Проблема, из-за которой можно потерять свой Telegram канал

Исследуя возможности Telegram API я заметил, что любой администратор канала имеет право на удаление подписчиков. Подумав над этим мне показалось, что в этом никакой проблемы нет. Вредитель ничего сделать не сможет, так как у администраторов есть доступ только к последним 200 подписчиков и максимум он сможет забанить только их, что не будет являться такой сильной проблемой. Большинство администраторов, с которыми я общался или просто посторонние именно так и думают.

Спустя какое-то время я понял, что на самом деле это вообще не препятствует тому, чтобы удалить всех подписчиков с канала, а тем самым оставить вас с пустым каналом в котором будут только другие администраторы и ваши уже никому не нужными сообщения в нем.

А всё потому, что после удаления первых 200 человек с канала можно без проблем получить уже следующую пачку подписчиков и так до тех пор, пока на канале не останется никого.

Основная проблема в том, что получить список участников чата и забанить их могут и обычные боты, с минимальными правами на канале. Для справки, добавить на канал бота без прав администратора невозможно. А вот автоматическая система в отличие от живого человека может удалить всех подписчиков канала за несколько минут, потому что ему уже не нужно вручную банить каждого подписчика.

Поэтому любой бот и администратор в вашем канале может потенциально лишить вас его, если ему что-то не понравится или просто конкурент каким-то образом уговорит добавить к вам бота на канал.

Демонстрация проблемы

Об этой проблеме я написал ещё полгода назад на платформу bugs.telegram.org, которая и предназначена, чтобы сообщать о таком. Но ответа и реакции не получил до сих пор.

Также пару недель назад я сделал пост на своем достаточно крупном канале, где описал это, а также продемонстрировал как можно лишиться канала на 1200 человек добавив бота к себе на канал.

В Telegram есть проблема, из-за которой владельцы каналов могут потерять их, сделав вещь, которая всем кажется безопасной, но на деле такой вообще не является.
Я сообщал об этом на соответствующей платформе ещё полгода назад, но до сих пор не получил никакого ответа. Поэтому я...
В Telegram есть проблема, из-за которой владельцы каналов могут потерять их, сделав вещь, которая всем кажется безопасной, но на деле такой вообще не является.
Я сообщал об этом на соответствующей платформе ещё полгода назад, но до сих пор не получил никакого ответа. Поэтому я считаю, что теперь могу рассказать всем.

Опросив некоторое количество администраторов каналов и все были уверены, что бот с минимальным количеством прав (только добавление участников) не могут ничего сделать. Это даже пишется в инструкция к некоторым ботам которых нужно добавить в канал чтобы они выполняли там необходимые действия.

А что, если я вам скажу, что любой бот в администраторах канала может за несколько минут удалить ваш канал? Точнее не совсем канал, а всех подписчиков вашего канала. Для демонстрации проблемы я записал видео, которое доступно ниже.

Как минимум этот пост написан для того, чтобы вы знали, что нельзя добавлять всех подряд ботов в канал, только те, которым точно доверяете и создателей есть репутация. Также я хотел бы чтобы администрация мессенджера добавила отдельные права на возможность банить участников канала, как это сделано в группах. По возможности сообщите об этом своим знакомым администраторам каналов.

Бонусом я сделал бота, который делает то же самое, что на видео. Добавьте @ccBoomBot в тестовый канал как администратора с любым набором прав и напишите любое сообщение в канал. Готово, канала больше нет.

Бот, который повторяет описанное, доступен по адресу @ccBoomBot, достаточно добавить его к себе в канал с любыми правами и отправить туда любое сообщение чтобы он начал работу по удалению подписчиков. Отправка сообщения — это чисто формальность в моем боте, в реальности это вообще не обязательно.
Исходный код бота доступен по ссылке ниже, вы сами можете убедиться, что там нет ничего сложного и это может повторить любой.

Как я уже говорил у себя в канале, этот пост был сделан целью сообщить администраторам каналов, что нужно быть аккуратнее при добавлении к себе в канал подозрительных ботов, а также других администраторов. Ну и в надежде, что администрация Telegram это увидит и добавит отдельное право на «блокировку подписчиков», такое же, как уже есть в супергруппах.

0
27 комментариев
Написать комментарий...
Невероятный Блондин

Запилил нормальное видео на человеческой скорости для (слоупоков) кожаных мешков типа меня, а не вот это ваше пьяное шатание курсора на экране для эпилептиков.

Ответить
Развернуть ветку
Гарифуллин Христиан

Интересная тема, Хз как оно на самом деле, но верится слабо)

Ответить
Развернуть ветку
Yuri Ly
Автор

Я записал видео-демонстрацию и сделал бота которого можно добавить в канал чтобы убедиться, что это действительно так работает.

Ответить
Развернуть ветку
Pavel Ivanov

В чём ценность твоего комментария?

Ответить
Развернуть ветку
К М

Вы еще Олега в чате тинькоф спросите в чем его ценность

Ответить
Развернуть ветку
Илья Попов

Вот это известие. Почему-то не верится.

Ответить
Развернуть ветку
Александр Александр

Проверил на своем канале. Бот действительно забанил всех участников за очень короткое время

Ответить
Развернуть ветку
Илья Попов

Ничего себе. Я написал, что не верится.
Это же беспредел.

Ответить
Развернуть ветку
Саша Антипов

Вот вам и прогресс в телеграмме, куда кричать и что делать?

Ответить
Развернуть ветку
Невероятный Блондин

Говорят что если его не остановить, то через пол года он забанит всё окружение, и даже соседи по лестничной клетке станут «невидимы» и даже продавщица из магазина у дома.
Как чёрное зеркало ⚫️

Ответить
Развернуть ветку
YouTube Streamer Junky

Интересный бот. Спасибо

Ответить
Развернуть ветку
Ярослав Яшин
А всё потому, что после удаления первых 200 человек с канала можно без проблем получить уже следующую пачку подписчиков

Не надо так жестоко. Вы можете считать всех пользователей без удаления, т.к. у getSupergroupMembers есть limit (да, max 200) и offset

Ответить
Развернуть ветку
Yuri Ly
Автор

Этот метод просто не только для каналов но и для супергрупп в которых уже можно без проблем получить весь список участников.

Ответить
Развернуть ветку
Ярослав Яшин

Да, уже проверил, игнорируется. Для супергрупп ограничение 10000.
Хорошо, что регулярно обновляю БД пользователей.

Ответить
Развернуть ветку
Yuri Ly
Автор

В канале ты не сможешь получить больше 200 человек никак.

Ответить
Развернуть ветку
Nikolay Kenig

Спасибо не надо :)

Ответить
Развернуть ветку
Даниил Татьянин

Именно по этому давать права администратора нужно давать тем, кому действительно доверяешься на все 100. Хотя предсказать поведение человека тоже нельзя.
Было бы хорошо, если Telegram оставил доступ к удалению участников только для владельца, либо же сделал динамическую настройку.

Ответить
Развернуть ветку
Хэппи милф

Как в таком случае бороться со спамерами? Только вручную?

Ответить
Развернуть ветку
wn

Телеге нужно разработать своего бота для удаления спамеров, потому что команде телеги, как корневому TLS сертификату на машине пользователя, доверие безоговорочное де факто.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Anton K

И писать всех ботов для администрирования с нуля?

Ответить
Развернуть ветку
Невероятный Блондин

Какие есть боты для этого сейчас?

Ответить
Развернуть ветку
Иоанн Херувим

Так это же фишка Дурова для growth hack, в ВК было так же

Ответить
Развернуть ветку
Aaron Hawkins

Телега давно уже не в трендах по своей безопасности!
Я подсел на Utopia, отличная всё в одном р2р экосистема, удобная в использовании! Иногда тупит, но что в наше время не тупит!

Ответить
Развернуть ветку
Виноград Александрович

Телеграм так и не выкатил фикс этого?

Ответить
Развернуть ветку
Yuri Ly
Автор

Неа. Никакой реакции :(

Ответить
Развернуть ветку
Alice flower

Я правильно понимаю, чтобы избавиться от этого достаточно удалить всех ботов из администраторов. Просто, кажется, я столкнулась с такой проблемой(

Ответить
Развернуть ветку
24 комментария
Раскрывать всегда