Новости раздела

Экс-разработчик об анонимности в Telegram: «Все ваши действия рано или поздно могут стать публичными»

На днях журналистам удалось раскрыть личность автора анонимного телеграм-канала «Товарищ майор», который слил персональные данные нескольких тысяч человек, участвовавших в недавних протестах в Москве. С разоблачением расследователям помогла программа-деанонимизатор Insider Telegram. По просьбе «Реального времени» бывший технический директор социальной сети «ВКонтакте», экс-директор особых направлений Telegram Антон Розенберг рассказывает о механизме работы и точности нового деанонимизатора, а также оценивает законность использования этого продукта и дает несколько актуальных советов пользователям мессенджера Telegram.

«Этот инструмент уже используется для поиска пользователей по запросу МВД и ФСБ»

История, на самом деле, не нова. Ровно год назад «Известия» рассказали о разработке того же «Центра исследований легитимности и политического протеста». Тогда она, правда, называлась «Криптоскан», но в остальном функционал был тем же самым: по юзернейму выдавался номер телефона, к которому привязан аккаунт. Замечу, что ранее принцип работы описывался иным образом: якобы была найдена уязвимость в API Telegram, с помощью которой по запросам с указанием аккаунта номер телефона возвращался напрямую.

Я еще тогда предположил, что такой явной уязвимости не было, а в действительности принцип работы сводился к составлению базы на основе перебора всех возможных телефонных номеров, которых на самом деле не так много. В комментарии, данном руководителем центра Евгением Венедиктовым «Медузе» в этот раз, именно это и подтверждается. При этом еще год назад он говорил, что этот инструмент уже используется для поиска пользователей по запросу МВД и ФСБ. Если же государство еще и помогало в разработке, то процесс перебора мог быть существенно сокращен.

Когда я пришел работать в Telegram в 2016-м, я обнаружил и иные способы перебирать телефонные номера практически без ограничений. Найденные уязвимости я тогда закрыл

Так что, повторюсь, ничего нового тут нет, данный способ обсуждался и два года назад. Когда я пришел работать в Telegram в 2016-м, я обнаружил и иные способы перебирать телефонные номера практически без ограничений. Найденные уязвимости я тогда закрыл и занялся системным решением проблемы. К сожалению, вскоре мне пришлось покинуть команду мессенджера Telegram. Передавать дела братья Дуровы меня не просили, так что занимался ли кто-то еще данными вопросами впоследствии, мне неизвестно.

Однако в любом случае полностью решить данную проблему невозможно, пока сохраняется функционал, показывающий всех пользователей мессенджера по номерам из вашей записной книжки. А отказываться от него Дуров вряд ли будет, так как для него приоритетной остается задача увеличения пользовательской базы и вовлеченности пользователей, а не безопасности или приватности. Так что если с помощью уже имеющейся базы вы по аккаунту определите номер телефона, который был там когда-то в прошлом, проверить его актуальность не составит труда: достаточно добавить этот номер в свою записную книжку и посмотреть, к какому аккаунту он привязан сейчас. Что и было сделано корреспондентами «Медузы».

«Российское правосудие вряд ли что-то может сделать с Telegram»

Тут мы переходим к вопросу точности находимых результатов. Поскольку база данных уже есть, повлиять на ее содержимое разработчики Telegram уже не могут. Однако неизвестно, как часто данные в ней актуализируются. Если номер привязан к аккаунту давно и не менялся — вполне вероятно, что в базе он найдется. Проверить актуальность найденного номера, как я уже сказал, можно со стопроцентной точностью. Если же регулярно менять номера на новые — система, скорее всего, выдаст какой-то из предыдущих телефонных номеров. Можно будет проверить, что он неактуален, однако все равно останется информация о том, что владелец данного номера по крайней мере в прошлом был связан с данным аккаунтом. А дальше все зависит от того, кто и какие будет задавать вопросы или предъявлять претензии к владельцу номера, и поверит ли в ответы вида «я продал канал/передал доступ вместе с сим-картой».

Рекомендации пользователям Telegram все те же, что и год назад: не стоит рассчитывать, что ваш номер телефона никто не узнает. То же самое относится и к переписке в мессенджере — не стоит писать там что-то такое, из-за чего вы можете впоследствии пострадать

Что же касается вопроса законности, тут я не претендую на роль эксперта. Год назад собеседники «The Village» сошлись во мнении, что нарушений закона нет. Есть, впрочем, пример с Facebook и Cambridge Analytica, а также европейский регламент GDPR. Проблема, однако, пока затрагивает преимущественно российских (возможно, и украинских) пользователей. По крайней мере, о переборе телефонных номеров других стран я не слышал. Так что возникает вопрос, будет ли кто-то жаловаться, и если да, то куда. Российское правосудие вряд ли что-то может сделать с Telegram, так как мессенджер позиционирует себя, как не российский (без уточнения иной юрисдикции), а в России и так уже официально должен быть заблокирован.

В чем-то похожая история была с «ВКонтакте» и сервисом SearchFace, позволявшим искать людей по фотографиям. Социальная сеть тогда грозилась подать в суд на разработчиков поисковика, тот сначала убрал из результатов поиска ссылки на профили, однако затем был перезапущен под именем FindClone, чем закончилось противостояние, я не знаю. Но вряд ли Павел Дуров поступит аналогичным образом и будет отстаивать данные пользователей в суде.

Так что рекомендации пользователям Telegram все те же, что и год назад: не стоит рассчитывать, что ваш номер телефона никто не узнает. То же самое относится и к переписке в мессенджере — не стоит писать там что-то такое, из-за чего вы можете впоследствии пострадать. И уж тем более не стоит использовать Telegram в противозаконных целях. Стоит исходить из того, что все ваши действия рано или поздно могут стать публичными.

Антон Розенберг
ТехнологииITОбществоВласть

Новости партнеров