Лінкі ўнівэрсальнага доступу

Невядомыя атрымалі доступ да акаўнтаў мэсэнджэра Telegram расейскіх актывістаў — супрацоўніка Фонду барацьбы з карупцыяй Георгія Албурава і дырэктара некамэрцыйнай арганізацыі «Образ Будущего» Алега Казлоўскага. Абодва атрымалі паведамленьні пра тое, што нехта карыстаецца іх акаўнтам 29 красавіка.

У ходзе перапіскі з тэхпадтрымкай Telegram актывісты выявілі, што ўзлом адбыўся наступным чынам: уночы апэратар МТС адключыў сэрвіс дастаўкі SMS-паведамленьняў, затым нехта праз ананімайзэр Tor адаслаў запыт на ўваход у акаўнты з нумарамі тэлефонаў ахвяраў, SMS з кодам не прыйшло ахвярам, але код з SMS быў пасьпяхова ўведзены невядомымі. Празь дзьве з паловай гадзіны пасьля адключэньня прыём SMS быў уключаны.

Апэратар не камэнтаваў здарэньне. У камэнтары стваральнік Telegram Павал Дураў выказаў меркаваньне, што ўзлом мог адбыцца праз дублікаты sim-картак, атрыманых праз фальшывыя пашпартныя зьвесткі.

Як пазьбегнуць такіх узломаў

Атрымаць доступ да акаўнтаў актывістаў можна было таму, што Telegram не патрабуе звычайных імя карыстальніка і пароля для ўваходу, а патрабуе толькі нумар тэлефона (замест імя карыстальніка) і SMS-код (замест пароля — SMS высылаецца на тэлефон, пазначаны замест імя карыстальніка). Такім чынам зламысьнікам ня трэба было ўзломваць пароль, а толькі атрымаць доступ да SMS (з удзелам апэратара ці бязь ведама апэратара праз дублікат sim-карткі).

Абараніцца ад гэтага можна праз двухфактарную аўтэнтыфікацыю: Telegram дазваляе ў дадатак да SMS-кода абараніць акаўнт паролем (які давядзецца ўводзіць штораз пры адкрыцьці праграмы). Уключыць пароль можна праз налады (Settings) — прыватнасьць і бясьпека (Privacy and Security) — двухфактарная аўтэнтыфікацыя (Two-Step Verification). Менавіта гэта пасьля інцыдэнту параіў зрабіць Павал Дураў.

Варта адзначыць, што ўзломшчыкі змаглі атрымаць доступ толькі да гісторыі перапіскі ў звычайных чатах, але не сакрэтных чатаў (Secret Chats), у якіх Telegram дазваляе чытаць гісторыю паведамленьняў толькі на адным апараце (а таксама надзейна шыфруе паведамленьні).

***

Telegram лічыцца адным з самых бясьпечных мэсэнджэраў пры выкарыстаньні сакрэтных чатаў. Узламаць сакрэтныя чаты «традыцыйным спосабам» без удзелу апэратараў пакуль не атрымлівалася (ці пра гэта не паведамлялася), хоць за бясьпеку звычайных чатаў адказвае хутчэй апэрацыйная сыстэма і сам карыстальнік.

Паказаць камэнтары

XS
SM
MD
LG