Как случайность позволяла группе подростков обманывать пользователей Telegram в течении 3 мес, с общим ущербом в $1.5млн

Эта статья выйдет раньше официального ответа Дурова или даже «расследования» Кода Дурова. Причина тому — некомпетентность, халатность и замалчивание.

28 октября 2022 года в час ночи Давронбек Рустамов, модератор узбекского чата Дурова, получил сообщение об уязвимости в оплате премиум подписки телеграма. Это сообщение было прислано одним из немногочисленных участников группы подростков, возрастом 15-19 лет, которые несмотря на отсутсвие каких либо навыков в сфере программирования, смогли получить прекрасную возможность зарабатывать заветные 200-250тысяч рублей в своём юном возрасте.

Правда, у них было еще две небольших отличительных черты, разнивших с привычными нам программистами.

Первая — каждый из них зарабатывал эти деньги в день. Вторая — они зарабатывали их, не создавая что-то полезное для конечного потребителя, а обманывая его, используя вначале некомпетентность, а затем и санкционированную халатность работников Телеграма.

Каким образом стало возможно произошедшее? Прежде всего давайте составим лист вопросов, которые приходят на ум:

1/ Как Телеграм понёс убытки в размерах от $1млн до $1,5млн в течение 3 месяцев от действий школьников, результат действий которых он возложил на конечного потребителя, введённого заблуждения.

2/ Почему при этом до сих пор не были предприняты никакие меры по ограничению действий или по привлечению к ответственности малолетних мошенников, жертвами которых стали по консервативной оценке более 150 тысяч человек?

3/ Почему официальные ресурсы Telegram, так ярко подмечающие уязвимости других компаний, в том числе Apple и WhatsApp, до сих пор не дали никакой оценке произошедшего в их собственной компании, лишь ограничившись комментарием, что обманутые покупатели, потеряют полученные ими товары, раз они были куплены не официальным путём.

Чтобы ответить на каждый, давайте начнём нашу историю с начала. В июне была представлена подписка Telegram Premium. Из экономики мы знаем, что рационально действующя фирма стремится получить максимальную прибыль от предоставления своих услуг. Непреодолимо тягостное чувство возникает в сердце предпринимателя, когда приходит осознание, что за одну и ту же услугу разные клиенты могли бы платить разные суммы, в зависимости от их финансового благополучия, но в итоге платят равную для всех плату. Каким прекрасным мир видится для некоторых из них, если можно было бы заставить одних платить за мороженое в одном и том же месте — 1 доллар, а других — полторы тысячи, при этом не меняя качества или состава продукта. Результатом таких желаний стало понятие, называемое ценовая дискриминация. Как это относится к нашей истории? Изначально было задумано, что жители разных реионов, в зависимости от их финансовых возможностей, а также популярности в их стране Telegram, будут иметь разные цены, на анонсированную Telegram подписку. При этом, конечно, её функционал останется неизменным.

В итоге, подписка, которую можно было получить лишь двумя способами — купив в официальном боте или получив в подарок от друга, совершившего такую покупку для себя, стала предметом перепродажи.

Странно было бы, имея цены на подписку в Турции, например, за 3 месяца в размере 54 рублей, не продать её русскому пользователю, у которого цена составляла 919рублей(цены указаны по курсу, на момент написания статьи).

Как результат, 18 августа Telegram ввёл ограничение на подарки от друзей из других стран, сделав тариф для таких приобретений — глобальным, т. е. единым для всех регионов, в случае международного дарения. Цены, понятное дело, были бы выше, чем при покупке самому себе аналогичного числа месяцев в своём регионе.

Но это не остановило пытливые умы. И тут мы впервые знакомимся с нашими героями.

Подросток, открывший уязвимость, был среднестатистическим оболтусом, игравшим больщую часть своего времени в игры, одной из которых был PUBG. Со временем, решив получить результаты в ней, но не имея каких-либо навыков, помимо s-образного сгибания над экраном, герой статьи решил поставить jailbreak на свой iphone, чтобы воспользоваться уже разработанными читами, недоступными обычному пользователю ios-устройств.

Втянувшись в процесс, он стал вести небольшую группу, где для друзей публиковал найденные читы и рассказывал о их пользе в игре. Казалось бы, что может пойти не так?

Всё просто — через 1,5 года, после описанных событий, в конце августа 2022 года анонсируется выход Telegram Premium.

Удивительная случайность, делающая произошедшее ещё более похожим на лотерею, позволяет подростку найти источник богатства. Точнее, незаконного обогащения - подросток решается на шару проверить способ покупки внутриигровых средств на Telegram. Чаще всего, такая покупка возможна в малобюджетных играх, которые хранят данные о внутриигровых ресурсах на устройстве пользователя. Но в случае Telegram, ситуация обстояла примерно также. И поэтому совершив покупку за реальные деньги, маленький герой обнаружил, что последующие покупки не приводят к снятию денежных средств, тк технология использованной программы для взлома, предполагает отправку липовых квитанций об оплате, которые, тем не менее стали достаточным основанием для выдачи реального продукта, который Telegram оценил в 300 рублей в месяц для пользователей из РФ.

Что же было предпринято дальше? Правильно. На протяжении последующих 3 месяцев, до утра 30 октября 2022 года, герои данной статьи(наш пытливый ум и его товарищи), продавали в Telegram’е подарочные подписки Телеграма(на 3, 6 и 12 месяцев), по цене изначально в несколько раз меньшей, чем официальная стоимость, соответствующая 919/1599/2799 рублям, а затем и доходившей до смешных 150 рублей за 12 месяцев.

Чем на протяжении всего этого времени занимались работники, ответственные за Telegram Premium — непонятно.

Где-то явно, называясь абузом, а где-то под соусом абсолюной легальности, данная подписка продавалась в разных телеграм-ботах. Заказы, увеличивавшиеся благодаря сарафанному радио, стали расти, как на дрожжах после первых дней работы и при изначальных ценах в 450/850/1200 рублей за подписку при нулевых затратах, вскоре стали достигать 1500 штук в день, принося деньги, сопоставимые с зарплатой хорошего финансового аналитика, программиста со стажем или депутата.

Тем не менее, рост заказов стал сопровождаться понижением цены, ставшим результатом базовой экономическо безграмотности владельцев схемы: используя привлечение своих друзей, в качестве метода масштабирования своих мощностей выдачи(кликай и зарабатывай — мечта любого школьника, без дела, которое его зажигает и, к сожалению, некоторых взрослых людей), подростки забыли, что деньги иногда приводят к разрыву договорённостей. И в итоге некоторые из участников банды решили обособиться и за неимением навыков привлечения аудитории, помимо «расскажи другу за скидку», стали понижать цены, чтобы забрать себе часть заинтересованной аудитории, узнавшей от своих знакомых о такой возможности сэкономить.

Для участников организации, как они сами написали в своих личных ресурсах в Телеграме(да, они до сих пор не заблокированы и даже продолжают делиться, как безраздумно тратят деньги введённых в заблуждение людей), грустно осозновать, что такой предсказуемый обычному образованному человеку демпинг, можно было бы избежать, будь они готовы к свалившемуся на них источнику денег.

Но как и с участниками лотерей, проматывающих свои состояния до нитки, и возвращающихся на ещё более низкую социальную ступень, чем они занимали изначально, наших участников постигла банальная участь — плоды отсутствия банальной грамотности.

Желание заработать здесь и сейчас привело к расколу группы, что сделало возможным продажу схему эксплуатации уязвимости сначала за 80 тысяч, чуть позже за 30-15 тысяч, а в итоге — 300 рублей. И это при том что за день она приносила по 250 тысяч только одному из участников маленького подросткового мирка, то есть легко окупалась за пару дней при начальной стоимости в 500! тысяч.

Но всему приходит конец. Правда тут — неожиданно. Создатель группы, скатившийся к мизерным, на его взгляд, 70тысячам дохода в день, решил отомстить своим пособникам, снижавшим цену и в итоге разрушившив экономику этого маленького мирка.

И сделал он это банальным для ребёнка способом — пошёл пожаловаться старшим, то есть в нашем случае, поддержке Телеграма, которая закрывала на проблему глаза на протяжении 3 месяцев.

Да, повторюсь, он «сдал сам себя», чтобы не дать предателям-пособникам заработать.

И что в итоге?

А в итоге, баг был пофикшен, а обманутые покупатели, обвинены поддержкой Телеграма через сообщество Код Дурова(https://t. me/d_code/15187) в том, что они приобрели товар нефоициально.

Средства, конечно, никому не вернули, ребята до сих пор на свободе, главный герой сегодня ночью, например(31.10.2022) успел похвастаться в своём сообществе Телеграм покупкой скина в своей сладкой зависимости — игры PUBG, за 550 тысяч рублей.

Вот так мы в очередной раз убеждаемся, что справедливсоть — вопрос равномерного распределения информации, чему и служит данная статья.

Стоит только радоваться, что тут маркетинговый отдел Телеграма на высоте — он понял, что правда — это то, что известно.

Если известно, что WhatsApp имеет кучу уязвимостей, которые обнаруживают профессиональные программисты с завидной регулярностью, то он станет непопулярным.

И если неизвестно, что Telegram — второй WhatsApp, то можно беспрепятственно переносить вину за своё бездействие на плечи клиентов.

Вполне привычной стала практика вознаграждения хакера частью суммы, которую потеряла компания, из-за существоващей уязвимости. Но это нормально, пока речь идт о деньгах компании.

Приведу пример. Одно дело, если в коде криптобиржи существовала уязвимость, которую обнаружил хакер и воспользовался ей, чтобы вывести деньги из стабилизационного фонда организации — тут риски несёт компания, она же и покрывает издержки своей оплошности. Если ей так хочется — пусть награждает тех, кто смог обнаружить халатность в архитектуре кода.

Но ненормальным является такая ситуация: На бирже была уязвимость, давшая возможность создать обманный курс конвертации валюты для пользователей: ты бы обменивал свои активы в несколько раз выгоднее, чем цены были до этого, а в итоге деньги не приходили бы в новой валюте на твой кошелёк, а уходили бы к хакеру. А биржа посчитала уязвимость достаточно важной и потому разрешила хакеру оставить украденные деньги на своём кошельке на этой же бирже, при этом ответив обманутым вкладчикам: "ну, логично же было, что скам, ребята. Что ноем?"

Странно получилось: была уязвимость, на которой мошеническим путём были нанесены убытки Телеграму в раземере нескольких миллионов долларов. А Телеграм, в свою очередь, решил призвать к ответсвенности не мошенников, а возложить её на пострадавших покупателей. То есть наказаны те, кто лучше молчит.

Не стоит молчать, помогите продвижению статьи, выполнив то, ради чего и был создан Телеграм — возможность существовать гласности.

Разошлите друзьям, опубликуйте на Дзене, Ютубе, закиньте блоггерам, в паблики Вк и Тг, в предложенные новости.

Такие вещи не должны замалчиваться.

Ссылки на ресурсы, где лежат вещдоки преступления, оставленные самими участниками(скорее всего будут уничтожены):

https://t.me/telegapremka

https://t.me/munfizyhack

https://t.me/freepremsliv

Если сможете упорядочить файлы, оставленные на диске, подкорректировать статью и внести любую лепту в общее дело — огромное вам спасибо.

Вещественные доказательства преступления в виде выгруженных сообщений групп с признанием участников можно найти на облаке

https://drive.google.com/drive/folders/1NuCtlab-AJ0iBSmODSyoT8-YVHeHbW7t? usp=share_link

Канал со всеми материалами

44
14 комментариев

Взлом прикольный, а статья излишне эмоциональная

8

Комментарий недоступен

3

Скам в том, что телеграмм блокнул подписки)

Не, там ничего ставить не нужно было - просто платишь бабки и тебе присылают лифт на премиум. Хайп пострадавшие явно поднимут, вангую что в итоге премии юзерам оставят, а школоту с очень большой вероятностью закроют дабы другим неповадно было.

зачем столько лишних подробностей?

3

Комментарий недоступен

1

Школьник красавчик.

Не понял только, какое отношение имеет автор ко всему этому. Или он из тех, кто демпинговал, а теперь обиделся?

1