Российские специалисты умеют узнавать в Telegram номера телефонов пользователей, имея лишь никнейм. Это умение базируется на старой фиче мессенджера для поиска друзей и технологии Big Data (больших данных).
Ещё в прошлом году интернет взорвала сенсация: программисты Центра исследований легитимности и политического протеста нашли уязвимость, позволяющую деанонимизировать пользователей опального мессенджера Telegram. На основе этой бреши в системе, они разработали программу под названием «Криптоскан», позволяющую определить номер телефона пользователя по его юзернейму. «Криптоскан» направляет в Telegram запрос с указанием юзернейма интересующего человека, а мессенджер выдаёт остальные данные пользователя — его ID, номер телефона, имя и фамилию. Детали работы системы тогда не раскрывались, поэтому заявление о «деанонимизации» мессенджера вызвало яростные споры.
Однако, остыв, спорщики вспомнили, что ещё два года назад на специализированных ресурсах появилась инструкция по определению номера пользователя Telegram с помощью брутфорса в адресной книге. Метод прост и основан на простом переборе вариантов.
«Я понимаю, что это не совсем баг, а скорее фича, для поиска друзей, зарегистрированных в телеграме, но в телеграме нет настройки для отключения такого поиска меня по номеру телефона (и отображения моего номера, в профиле, даже если у кого-то мой номер есть в адресной книге) и добавлять, видимо, такую настройку не собираются, а это прямая угроза безопасности», — писал программист, исследовавший эту «дыру».
В начале нынешнего года в Центре исследований легитимности и политического протеста подтвердили догадку — «Криптоскан» действует по аналогичной методе.
«Первоначально мы сформировали базу данных Telegram-пользователей, которая, по сути, ничем не отличается от вашей телефонной книжки. Только телефонная книжка в вашем мобильном позволяет добавить не более 2–5 тысяч контактов, а у нас – примерно на 500 млн. номеров. Ребята собрали все мобильные номера, которые зарегистрированы в России (они хранятся в открытом доступе), добавили в свою «телефонную книжку» и начали проверять, кто из этих 500 млн. зарегистрирован в Telegram. Далее, когда надо установить пользователя, мы берем его «юзернейм» (логин), или его ID, или еще какие-то данные, и наша система выдает его мобильный телефон…», — рассказывает руководитель Центра Евгений Венедиктов.
Фактически это — технология Big Data (больших данных) в действии. И разработчики «Криптоскана» уже ищут пользователей по запросам МВД и ФСБ. © ГородБРЯНСК.Ru, 2019
