DiscussBot

1) Не имеет отношения к тому, что я писал. Всем будет чихать на какие-то 7 дней. Как только получат доступ к мобильному номеру, так сразу же и сбросят аккаунт (т.е. восстановят пароль). 2) Сессии в браузере заканчиваются, кеши чистятся, ОС меняется и прочее прочее. Я таки хорошо знаю ИБ, ИТ и принцип работы мессенджера. 4) Речь не удалении аккаунта через соответствующую кнопку. Но вы же лучше меня знаете механизм авторизации (на самом деле вы сделали ошибку, правильно аутентификации) в мессенджере. 5) Можно. Я описывал. Повторять не собираюсь. 6) Я ссылку выше скинул, но вы же не читаете. Там даже комментарий есть https://habr.com/ru/company/pt/blog/283052/#comment_9622106 7) Интересно как юзеру придёт ссылка на удаление, если аккаунт не удаляется, а сбрасывается. В отличии от вас, я не занимаюсь пустословием и приводил пруфы, которые вы НЕ ЧИТАЛИ. Если бы читали, то поняли бы ситуацию, возможно увидили бы детальные комментарии и нашли следующую статью -- https://habr.com/ru/post/357108/

Пароль не восстанавливается на телефон. Телефон - это не защита аккаунта, это удобное средство нахождения своих друзей, а защита это двухфакторка. И если почта не привязана взломать акаунт невозможно

1

Евгений Jul 8, 2020

1) Вы вообще сами пробовали это сделать? Сбросить аккаунт нельзя, на отмену сброса даётся 7 дней, если вы плюёте, то хотя бы учитывайте матчасть, а то голословны в своих высказываниях. 2) Опять голословное высказывание, у меня больше двух лет активная сессия в браузере, более того, если человек переживает за сохранность своих данных имеет запасную сессию, где уже может сменить номер, отменить удаление аккаунта (сброс), и многое другое. 4) Лучше что-нибудь нормальное сказали бы, а то неизвестно зачем этот пункт. 5) Не можете повторить потому что не знаете как, а не знаете, потому что невозможно. По ссылке: https://habr.com/ru/company/pt/blog/283052/#comment_9622106 написано следующее: сможет войти под вашим номером телефона и писать сообщения от вашего имени Это полнейший бред, вы хоть сами читали это? Как войти в аккаунт не вводя пароля? Продемонстрируйте такую способность, или опять голословны? 7) Читайте внимательно, юзеру придёт ссылка на отмену сброса или удаления, то есть перейдя по ссылке пользователь отменит процедуру удаления (сброса аккаунта) У вас нет пруфов, от слова совсем, всё это брехня, про сброс аккаунта написано да, но уже несколько раз написал: сброс сразу не происходит, вам бы ещё проверять всё что пишут в статьях за 2016 год, вы хоть понимаете что прошло 4 года? Так что пустословие только с вашей стороны.

Не знаю как вы там сбрасывали, но у меня получилось это провернуть. 30 секунд и сброс произведен, у вас на руках чистый аккаунт.

Antonio Marreti Jul 8, 2020

Не знаю как вы там сбрасывали, но у меня получилось это провернуть. 30 секунд и сброс произведен, у вас на руках чистый аккаунт.

У вас была активная сессия в этот момент?

Более чем уверен что вы сбрасывали со своего же устройства

1

Евгений Jul 8, 2020

У вас была активная сессия в этот момент? Более чем уверен что вы сбрасывали со своего же устройства

сессия была активна ( на пк)
сбрасывал с чужого устройства

Antonio Marreti Jul 8, 2020

сессия была активна ( на пк) сбрасывал с чужого устройства

Опишите полностью все данные, установлена ли двухфакторка, привязана ли почта, и всевозможные детали

1

Евгений Jul 8, 2020

Опишите полностью все данные, установлена ли двухфакторка, привязана ли почта, и всевозможные детали

двухфакторка стояла.
почта не привязана.
телефон брал чужого человека.
при сбросе аккаунта с активной сессии (пк) произошел выход

A. / Книгар 🇺🇦 Jul 8, 2020

1) Вы вообще сами пробовали это сделать? Сбросить аккаунт нельзя, на отмену сброса даётся 7 дней, если вы плюёте, то хотя бы учитывайте матчасть, а то голословны в своих высказываниях. 2) Опять голословное высказывание, у меня больше двух лет активная сессия в браузере, более того, если человек переживает за сохранность своих данных имеет запасную сессию, где уже может сменить номер, отменить удаление аккаунта (сброс), и многое другое. 4) Лучше что-нибудь нормальное сказали бы, а то неизвестно зачем этот пункт. 5) Не можете повторить потому что не знаете как, а не знаете, потому что невозможно. По ссылке: https://habr.com/ru/company/pt/blog/283052/#comment_9622106 написано следующее: сможет войти под вашим номером телефона и писать сообщения от вашего имени Это полнейший бред, вы хоть сами читали это? Как войти в аккаунт не вводя пароля? Продемонстрируйте такую способность, или опять голословны? 7) Читайте внимательно, юзеру придёт ссылка на отмену сброса или удаления, то есть перейдя по ссылке пользователь отменит процедуру удаления (сброса аккаунта) У вас нет пруфов, от слова совсем, всё это брехня, про сброс аккаунта написано да, но уже несколько раз написал: сброс сразу не происходит, вам бы ещё проверять всё что пишут в статьях за 2016 год, вы хоть понимаете что прошло 4 года? Так что пустословие только с вашей стороны.

Действительно сейчас сделали задержку в 7 дней, если указать почтовый ящик. Вот только одно но, из-за этого реальный владелец при утере устройства или из-за вируса теперь 7 дней не сможет восстановить свой аккаунт, т.к. злоумышленники изменят пароль 2fa и почту. Прекрасно!

Αλέξιος Jul 8, 2020

Telegram: мы за безопасность
@
3 года всякие спец службы собирают контактные базы, база утекает в сеть
@
Telegram: ой, это другое, и вообще данные старые

Евгений Jul 8, 2020

Опишите полностью все данные, установлена ли двухфакторка, привязана ли почта, и всевозможные детали

Протупил, каюсь)
подключил почту, выдало ожидание в 7 дней

1

A. / Книгар 🇺🇦 Jul 8, 2020

Протупил, каюсь) подключил почту, выдало ожидание в 7 дней

Без почты, но с паролем ожидания в 7 дней не было?

1

Antonio Marreti Jul 8, 2020

Действительно сейчас сделали задержку в 7 дней, если указать почтовый ящик. Вот только одно но, из-за этого реальный владелец при утере устройства или из-за вируса теперь 7 дней не сможет восстановить свой аккаунт, т.к. злоумышленники изменят пароль 2fa и почту. Прекрасно!

Какой вирус? Вы о чём вообще?

Ещё раз, из активной сессии вы можете сменить номер, и не надо ждать 7 дней, вы на ходу проблемы себе придумываете?

1

Antonio Marreti Jul 8, 2020

Протупил, каюсь) подключил почту, выдало ожидание в 7 дней

Об этом речь и шла

1

Евгений Jul 8, 2020

Без почты, но с паролем ожидания в 7 дней не было?

Не было

A. / Книгар 🇺🇦 Jul 8, 2020

Какой вирус? Вы о чём вообще? Ещё раз, из активной сессии вы можете сменить номер, и не надо ждать 7 дней, вы на ходу проблемы себе придумываете?

1) При заражении трояном 2fa пароль может быть перехвачен и использован для смены 2fa, а сессия сброшена. Человек будет 7 дней ждать восстановления своего же аккаунта, хотя при использовании TOTP (и грамотной реализации) такого бы не случилось. Вот только TOTP не завезли и не особо собираются.
2) Откуда у вас активная сессия, если она была на телефоне, который утерян (это другая ситуация). Кроме 2fa в таком случае обязательно ещё нужен локальный пароль на телефон или приложение, иначе та же проблема с 7 дней.

A. / Книгар 🇺🇦 Jul 8, 2020

Не было

Ну тогда вы не протупили. Разное поведение с почтой и без, но в Телеграм всё равно называют это двухфакторкой (даже если без почты).

Antonio Marreti Jul 8, 2020

1) При заражении трояном 2fa пароль может быть перехвачен и использован для смены 2fa, а сессия сброшена. Человек будет 7 дней ждать восстановления своего же аккаунта, хотя при использовании TOTP (и грамотной реализации) такого бы не случилось. Вот только TOTP не завезли и не особо собираются. 2) Откуда у вас активная сессия, если она была на телефоне, который утерян (это другая ситуация). Кроме 2fa в таком случае обязательно ещё нужен локальный пароль на телефон или приложение, иначе та же проблема с 7 дней.

Да это бред, то есть вы говорите чтоб взломать аккаунт надо заставить человека потерять устройство? Сами вчитайтесь в этот бред, и да, покажите какой троян сливает 2fa пароль от аккаунта, будет очень интересно посмотреть его.

A. / Книгар 🇺🇦 Jul 8, 2020

Да это бред, то есть вы говорите чтоб взломать аккаунт надо заставить человека потерять устройство? Сами вчитайтесь в этот бред, и да, покажите какой троян сливает 2fa пароль от аккаунта, будет очень интересно посмотреть его.

1) "Заставить" вы сами придумали. Люди вполне успешно теряют телефоны без какого-либо "заставить". А ещё телефоны воруют, что очень близко к вашему "заставить потерять".

2) Множество альтернативных клиентов с сомнительным доверием, но которыми таки пользуются. Это раз. Под всякие скайпы и вайберы трояны к Windows уже сто лет как существуют. Под современные -- Cloud Module и Lokibot. И ещё сотня, нагуглить которые не трудно. Технические ограничения обходятся, возможности кейлоггеров всем давно известны. И не забывайте, что исходники десктопного клиента открыты и не составит труда подменить текущее приложение изменённым, если на то получены права (через пользователя или уязвимостью повышения привилегий).

Antonio Marreti Jul 8, 2020

1) "Заставить" вы сами придумали. Люди вполне успешно теряют телефоны без какого-либо "заставить". А ещё телефоны воруют, что очень близко к вашему "заставить потерять". 2) Множество альтернативных клиентов с сомнительным доверием, но которыми таки пользуются. Это раз. Под всякие скайпы и вайберы трояны к Windows уже сто лет как существуют. Под современные -- Cloud Module и Lokibot. И ещё сотня, нагуглить которые не трудно. Технические ограничения обходятся, возможности кейлоггеров всем давно известны. И не забывайте, что исходники десктопного клиента открыты и не составит труда подменить текущее приложение изменённым, если на то получены права (через пользователя или уязвимостью повышения привилегий).

1) Ну то есть без кражи и потери устройства не взломать аккаунт?

Да и про потере нужно просто кикнуть сессию с потерянного устройства, и все, проблем нет.

2) Если человек действительно переживает за свои данные, он не использует альтернативные клиенты, если использует, значит он умалишённый, я вам больше скажу, исходники всех клиентов открыты, но ничего такого всё ещё нет, и опять же, если человеку можно подсунуть неофициальный клиент как основной, то это его проблема, все клиенты можно скачать с официального сайта мессенджера

В общем, самое страшное что прозвучало от вас, это физический доступ к телефону, это как "вор может войти в ваш дом/квартиру, если у него есть ключ, только в случае с телеграм, можно убить сессию на потерянном устройстве, тогда краденное устройство уже будет без аккаунта.

A. / Книгар 🇺🇦 Jul 8, 2020

1) Я описал второй вариант. Офигенные у вас выводы.

При потере нужно будет сим-карту восстанавливать и пока это сделаешь устройство могут найти. Не говоря уже о краже.

2) Если бы в Телеграм действительно заботились о безопасности, то таки TOTP бы реализовали, у которого проблем поменьше будет, если пользователь действительно захотел безопасности. Даже смышлённый человек может попасть на вирус при очередной дыре. На вашем месте я бы не был столь уверен, что "это его проблема", в условиях, когда уже придуманы более надёжные механизмы.

> исходники всех клиентов открыты, но ничего такого всё ещё нет

Удивительно, что ничего такого ещё нет, если озвученный мной вирус представлялся другими приложениями и таки воровал важные данные. Если вы захотели конкретно для Телеграмма и 2fa, то подождите пока доля Телеграмма вырастет. Тогда не столько для Whatsapp трояны будут.

A. / Книгар 🇺🇦 Jul 8, 2020