Как захватить любой ник в Tg — уязвимость и схемаᅠ Просим о р | PlanetaGulag

Как захватить любой ник в Tg — уязвимость и схемаᅠ

Просим о репосте, проблема касается каждого в сообществе Telegram. На «Футляр от виолончели» произведена атака, жертвой которой вы станете, если себя не обезопасите.

Наш контактный аккаунт @webloop уничтожен — вместо ника в логах указано deleted. Войти в учетную запись нельзя. Когда это обнаружили, ник был свободен, его мог присвоить любой, кто захотел бы написать «webloop» в юзернейме. Мы успели занять ник через второй аккаунт до того, как это сделали другие.

Почему это ваша проблема? Такую атаку сейчас может осуществить любой, включая ваших личных недоброжелателей. Ее алгоритм — массовая отправка фиктивных report-ов на аккаунт. Самая простая жалоба — галочка напротив пункта spam. По количеству жалоб аккаунт будет не просто ограничен (FAQ), а переведен в статус deleted. Удаление оперативно и полностью необратимо.

Чем вы рискуете? После того, как аккаунт стирают, удаляются боты и вся ваша личная переписка. Если через атакованный аккаунт вы создавали канал и не имели других аккаунтов-администраторов, доступ к каналу теряется навсегда.

Когда аккаунт переводится в deleted, освобождается его буквенный ник. Автору атаки достаточно зарегистрировать этот юзернейм, и он может выдавать себе за вас. Например, публично предлагать купить оптовую партию запрещенных в вашей стране веществ или заняться терроризмом, вступив в запрещенную организацию. Если юзернейм принадлежал вам — этого достаточно для суда и следствия.

Реакция поддержки Tg? Писали в support через форму, спам-бот и номер +42460. Нам ответили, что восстановление аккаунта невозможно. Ведущий канала «Наблюдатель» был объектом атаки того же типа — ответов на запросы не получил.

Как себя обезопасить? Не используйте аккаунты, через которые ведете каналы и группы, для любой переписки. Сделайте для своих каналов 2-3 аккаунта-администратора (профиль канала / Administrators / Add administrators). Они позволят сохранить канал при уничтожении основного аккаунта. Если это произошло, попытайтесь с другого аккаунта первыми перерегистрировать свой ник.

Есть ли решение? Атака с фальшивыми жалобами — недорогая коммерческая услуга, массово применяется в России и Украине для заморозки аккаунтов в Facebook. Исполнителями такой услуги называли лиц, которые за несколько дней до атаки на нас сильно расстраивались из-за нашего исследования. FB считает нецелесообразным пересматривать алгоритмы ради устранения местных проблем. Tg создавался как сервис для людей, чем отличается от других сетей. Cообщество может просить устранить уязвимости, которые используют авторы атак. Понимая сложность и объемы разбора спама, кажется разумным не переводить подозреваемые аккаунты в статус deleted. Для остановки спама достаточно запрета переписки. Иначе возникнет рынок захвата ников и покупки блокировок Telegram — такой же, как в действует случае с Facebook.

Сейчас авторы атаки направляют массовые бот-жалобы с требованием закрыть «Футляр от виолончели» за спам, DMCA и насилие. Поэтому просьба ко всем, кто способен лично донести ситуацию до команды Telegram, остается в силе. Готовы дать комментарии — пишите нам в @webloop