Уязвимость конфиденциальности позволила полиции Гонконга раскрывать номера протестующих: ответ Telegram

В среде протестующих в Гонконге нарастает паника в связи с тем, что по каналам распространяется заявление о наличии методов у полицейских по определению телефонных номеров пользователей Telegram. Команда Дурова дала ответ на это заявление.  Для того, чтобы получить телефонные номера пользователей, сотрудники правоохранительных органов генерируют контакт-лист с тысячами телефонных номеров по порядку. Об этом сообщает Информатор Tech, ссылаясь на Lihkg. Далее они добавляются в группу протестующих из Гонконга, после чего мессенджер показывает, какие пользователи из контакт-листа уже присутствуют в группе. Скрипт генерирует новый контакт-лист и повторяет вышеописанные действия, пока не переберет все номера. Данная схема легко автоматизируется для перебора большого количества телефонных номеров. Данная схема легко автоматизируется для перебора большого количества телефонных номеров По данным самих активистов, таким способом можно узнать номера телефонов даже в том случае, если пользователь указал в настройках мессенджера запрет на показ телефонного номера. Несколько специалистов из области информационной безопасности проверили информацию об эксплоите в Telegram. "Мы знали, что установка конфиденциальности номера в значение «Мои контакты» позволит людям из контакт-листа видеть ваш номер, поэтому активисты всегда просили людей установить настройку «Никто», ожидая, что это скроет номер телефона в публичной группе. До сегодняшнего дня мы не знали, что установка «Никто» по-прежнему позволит пользователям, которые сохранили свой номер телефона в адресной книге, сопоставить номер телефона с общедоступными членами группы", — заявил Чу Ка-Чонг, директор Интернет-общества Гонконга. Ка-Чонг также подчеркивает, что были подозрения по факту того, что некоторые спонсируемые правительством злоумышленники воспользовались наличием ошибки для вычисления протестующих в Гонконге. При этом специалист уверил, что Telegram сейчас является основным способом коммуникации, поэтому отказаться от него будет крайне сложно.

Что говорит Telegram

По обращению издания ZDNet команда Дурова изучила вопрос. В компании опровергают наличия существующего бага, фактически указывая на то, что это заранее продуманная функция с предустановленными мерами защиты для предотвращения подобных случаев. В Telegram подчеркнули, что по факту импортировать удалось лишь 85 контактов, а не 10 000. "У нас есть защитные меры, чтобы предотвратить импорт слишком большого количества контактов — именно для предотвращения такого сценария. Наши данные показывают, что бот на скриншотах был заблокирован для импорта контактов через две секунды — и ему удалось успешно импортировать 85 контактов (а не 10 000). После того, как вы получите запрет на импорт контактов, вы можете добавить максимум пять новых номеров в день. Остальные контакты, которые вы добавляете, будут выглядеть так, как будто они не используют Telegram, даже если используют", — заявил представитель Telegram. Раннее мы сообщали о том, что в Telegram появились стикеры ко Дню Независимости Украины. Также писали, что мошенники под видом службы поддержки Telegram отправляют пользователям фишинговые письма. Узнать еще больше актуальных новостей из мира технологий и игр можно в нашем Telegram-канале, а также на наших страничках в Facebook и Instagram.