Telegram не защищает пользователя при смене номера телефона в профиле — даже при включенной F2A
Итак, всем доброго времени суток.
Предыстория: Пользуюсь телегой уже /очень/ давно, почти с релиза, и даже был прецедент когда один душный хмырь попытался получив доступ к одной из не заблокированных сессий подвязать к моему акку свой девайс - я сразу же на все устройства получил аллерт, прибил средствами телеги сессию не моей авторизации, махнул все пароли, и с тех пор у меня 2FA (номер телефона+смс-код+пароль).
Сегодня: В виду того что телега у меня была привязана на симку мтс, которой уже больше дюжины лет, и которой почти не пользуюсь и храню только для семьи и старых контактов (т.к. на работе мтс толком не ловит) решил перевести аккаунт на рабочую симку (мегафон), ибо на ней все коллеги, подрядчики и прочая, и чем лично им писать или давать аккаунт - проще чтоб имея мой номер они меня сразу в телеге видели.
Дело простое, но даже несколько проще чем ожидал. Сильно, блин, проще. С авторизованного домашнего компа вбиваю в настройках новый номер через edit profile, на мегафон приходит смс с кодом подтверждения, вбиваю его и в принципе и всё. совсем всё.
Не, вы можете сказать что "ну и что? быстро, просто и со вкусом", НО:
Ни на одно устройство не пришло оповещение что номер аккаунта сменен, ни одно устройство не разлогинило, оно просто получило в настройках новый номер, никакой пароль 2fa у меня никто не спрашивал - хватило активной сессии на домашнем компе. На старую симку тоже никаких кодов подтверждения.
Собственно у меня вопрос - а какого лысого черта то? Типа подключение нового клиента к существующему аккаунту БОЛЕЕ опасная процедура чем смена к чертовой матери основного способа авторизации?
Ладно, в моем случае я ничего не потерял, просто сменил номер телефона, НО, а если вот тот же хмырь, что пытался подвязать свою трубу к моему аккаунту просто сменил бы мой номер на свой, пользуясь тем что я оставил активную сессию (тогда еще 2фа не была включена, но как показала практика - оно бы ничего не изменило) я бы даже не узнал об этом, пока тот хмырь не нажал бы "завершить все прочие сессии", и меня не повышибало бы к черту из телеги на всех моих устройствах. И все. Уже я бы должен был доказывать телеге что я номер не менял и это хмырь его изменил без моего ведома. И ладно тогда, но с 2фа то может както надо проверять столь серьезное событие, не? У меня никакой верификации кроме кода из смс с новог ономера телега не запросила. И ни одного аллерта о том ни на одно устройство не послала. Это бардак какой то.
UPD: Почитав каменты я врубился, что уведя акк с 2фа на новый номер создастся занятный парадокс - у нового владельца не будет пароля а у старого кода из смс, так-что воспользоваться аккаунтом не смогут оба, что однако тоже может быть довольно неприятным - если аккаунт рабочий. Например уволили саппорта, а он просто от обиды взял и вот так увел корпоративную телегу. Ему она по сути не нужна а по конторе удар.
Без 2фа вообще никаких разговоров - акк уйдет с концами и тебе даже смс на старый номер не пришлют типа "телефон сменился".
Комментарий недоступен
Продублирую пример с банк-клиентом, лк втб я могу оставить залогененым (минут на 15, кажется, длина сессии) всё что можно будет сделать без 2фа это гонять бабло между счетами мира и мастеркард (моими). Вывести бабки налево фиг выйдет - нужен код из смс.
А тут выходить что со включенной 2фа можно "заблокировать" акк уведя его на новый номер, а без оной - спереть с концами и на старый номер даже аллерта не придет. И никакой задержки нет. Было бы раумно кинуть хотя-бы смс на старый номер (в идеале с кодом) типа "для смены номера введите этот код в клиенте. Или, хотя бы. ту же смс "номер был сменен, если это были не вы перейдите по ссылке (на техсап).
но надо же как то проверять смену номера
А в чем собственно проблема?
Телеграм полагает что твоё устройство, с очень старой сессией безопасно. И что никто не может получить на него доступ несанкционированно.
И если вдруг у тебя стырили это устройство, то на нём должен быть пароль.
Тоже не понимаю в чём опасность.
Ну вот на примере мутного "коллеги" - нашелся клоун который какого то черта решил вломиться в мою телегу - хрен его знает нафига - стучать в морду выпытывая "зачем" на работе, к сожалению, гарантия увольнения, а сам не признался. Всего лишь пока я вышел из кабинета (причем кабинет закрыт скуд, права доступа очень у немногих. но этот хмырь считался валидным на тот момент). Хорошо он оказался идиотом и просто подвязал свое устройство в параллель. А мог бы сменить номер и просто увести аккаунт с концами.
То же может сделать, например, твоя девушка. Или дяденька чекист. И привет. Хватает уже примеров когда те или другие тайно или принудительно прижимают палец к сканеру отпечатка, чтоб разблокировать мобильник.
Автор прав, стиллеры никто не отменял
Да нет никакой опасности, просто автор гонит не по детски.
Но тот же телеграм для смены владельца чата/канала просит ввод пароля для 2FA. Хотя сессия старая и "безопасная". Что логично.
В заголовке написано "безопсаность", тогда надо через две "с" писать.
Считаю опечатка в кассу
Извиняюсь , мимо проходил , а вы давно шапочку из фольги сняли ?
Комментарий недоступен
Шутки конечно, никто не понял
ну на компе-то ты был авторизован по паролю + 2fa, в чем опасность разрешать таким сессиям менять номер телефона? и видимо она была довольно старая, потому что для только что созданной сессии требуется подтверждение смены номера, насколько я помню по личному опыту
Тем что у человека есть SMS+2FA, и можно спокойно перебраться на другой номер без 2FA. 2FA и нужен, как бы, для того чтобы злоумышленник со стороны оператора или завладевший симкой не мог ничего с аккаунтом сделать. А выясняется, что может.
Нормальные люди, когда замечают какую-то дырочку в мессенджере, говорят об этом разработчикам, а не трындят повсюду "телеграм фсбэшнае гввно". Альтернатив у него всё равно нет. Тем более, мессенджером предусматривается, что доступа к настройкам владелец не даст. Для этого нужно просто настроить код-пароль. Если у вас его нет — это не проблема мессенджеров. Если не нравится — можно написать разработчикам. Может быть, они вам помогут. Здесь вам точно никто не поможет
А я и не говорю что тлгрм-говно. Из того что есть он лучший без вариантов.
А эта заметка больше для информирования ширнармасс, нежели для какой то реакции от телеги.
Я, както, приучен, что 2фа верифицирует любые более-менее серьезные действия с аккаунтом, а не только вход с нового устройства.
Тут нельзя плохо про Телеграм писать, сектанты имени Дурова не дремлют
Комментарий недоступен
Типа сохраненная копия авторизации в кэше. Забавно. На винде обычно будет так если не через деинсталяцию сносить а просто удалить папку приложения - ключевых файлов в корневой папке нет, но всякие хвосты в аппдате и реестре остаются.
Деинсталяция обычно имеет чекбокс типа "удалить личные файлы". Хотя конкретно на телеге не проверял.
Вот так автор вынес на паблик закладку ФСБ.
Мое отношение к телеге — ФСБшная помойка.
Можно подробнее узнать, что случилось?
В телегу то написал?
Ну как бы давно понятно, что все эти "секурности" для Telegram, вибер и прочего хлама "для потрындеть" - это туфта. Goverment там и сям протрахал всё это.
Я это понял лет десять тому назад. Случайно поменялась дата на телефоне - опачки, SMS пятилетней давности.
Мне даже пофиг на гавермент, благо у меня белая работа белая зарплата и предпочитаю бухать а не круить/нюхать, но хоть минимально то както защитить аккаунт от увода не могли, чтоли.
Заголовок: "Телеграм за вашу "безопсаность и приватность"...
Падарите афтару громатический велописед!
Как написал выше - очепятка не запланированная но в тему. Пущай так и будет. )
UPD, черт, модераторы заголовок сменили (
2 раза сталкивался с тем, что у человека стоит симка в кнопочном телефоне, а кто-то с Америки подключает к этому номеру телегу и рассылает спам контактам этого человека. Первый раз зашел, закрыл все сессии и удалил акк, второй раз закрыл сессии, включил 2fa и оставил акк. Больше с проблемой не обращались. Как такое вообще возможно?
Мощно. Ну тут я уж совсем без понятия, вопрос конкретно к павлу.
Комментарий недоступен
Есть догадка, что Дурову просто дорого слать смски)
Ужас. Как страшно жить.
Ну так ты подтвердил этой сессией сам. Или ты неглядя на всё жмешь подряд что тебе приходит? Тогда сам себе злобный буратино.
Зачем усложнять. Ну и не забываем дополнительно пароль ставить, его для этого и придумали между прочим...
Дык я номер и менял осмыслено, потому-что мне так надо было.
Уже не раз привел выше примеры с ЛК банка и уволеным сотрудником с доступом к телеге - никакой защиты от смены ключевых параметров аккаунта нет вообще. Совсем. Ну вот авторизованнывй акк, и чо? Доводя до абсурда - подошли со спины, дали по башке и по бырому вбили новый номер. Всё. больше у тебяя этого аккаунта нет и не будет.
Попробуй на том же близовом аккаунте измени мыло к которому аккаунт привязан - введи контрольный код со старой почты, с новой почты, с привязанного мобильника и с близард-ауентификатора. Хотя игрушка. А тут телега в которой килотонны личной и/или рабочей информации а защиты от нее увода/блокировки нет вообще. И оповещений нет.
"завершить все прочие сессии"
После того как логиниться новое устройство, оно не имеет доступ к этим настройкам толи сутки, толи двое, не помню точно.
Вы пробовали после этого залогиниться со старым номером и новым номером? Может вы поменяли только контактный номер телефона, через который вас могут добавить в список контактов?
Эм, а что это за "контактный номер"? Вписанный руками в поле "о себе", чтоли? У телеги одно место где штатно указан номер, он же и способ авторизации - раздел edit profile. И да, это не только контактный но и ключевой, на который подвешена авторизация. И да, ща ради эксперимента перелогинился для проверки - именно мегавонь терь и стал им.
Если попытаться сменить номер с телефона только авторизованного, то вылезет ошибка "В целях безопасности нельзя сменить номер с телефона который был недавно подключен" , что сводит эту статью к очередной надуманной глупости.
Если читать не по диагонали то можно заметить пункт "с ранее авторизованного утсройства", и пример с обиженным саппортом магазина.
А кому написана вся эта простыня?
Пиши Павлу, пиши в сапорт телеги.
Ты думаешь тут сидят разрабы телеги и ждут когда Ты им напишешь?! :D
Тем, кто как и я не знал о такой приколюхе. Павлу стопудово насрать.
Привет всем,здраствуйте, короче говоря кто знает как можно это предотвратить пожалуйста помогите, короче говоря, мне несколько дней назад купили номер, но его кто то же использовал до меня и открыл телеграмм из этого номера , короче говоря этот номер сейчас у меня, а старый хозяин этого номера всё ещё использует телеграм из этого номера хотя сим карта у меня, и у меня появляются чаты где он общался с кем то и ещё он читает сообщения которые прислали мне, и что мне надо сделать чтобы у него удалился аккаунт моего номера
Самое простое - написать "самому себе" (чат "Избраное") капсом сообщение типа "Я купила симку с номером на который зарегистрирован этот аккаунт. привяжите. пожалуйста, к своему аккаунту новый номер телефона или я удалю весь аккаунт".
Если человек нормальный - он так и поступит, если идиот - ну сам себе злобный буратина, даете ему дня три на то чтобы прочитал и удалил акк, если этого не сделает - отрубаете ему все сессии и сносите акк. Либо поставив таймер на месяц оффлайна и этот месяц не заходя, либо через техсапп, либо просто чистите нафиг все чужие чаты, меняете контактные данные и пользуетесь как своим
Это всё чепуха мелкая !!
А у меня одна гнида украла акк, просто получив доступ к симке.
И это при том, что был включён пароль при входе.
А уроды Дурова никак не отреагировали на обращение в тех.поддержку...
Делайте выводы.
Не понимаю вашей истерии по этому вопросу, может вам стоит сходить к психологу и проработать ваши страхи? Тут на лицо много проблем и стиль вашего общения и подачи информации это показывает наглядно. Вы невротик.
Ничего личного, это просто взгляд со стороны.
Можете дальше бороться с ветряными мельницами, но если вы хотели разобраться в вопросе, то не через статью, где вы вступаете в полемику с люди, а получать напрямую информацию от мессенджера.
Комментарий удален модератором
Комментарий удален модератором
@Инспектор
Комментарий удален модератором
Комментарий удален модератором