Критическая уязвимость Telegram: как злоумышленники могут получить доступ к вашему аккаунту без пароля, телефона и почты

Два дня назад я потерял доступ к моему Telegram-аккаунту. До настоящего момента я пытался найти причину, почему аккаунт мог быть украден, и можно ли вернуть к нему доступ через техническую поддержку Telegram.

В последствие выяснил, что злоумышленники могут получить доступ к аккаунту, не зная вашего пароля, почты, номера телефона и без доступа к устройствам, на которых у вас запущен клиент.
Это делает Telegram уязвимым, несмотря на все стандартные меры защиты, такие как двухфакторная аутентификация.

То есть принимаемые встроенные меры не обеспечивают необходимой безопасности. К тому же, время ответа и помощи поддержки Telegram недостаточны, чтобы предотвратить потерю средств, истории личных сообщений, доступ к личным каналам и профессиональным чатам.

28 апреля утром я увидел уведомление о новом сообщении и попробовал зайти в приложение, чтобы его прочесть. Однако, при попытке войти в приложение (приложение Telegram), я был разлогинен в течение доли секунды, сразу после входа.

Выглядело странно, сразу же попробовал войти снова, но приложение запросило ввести код, отправленный на другое устройство, где у меня запущен клиент Telegram — это мой домашний ПК.
Запустил ПК, открываю клиент Telegram, и происходит то же самое — в течение доли секунды аккаунт разлогинен из десктопного клиента.
Повторные попытки, как в мобильном, так и в десктопном приложении, вызвали ошибку «слишком много попыток, повторите позже». Насколько позже? В веб-версии клиента можно увидеть, что время ожидания составляет около суток (об этом узнал в ходе попыток разобраться, что произошло. Самим веб-клиентом я не пользуюсь).

После инцидента я заподозрил неладное и сразу написал в поддержку Telegram с просьбой завершить все активные сессии моего аккаунта (https://telegram.org/support?setln=ru).

На следующее утро я смог снова войти в аккаунт, но обнаружил, что все личные сообщения с контактами, два личных канала с заметками, десятки профессиональных чатов и доступ к кошельку (прикрепленному к аккаунту) с суммой около 35 000 рублей были утеряны. Аккаунт выглядел как новый, возникали даже подсказки по интерфейсу. У меня возникло предположение, что поддержка Telegram меня неверно поняла и по какой-то причине обнулила мой профиль.

Позже, при помощи знакомых, я выяснил, что все мои чаты с ними, "мое присутствие" в профессиональных чатах осталось, а мой "исходный" аккаунт сменил логин, показывает некоторую активность (время активности аккаунта), продал прикрепленные к аккаунту "подарки" и теперь не отвечает на сообщения, отправленные ему.

Аккаунт был украден. Следует принять во внимание, что мне в течение длительного времени не приходили ни уведомления о необходимости ввести код при авторизации нового устройства, ни писем на почту, ни смс, ни уведомлений о авторизации нового клиента.
При этом у меня включена была двухфакторная авторизация, в виде облачного пароля (который я сам не знаю, так как вводил его достаточно давно, а он хранится в зашифрованном виде в менеджере паролей). Также стоит отметить, что у меня не было разговоров с мошенниками в течение длительного времени, тем более разговоров с незнакомыми мне людьми о пинкодах, паролях, выяснить номер телефона или адрес почты.

Сейчас же знакомые дали мне понять, что мой случай не единичный за последние дни и помогли найти статью об уязвимости Telegram, благодаря которой я вполне мог потерять доступ.
Уязвимость заключается в том, что при переходе по ссылке из чата в Telegram на внешнюю веб-страницу используя встроенный в клиент Telegram браузер (это поведение установлено по умолчанию), в URL создаётся токен авторизации (auth_token).

Злоумышленник, получив авторизационный токен, может войти в ваш аккаунт через web.telegram.org, даже если у него нет пароля или доступа к вашему телефону. Важно, что при этом не будет никаких уведомлений о входе, смене данных аккаунта, добавлении новых устройств. Это означает, что злоумышленник может тихо использовать ваш аккаунт, не оставляя никаких признаков вторжения.

Почему не предусмотрены уведомления о смене данных аккаунта, например, смене логина или добавлении нового устройства?

Почему не предусмотрены уведомления по СМС и почте о смене данных аккаунта или авторизации на новом устройстве даже при смене последних?

Почему новые устройства не требуют обязательного подтверждения через двухфакторную аутентификацию?

Почему в случае подозрительных действий нет возможности временно заблокировать аккаунт?

Злоумышленник, укравший мой аккаунт - сменил на нём номер телефона и логин, имеет доступ ко всем историям сообщений, кошельку, имеет доступ к моим личным данным и чувствительной информации связанной с родом деятельности, доступ к личным данным третьих лиц.
Я же имею возможность взаимодействовать с отсутствием обратной связи от поддержки сервиса Telegram и отсутствием способов заблокировать деятельность старого аккаунта.
Конечно, понимаю, что поддержка Telegram отвечает долго, часто молчит или отвечает формально (если опираться на отзывы в свободном доступе) ведь там работают "волонтеры", но стоит подчеркнуть, что более вероятно, ошибка связанная с потерей аккаунта допущена не мной, а возникла благодаря критической уязвимости самого клиента Telegram.
Мною было написано повторное письмо с подробным описанием случившегося как на сайте самого сервиса, так и во встроенный бот в мобильном клиенте. На настоящий момент ответа по случаю нет.
Следует отметить, что у меня отсутствуют технические навыки и мои предположения в отношении способа кражи аккаунта могут оказаться ложными.