МТС сливает переписку спецслужбам. Telegram принимает меры

[dolboed]

Телеграм Сергея Пархоменко вчера взломали при деятельном содействии оператора МТС. Перехватили СМС-сообщение, необходимое для авторизации, потом залогинились и обнулили его историю. Глубже забраться не смогли, потому что Telegram ввёл такую систему авторизации, что просто по СМС её не поломать. Есть дополнительный шифр, который без владельца аккаунта не узнаётся. Этот шифр в МТС не знали, облом.

Это уже четвёртый аккаунт, угнанный за счёт содействия криминалу изнутри оператора МТС за последний месяц. По трём предыдущим случаям не было ни извинений, ни внутреннего расследования. Все уже выучили: МТС сливает переписку абонентов спецслужбам в штатном режиме. Там просто сидит специалист из ФСБ, которому для чтения чужих сообщений не нужно ни судебных решений, ни санкций прокуратуры. Он отслеживает СМС-переписку, иногда перехватывает управление номерами, иногда просто сливает сообщения в СМИ для публикации. Самая ржака — что СМИ, присосавшееся к перехватам ФСБ, продолжает называет себя «демократическим», хотя de facto оно является банальной гебешной подстилкой и сливным бачком спецслужб.

Понятно, что в теории, с точки зрения уязвимости и подконтрольности спецслужбам, все российские операторы в принципе одинаково уязвимы. Но так же понятно, что риски пользователей БиЛайна и МегаФона являются теоретическими, а переписку абонентов МТС спецслужбы сегодня получают и изучают раньше конечных адресатов. По-моему, это достаточно уважительная причина, чтобы перестать пользоваться сервисом МТС, если вы не хотите видеть свою переписку опубликованной ни у Габрелянова, ни у Доброхотова.

По поводу Telegram стоит уточнить, что меры там приняли безотлагательно. С сегодняшнего дня историю аккаунта, угнанного через СМС-перехват, потереть уже нельзя. Так что аккаунт Пархоменко был последним, с которым такая неприятность случилась. Это сейчас временный patch системы, в ответ на текущий кейс. А в течение ближайших дней выйдет обновление клиента, которое умеет различать инструкции законного владельца аккаунта и деструктивные проделки его взломщиков.

Конечно, жаль Павла Валерьевича Дурова, которому из-за этих проделок ФСБ приходится непрерывно патчить глобальную систему, где российские пользователи составляют от силы 2%. Одно утешение — что эти проделки МТС и чекистов способствуют совершенствованию алгоритмов защиты, которые потом пригодятся и турецким, и венесуэльским и сирийским пользователям Telegram. А однажды, не приведи Господь, помогут американцам, британцам и европейцам избежать неуместного интереса властей к их переписке.

Comments

[bcvfbk.livejournal.com]

да не поможет ничего, откуда такая наивность. У правительств огромные бюджеты и куча ученных

[vatoljich.livejournal.com]

Вам с Вашей верой во всемогущество правительства остаётся только начать жертвоприношения делать и молитвы творить в присутственных местах. Во славу чиновника.

[revliscap.livejournal.com]

ну демократическими сегодня себя называет кто попало, вот Турция из демократических соображений приостановила действия прав человека
скоро демократ будет ругательством. чем оно впрочем и было со времен Платона

[ouyep.livejournal.com]

Антон, американцы со всех месседжеров напрямую информацию собирают, что уж там какая-то смс-ка..
А мтс - упыри, они уже давно деньги пиздят у клиентов.

[ponaexali-tyt.livejournal.com]

Бери выше - американцы прямо из голов своих граждан читают, еще до того как граждане собрались сообщение отправить. Очень удобно - не надо взламывать отдельные мессенджеры.

[katin-andrey.livejournal.com]

Дело не в МТС, Яндексе и Габриелянове. Общество склонно к тоталитарному устройству государства, а с этим бороться сложнее, чем с "приходится непрерывно патчить глобальную систему".

[ouyep.livejournal.com]

Как же ты уже заебал со своими апокалиптическими стонами..

Словесная конструкция понравилась:

[hirurg-thegreat.livejournal.com]

"временный patch системы, в ответ на текущий кейс"

[nevermor16.livejournal.com]

Модно жеш.

[sergbalkov.livejournal.com]

не может быть, Дуров всё же научил ....грам отличать одну симку от другой.

[slon48.livejournal.com]

таки будете смеяться, но физически к симке телеграмм ни как не привязан, только к номеру.

[stupidbot.livejournal.com]

Вот кого-кого, а Дурова-то точно не жалко.
Никто не заставлял его с таким пафосом заявлять, что его мессенджер самый безопасный (в том числе за счет этого и получить ту базу пользователей, которую он имеет сейчас), и оставлять такие дыры.
Как минимум это некрасиво.

[dolboeb.livejournal.com]

Там есть объяснение, достаточно внятное, о праве владельца аккаунта его аннулировать.

[yurkennis.livejournal.com]

А где про это почитать подробнее? Ничего в официальных каналах Телеграмма не нахожу...

> По поводу Telegram стоит уточнить, что меры там приняли безотлагательно. С сегодняшнего дня историю аккаунта, угнанного через СМС-перехват, потереть уже нельзя. Так что аккаунт Пархоменко был последним, с которым такая неприятность случилась. Это сейчас временный patch системы, в ответ на текущий кейс. А в течение ближайших дней выйдет обновление клиента, которое умеет различать инструкции законного владельца аккаунта и деструктивные проделки его взломщиков.

[yurkennis.livejournal.com]

пока нашёл только у самого Пархоменко: https://www.facebook.com/serguei.parkhomenko/posts/10209834305963782?pnref=story

[congwangluobiji.livejournal.com]

Вообще-то, можно купить себе ствол. Но наличие ствола не означает, что его владелец стал более защищён от возможных рисков.

[slava68.livejournal.com]

ОПСОС может быть виноват только в том, что использует CCS7 взломать которую под силу 16 летним хацкерам :-)))

Вот тут немного подробностей:
https://meduza.io/feature/2016/06/07/my-vas-vnimatelno-slushaem

и тут:
https://habrahabr.ru/company/pt/blog/305472/

[rustler2000.livejournal.com]

Ага - осталось только в розетку провод воткнуть

[ignis-ru.livejournal.com]

Вижу только одно объяснение тому, что телеграм требует обязательной авторизации через телефон - подобный взлом не баг, а фича. Так что ничего стоящего упоминания не произошло.

И вообще, кому может прийти в голову, что система, требующая обязательной регистрации под настоящим именем и с использованием метода авторизации, который в принципе пользователю не подконтролен, может быть хоть сколько-то безопасной? Очевидно же, что тут фундаментальная дыра by design.

[4rex.livejournal.com]

дело в другом, только долбоебы дают свой номер контакту, остальные пользуются именами типа @xyivam

[old-extremist.livejournal.com]

Правильный вариант для авторов мессенжеров - отвязать их от смс, емейлов, телефонных номеров и прочих персональных данных. Полная анонимность и ключи только у самого пользователя.

[unhumandeus.livejournal.com]

Это еще и правильно с точки зрения судебных преследований - будет труднее доказывать "принадлежность" аккаунта. А сейчас - телефон твой? Получи и распишись.

[__z_z_z_z_z__ (from livejournal.com)]

грёбаные бендеровцы!

[ghalb.livejournal.com]

Зачем Telegram, когда есть tox.

[tipaa-kot.livejournal.com]

Я год ждал, чтобы его запилили для ведроида 5.1
Мне надо было кабанчиком искать терминал с 4етвёртой версией? Ну хуй с ним, допустим я ттекущим мобильным терминалом пару лет попользуюсь. А Вы bugtracker для четвёртого ведроида видели? Там поток тикетов как в мавзолей в лучшие годы. И видео обрывалось по функции random.
Понятно, что при "наличии отсутствия пропитанных шпал".
Понятно, что всё на энтузазизме.
Но уже на на комёты роботов закидывают, а с защитой жопа какая-то.

[djsvoloch.livejournal.com]

Фишка в том, что большинство не парится по этому поводу, потому что не делает ничего такого, что может заинтересовать спецслужбы. И призывы покинуть МТС тут не сработают. Не та проблема, чтобы менять оператора. Помнится, когда из пакета кабельных каналов Дом.ру убрал телеканал "Дождь" после известного опроса, некоторые особо возмущённые бросились отказываться от услуг Дом.ру, но столкнувшись с небольшими трудностями, решили остаться. Сразу стал понятен уровень возмущения.

[sekundator.livejournal.com]

э как хитро Дуров отмазался типа это не он сам сливает клиентов )))) это мол МТС виноват ))

[Иван Дорошенко (from livejournal.com)]

Для Дурова это отличная система тестирования для построения защищенного менеджера.
Защищенного в большей части именно от "систем".
Они ищут лазейки, Дуров прикрывает

[lepr.livejournal.com]

Антон, то есть если я переживаю за конфиденциальность — стоит менять МТС или это не поможет?

[hot-spell.livejournal.com]

Все мы давно "под колпаком". Если к кому-то не приехали, значит или вы "им" не нужны, или лень вами заниматься, ну... или вы один из "них")))
Возможно, за вами "приедут" позже. Хотя, говорят, что сегодня уже не "выезжают", смс отправят, куда и во сколько вам прийти))

[mayorgich.livejournal.com]

///Самая ржака — что СМИ, присосавшееся к перехватам ФСБ, продолжает называет себя «демократическим», хотя de facto оно является банальной гебешной подстилкой и сливным бачком спецслужб.

Самая ржака, что это пишет человек пиаривший "Анонимный интернационал б0лтай.орг" и пользовавшийся его материалами. Это тогда чья подстилка и сливной бачок?

[rm-chik.livejournal.com]

"SS7 перехват SMS", google it, дело не в Агентах Путина В МТС, а в генетической порочности межоператорского взаимодействия

[chek.livejournal.com]

ss7 только у мтс сломать можно? где остальные операторы?

[top-kreakl.livejournal.com]

Мтс дегенераты, заказали абсирание вас у лены Мурло, тупая пизда накакатала псто с "компроматом" из которого следует, что вы приличный человек

[polosatij.livejournal.com]

А по подробней можно? Ну ссылку там, к примеру...
Не все это мурло читают регулярно.

[kovudragon.livejournal.com]

"По поводу Telegram стоит уточнить, что меры там приняли безотлагательно. С сегодняшнего дня историю аккаунта, угнанного через СМС-перехват, потереть уже нельзя. Так что аккаунт Пархоменко был последним, с которым такая неприятность случилась."

Ничего подобного. Информацию об этой проблеме (возможность сбросить акк с двухфакторной авторизацией и выдать себя за владельца при доступе к СМС) передавали в ТГ неоднократно. Я сам через посредников Дурову также про это писал. Далее на гиктаймсе был большой пост на эту тему, где и решения были предложены. Дурову было пофиг. Только когда появилась публичная жертва он стал чесаться. Совершенно недопустимая практика для месседжера, который твердит о безопасности.

Вообще было бы неплохо, чтобы популярные блогеры популярные пнули ТГ за их отношение к безопасности. Проблемы в безопасности(особенно которые легко исправить) должны патчиться очень быстро, а не когда о них уже весь интернет знает. А как показывает практика - даже в этом случае ТГ на проблему не обращает внимание до первой очень известной жертвы.

[11110010.livejournal.com]

>меры там приняли безотлагательно
https://geektimes.ru/post/276238/ 2 месяца, Карл, ДВА МЕСЯЦА!
перефразируя пословицу, можно уехать из рашки, но рашка и её распиздяйство из тебя не уедет, так и про дурова

[kovudragon.livejournal.com]

Далеко не два месяца. Это стало известно гораздо раньше, но знающие люди в т.ч. и я не выносили это в паблик, а слали информацию в саппорт и лично Дурову. Ему было наплевать.
Потом кто-то не выдержал и решил-таки публично об этом крикнуть. Дурову опять было наплевать и на это. Только когда появилась известная жертва стал шевелиться.

ТОП: 20:20 (московское)

[magict30p.livejournal.com]

Вы попали в Т30P (http://www.t30p.ru) самых обсуждаемых тем в блогосфере.
Это Ваш 53-й ТОПовый пост в этом году.
Посмотреть статистику автора можно в карточке топблогера (http://rating.t30p.ru/?dolboeb.livejournal.com&p=tops).