Павел Дуров пообщался с главным редактором «Эха Москвы» Алексеем Венедиктовым, и высказал мнение, что SMS-аутентификация мессенджера Telegram была скомпрометирована «благодаря» действиям российских спецслужб.

29 апреля 2016 года сотрудник Фонда борьбы с коррупцией Георгий Албуров, а также известный активист, директор НКО «Образ будущего» Олег Козловский открыто пожаловались, что в ночь на 29 число их аккаунты Telegram взломали. По их словам, неизвестные перехватили SMS-сообщения двухфакторной авторизация Telegram и получили доступ к переписке. Олег Козловский подробно описал всю хронологию происшедшего у себя в Facebook.


Из Facebook Олега Козловского

Вместе с Telegram разбирались в том, как произошел сегодня ночью взлом моего аккаунта и, вероятно, Георгий Албуров. Это интересная история.

События развивались следующим образом:

В 2:25 ночи отдел технологической безопасности МТС отключает мне сервис доставки SMS-сообщений.

Через 15 минут, в 2:40, кто-то с Unix-консоли по IP-адресу 162.247.72.27 (это один из серверов анонимайзера Tor) отправил в Telegram запрос на авторизацию нового устройства с моим номером телефона.

Мне было отправлено SMS с кодом, которое доставлено не было (сервис для меня отключен).

В 3:08 злоумышленник вводит код авторизации и получает доступ к моему аккаунту. Telegram присылает мне автоматическое уведомление об этом (которое я прочитаю только утром).

В 3:12 аналогичным образом с того же IP-адреса (т.е. через ту же сессию Tor) взламывается аккаунт Жоры Албурова.

В 4:55 отдел технологической безопасности МТС вновь включает мне сервис доставки SMS.

Причину отключения и включения сервиса МТС мне назвать отказалось, предложив написать письменный запрос.

Главный вопрос в том, каким образом неизвестные получили доступ к коду, который был отправлен на SMS, но не доставлен. К сожалению, у меня есть только одна версия: через систему СОРМ или напрямую через отдел техбезопасности МТС (например, по звонку из «компетентных органов»). Если есть другие варианты — предлагайте.

Главная рекомендация для всех пользователей Telegram: подключите двухэтапную авторизацию (т.е. не только SMS, но и пароль). Это делается в настройках безопасности.

Главная рекомендация для Telegram: не принимать код авторизации, если не пришло подтверждение его доставки.

«Эхо Москвы» обратилось за комментариями о случившемся к самому Павлу Дурову, и вот что он ответил:

«Лучше всего в ситуации разобрался сам взломанный – почитайте

Итог: судя по всему, спецслужбы РФ решили начать давить на операторов связи, чтобы те стали осуществлять перехват авторизационного sms-кода. Обычно такое встречается только в рамках людоедских, не заботящихся о своей репутации режимах — средняя Азия, иногда Ближний Восток. Но внезапно случилось в России (если, конечно, отсечь коррупцию внутри МТС, что в случае с оппозиционными журналистами маловероятно).

Рекомендацию для жителей проблемных стран я  уже опубликовал; также будем делать массовую Телеграм-рассылку по России с советом всем находящимся под угрозой пользователям включать двухфакторную авторизацию, так как операторы связи РФ как верификатор ненадежны.

Как я пользуюсь Телеграмом: есть двухфакторная авторизация (пароль на аккаунт), аккаунт привязан к сим-карте адекватной юрисдикции, наиболее деликатные моменты обсуждаются в секретных чатах. В принципе, любая из этих мер по отдельности позволяет защитить важную информацию. Риск возникает тогда, когда отсутствует все вышеперечисленное».

Фото: TechCrunch



12 комментария

  1. air88

    03.05.2016 at 10:58

    Ну что за раздувательство? Этим же способом угоняли viber, угоняют банковские учетки. Достаточно знать паспортные данные жертвы и иметь подмену номера… Какой сорм? о чем речь? пфу на вас, ищите в элементарных вещах заговоры.

    • eugene.lityushkin

      03.05.2016 at 17:58

      Допустим (я лично так и полагаю), что это деятельность российских правоохранительных или специальных служб.

      Вопрос — насколько подобное законно?

      Очевидно при наличии ордера на прослушивание/перехват передаваемых данных — законно и оператор связи получив подобное предписание не мог отказаться его выполнить.

      Более того — компания Павла Дурова — оператор сервиса Telegram также обязана выполнять требования подобных запросов, в противном случае против неё могут быть приняты обеспечительные меры.

      Второй вопрос — насколько подобная практика распространена — она повсеместна.

      Кроме того в данном случае идёт речь о целенаправленном просмотре переписки конкретного лица (видимо подозреваемого в неких преступлениях).
      Переписка иных лиц затронута не была.

      Вывод — работникам полиции/ФСБ и пр должна быть выдана благодарность.

      А «пострадавшие» имеют право требовать ознакомления с материалами по данному вопросу.

      Но причин для возмущения «людоедским режимом» явно нет. Всё аккуратно и вполне «травоядно»

      • ShadowHD

        03.05.2016 at 23:34

        >компания Павла Дурова обязана выполнять требования подобных запросов
        С чего бы компании, которая даже располагается в другой стране, что-то подобное выполнять?
        >видимо подозреваемого в неких преступлениях
        В том-то и дело, что «видимо». Если захотите, то подозревать сможете всех подряд. За хорошим гайдом к бабулькам. Хотя, «сотрудник Фонда борьбы с коррупцией «… Ну да, сомневаться в том, что это спецслужбы РФ, не приходится.
        >«пострадавшие» имеют право требовать ознакомления с материалами
        Это где? Как минимум МТС отказали, да и у кого требовать-то?
        >работникам полиции/ФСБ и пр должна быть выдана благодарность.
        Извините, за что? За то, что «Переписка иных лиц затронута не была»? То есть, если взломать какой-нибудь Ваш аккаунт, но не затрагивать чужих, то мне тоже благодарность полагается? А еще очень интересно, как эти люди читали переписку взломанных людей, не затрагивая переписки иных лиц.
        Вывод тут только один — нет смысла доверять операторам, которыми владеет государство, полагаться нужно в первую очередь на себя.

        • eugene.lityushkin

          04.05.2016 at 09:58

          1 «…С чего бы компании, которая даже располагается в другой стране, что-то подобное выполнять?…»

          Ровно по той причине, что предоставляет свой сервис в юрисдикции России.

          Точно также как российская компания предоставляющая сервис в США обязана выполнять DMCA

          2. «… Если захотите, то подозревать сможете всех подряд….»

          Учитывая обширные связи «либеральной оппозиции» с различными политическими структурами США и иных западных стран подозрения в подготовки к совершению целого ряда преступлений как то государственная измена, организация массовых беспорядков или насильственный захват власти не выглядят совсем уж не обоснованными.

          3. «…Это где? Как минимум МТС отказали, да и у кого требовать-то?….»

          МТС не имеет права разглашать подобные сведения — «кляп ордер».

          Разбираемся с законодательствам. Подобные ордера могут быть выданы в рамках полномочий органов власти которыми они наделены на основании ряда федеральных законов.

          Скорее всего ордер был выдан в рамках УПК и Закона О оперативно-розыскной деятельности или Закона О Федеральной службе безопасности (есть и иные варианты, но они маловероятны).

          Соответственно имеет смысл обращаться с заявлением:

          а) Руководство центра Э и МВД

          б) Центральный аппарат ФСБ

          в) Районная прокуратура (обжалование действий/бездействия со стороны полиции)

          г) Военная прокуратура обжалование действий/бездействия со стороны ФСБ)

          е) Собрав ответы — суд, заявление в рамках Закона Об обжаловании действий должностных лиц

          з) Совсем печальный вариант. В случае если дело дойдёт до конкретных обвинений, все материалы дела обвиняемому предоставляются перед их отправкой в прокуратуру.

          3. «…о есть, если взломать какой-нибудь Ваш аккаунт, но не затрагивать чужих, то мне тоже благодарность полагается…»

          Есть альтернативный вариант — ордер высылается в шарашку Дурова. Дуров будучи не сильно адекватным человеком его не выполняет а далее — блокировка всего Telegram в рамках обеспечительных мер….

          Аккуратное исполнение людьми своих обязанностей — IMHO заслуживает благодарности

          4. Государство НЕ владеет операторами связи

          Но любое лицо — юридическое или физическое обязано исполнять подобные требования.

          Вы имеете право не свидетельствовать против себя и ближайших родственников, но у юридических лиц родственников нет:-)

          • itjunky

            13.05.2016 at 17:16

            Уууууу, значит Обама завербовал Сердюкова, Лужкова, Васильеву, Чайку и этого с шубохранилищем? Может Обама им всем построил дворцы в кооперативе Озеро? Может быть это Обама себе 2 льярда евриков прогнал через офшоры Ролдугина? Может быть это загнивающий запад и пятая колонна ввели дополнительный налог на дороги, при том, что не отменён транспортный уже второй год и второй раз за год подняли акциз на бензин, который должен был полностью заместить транспортный налог? Может быть это обама по ночам нам в дорогах ямы делает? И раз так, то наверное Обаме я плачу налогов на 60 тыщ каждый месяц?

      • air88

        04.05.2016 at 16:02

        Поймите, спецслужбам не нужно включать переадресацию на номере телефона и через сорм читать смс с кодом — ибо при переадресации смс и будет поймана. А теперь по тексту и внимательно:
        «В 2:25 ночи отдел технологической безопасности МТС отключает мне сервис доставки SMS-сообщений.
        Через 15 минут, в 2:40, кто-то с Unix-консоли по IP-адресу 162.247.72.27 (это один из серверов анонимайзера Tor) отправил в Telegram запрос на авторизацию нового устройства с моим номером телефона.Мне было отправлено SMS с кодом, которое доставлено не было (сервис для меня отключен).» — Это же набор букв, если смс услуга отключена то до сорма смс каким волшебным образом дойдет? + При отключении какой либо услуги у оператора мтс прийдет смс информирующая. + По поводу юникс консоли это простите как определили? Телеграмм выдал юзерагент в котором написано линукс консоль?
        Тут какая то обширная попытка схватиться за те термины, что известны и выставить виновных, т.е. виновные уже определены и нужно лишь собрать умных слов (ага сорм может перехватывать смс значит это было фсб, свр и т.д.). Но поймите, для того чтобы получить доступ к чужой переписке не нужно иметь сорм, не нужно быть сотрудником силовых структур. Или вы реально думаете что эстонию, грузию и т.д. ломали силовые структуры? Складывается ощущение, что вы описываете лишь в удобном антиправительственном ключе.

        • eugene.lityushkin

          04.05.2016 at 17:31

          «…Это же набор букв, если смс услуга отключена то до сорма смс каким волшебным образом дойдет?…»

          Видимо имеется в виду запрет на доставку sms конкретному оконечному устройству.

          Понятно что сама sms будет доступна оператору на его оборудовании «в ядре сети»

          С замечаниями согласен — как минимум корявая терминология не позволяет точно понять что хотели сказать и приходится додумывать ситуацию.

      • itjunky

        13.05.2016 at 17:09

        О как интересно. Право личной переписки побоку значит? ФСБ оправдываться не обязано, а коммерческая компания темболее. А про права потребителей и их защиту то же не слышал никто видимо…

        ИМХО, у силовиков и так достаточно средств что бы делать расследования по закону, но они всёравно нарушают закон и будут это делать, если на них не будет оказываться никакого давления со стороны общества. И такие как Евгений, готовые смазать попку вазелином и лечь на животик получать удовольствие от фрикционных движений бабуина Кадырова, который уже завалил неугодного Немцова, а скоро ему скажут фас и на людей менее известных, вот весело то будет… Так что да, всё супер, все одиваем наручники и ходим строго вдоль стены, как бы чего не вышло и Обама нам террористов не подсунул.

  2. basker

    04.05.2016 at 18:38

    Пока операторы взаимодействуют по ОКС-7 перехватить СМС, прослушать разговор, определить местонахождение жертвы можно за вменяемые деньги. Лишь бы стоила шкурка выделки. Для привата существует Secret chat.

  3. pogar

    04.05.2016 at 19:43

    пашка посыпался..

  4. h0lera

    04.05.2016 at 19:55

    просто пендосу нежен пиар. сделал бы QR код как в whatsapp и не вонял бы лошара.

Оставить мнение