Проблема, из-за которой можно потерять свой Telegram канал
Исследуя возможности Telegram API я заметил, что любой администратор канала имеет право на удаление подписчиков. Подумав над этим мне показалось, что в этом никакой проблемы нет. Вредитель ничего сделать не сможет, так как у администраторов есть доступ только к последним 200 подписчиков и максимум он сможет забанить только их, что не будет являться такой сильной проблемой. Большинство администраторов, с которыми я общался или просто посторонние именно так и думают.
Спустя какое-то время я понял, что на самом деле это вообще не препятствует тому, чтобы удалить всех подписчиков с канала, а тем самым оставить вас с пустым каналом в котором будут только другие администраторы и ваши уже никому не нужными сообщения в нем.
А всё потому, что после удаления первых 200 человек с канала можно без проблем получить уже следующую пачку подписчиков и так до тех пор, пока на канале не останется никого.
Основная проблема в том, что получить список участников чата и забанить их могут и обычные боты, с минимальными правами на канале. Для справки, добавить на канал бота без прав администратора невозможно. А вот автоматическая система в отличие от живого человека может удалить всех подписчиков канала за несколько минут, потому что ему уже не нужно вручную банить каждого подписчика.
Поэтому любой бот и администратор в вашем канале может потенциально лишить вас его, если ему что-то не понравится или просто конкурент каким-то образом уговорит добавить к вам бота на канал.
Об этой проблеме я написал ещё полгода назад на платформу bugs.telegram.org, которая и предназначена, чтобы сообщать о таком. Но ответа и реакции не получил до сих пор.
Также пару недель назад я сделал пост на своем достаточно крупном канале, где описал это, а также продемонстрировал как можно лишиться канала на 1200 человек добавив бота к себе на канал.
Бот, который повторяет описанное, доступен по адресу @ccBoomBot, достаточно добавить его к себе в канал с любыми правами и отправить туда любое сообщение чтобы он начал работу по удалению подписчиков. Отправка сообщения — это чисто формальность в моем боте, в реальности это вообще не обязательно.
Исходный код бота доступен по ссылке ниже, вы сами можете убедиться, что там нет ничего сложного и это может повторить любой.
Как я уже говорил у себя в канале, этот пост был сделан целью сообщить администраторам каналов, что нужно быть аккуратнее при добавлении к себе в канал подозрительных ботов, а также других администраторов. Ну и в надежде, что администрация Telegram это увидит и добавит отдельное право на «блокировку подписчиков», такое же, как уже есть в супергруппах.
Запилил нормальное видео на человеческой скорости для (слоупоков) кожаных мешков типа меня, а не вот это ваше пьяное шатание курсора на экране для эпилептиков.
Интересная тема, Хз как оно на самом деле, но верится слабо)
Я записал видео-демонстрацию и сделал бота которого можно добавить в канал чтобы убедиться, что это действительно так работает.
В чём ценность твоего комментария?
Вы еще Олега в чате тинькоф спросите в чем его ценность
Вот это известие. Почему-то не верится.
Проверил на своем канале. Бот действительно забанил всех участников за очень короткое время
Ничего себе. Я написал, что не верится.
Это же беспредел.
Вот вам и прогресс в телеграмме, куда кричать и что делать?
Говорят что если его не остановить, то через пол года он забанит всё окружение, и даже соседи по лестничной клетке станут «невидимы» и даже продавщица из магазина у дома.
Как чёрное зеркало ⚫️
Интересный бот. Спасибо
Не надо так жестоко. Вы можете считать всех пользователей без удаления, т.к. у getSupergroupMembers есть limit (да, max 200) и offset
Этот метод просто не только для каналов но и для супергрупп в которых уже можно без проблем получить весь список участников.
Да, уже проверил, игнорируется. Для супергрупп ограничение 10000.
Хорошо, что регулярно обновляю БД пользователей.
В канале ты не сможешь получить больше 200 человек никак.
Спасибо не надо :)
Именно по этому давать права администратора нужно давать тем, кому действительно доверяешься на все 100. Хотя предсказать поведение человека тоже нельзя.
Было бы хорошо, если Telegram оставил доступ к удалению участников только для владельца, либо же сделал динамическую настройку.
Как в таком случае бороться со спамерами? Только вручную?
Телеге нужно разработать своего бота для удаления спамеров, потому что команде телеги, как корневому TLS сертификату на машине пользователя, доверие безоговорочное де факто.
Комментарий недоступен
И писать всех ботов для администрирования с нуля?
Какие есть боты для этого сейчас?
Так это же фишка Дурова для growth hack, в ВК было так же
Телега давно уже не в трендах по своей безопасности!
Я подсел на Utopia, отличная всё в одном р2р экосистема, удобная в использовании! Иногда тупит, но что в наше время не тупит!
Телеграм так и не выкатил фикс этого?
Неа. Никакой реакции :(
Я правильно понимаю, чтобы избавиться от этого достаточно удалить всех ботов из администраторов. Просто, кажется, я столкнулась с такой проблемой(