доступы в сеть опубликовать.
И да, о какой переписке речь? Что будет удалено?
Antonio Marreti
1) И что? 2FA и левые люди не могут войти в профиль. 2) И? Заблокировали номер, пользователь перенёс аккаунт на новый номер и уже никто не знает на каком он номере. 3) Смотреть пункт выше. 4) Всё также второй пункт, и двухфакторка, лишние люди, которые не знают пароля не могут войти, а через настройки приватности можно завершить незаконченные попытки авторизации (тот кто ввел код из СМС, но не ввел парол), или просто перенести аккаунт на другой номер, и всё, попытки входа в твой аккаунт остановились. 5) Несмотря на то что это супер старая уязвимость спасает двухфакторка, о которой написано выше. 6) Ну и пусть покупает хоть за тысячу долларов, двухфакторка спасает. 7) Как владелец мегафона обойдёт пароль? С чего это двухфакторка не спасает? Более того, людей которые ввели код из СМС но не ввели пароль можно убирать (Кик из сессии). Ну, взлома двухфакторки не было ни разу, так что не важно что там скажут ИБ-специалисты, все пункты похожи на то, что их писал человек который совершенно не разбирается в защите своего аккаунта.
1) Могут. Через мобильный номер восстановят пароль и сбросят аккаунт. Угадайте где будет юзернейм. И такое делали с известными людьми -- https://habr.com/ru/company/pt/blog/283052/

2) И все пользователи веб-версии, которые не устанавливали приложение на устройство не могут войти, т.к. нужно подтверждение с заблокированного мобильного номера. Но вы же о таких людях не думаете!

3) Смотреть пункт выше.

4) Реализованная 2fa в телеграме вас не защитит. Смотреть пункт №1. 2fa защищает от чтения переписки, а не от угона аккаунта с юзернеймом.

5) Эта "старая" уязвимость до сих пор присутствует в сетях оператора и ещё так же будет присутствовать не один год.

6) Не спасает. Я это писал ещё в прошлом комментарии, но вы же не читаете.

7) Владелец Мегафона сбросит аккаунт и угонит тем самым юзернейм.

А с того и не спасает. Если даже сделают так, что при сбросе аккаунта юзернейм навечно блокируется в системе Телеграма, то как минимум аккаунтом будут манипулировать представляясь другим человеком и ведя переписку от его имени, т.к. этот номер у кого-то в контактах, на минуточку.
Antonio Marreti
И да, о какой переписке речь? Что будет удалено?
Попробуйте сбросить аккаунт, у которого подключёна двухфакторка в Телеграм и сразу станет известно.
Antonio Marreti
Вот вам пример: Купить оружие несложно, поэтому государство должно их выдавать всем, да?
Советую больше задумываться. Тогда такие тупые примеры в подобных ситуациях не будут возникать
A. / Книгар 🇺🇦
1) Могут. Через мобильный номер восстановят пароль и сбросят аккаунт. Угадайте где будет юзернейм. И такое делали с известными людьми -- https://habr.com/ru/company/pt/blog/283052/ 2) И все пользователи веб-версии, которые не устанавливали приложение на устройство не могут войти, т.к. нужно подтверждение с заблокированного мобильного номера. Но вы же о таких людях не думаете! 3) Смотреть пункт выше. 4) Реализованная 2fa в телеграме вас не защитит. Смотреть пункт №1. 2fa защищает от чтения переписки, а не от угона аккаунта с юзернеймом. 5) Эта "старая" уязвимость до сих пор присутствует в сетях оператора и ещё так же будет присутствовать не один год. 6) Не спасает. Я это писал ещё в прошлом комментарии, но вы же не читаете. 7) Владелец Мегафона сбросит аккаунт и угонит тем самым юзернейм. А с того и не спасает. Если даже сделают так, что при сбросе аккаунта юзернейм навечно блокируется в системе Телеграма, то как минимум аккаунтом будут манипулировать представляясь другим человеком и ведя переписку от его имени, т.к. этот номер у кого-то в контактах, на минуточку.
1) Аккаунт удаляется через 7 дней,за это время можно отменить удаление а также сменить номер (о чем я писал выше).

2) Если у вас есть активная сессия, то код приходит туда, а не в смс, вы опять показываете как ничего не знаете об авторизации в мессенджере.

3) Уже ответил.

4) Удалить аккаунт мгновенно нельзя, у пользователя есть неделя (и даже больше), на то, чтоб отменить удаление аккаунта.

5) Все равно удалить или войти в аккаунт нельзя.

6) Приведите пример, когда кто-то взламывал или угадывал двухфакторку, иначе опять безобоснованный бред.

7) Аккаунт не сбрасывается и не удаляется моментально, юзеру приходит ссылка с отменой удаления аккаунта.

Вот теперь проверьте информацию, которую пишите, фактчекинг очень важен в наше время, а вы только языком чешете пока что.
Вовремя я в коменты заглянул, интересная дискуссия ... и да, я согласен от части с обеими сторонами, регистрация по номеру не так безопасна как хотелось бы, но альтернативы как таковой не видно. Плюс, удобно сразу видеть зарегистрирован ли контакт в телеге или нет (ФСБшникам тоже удобно, это минус)
Show next 49 comments