igor (ico) wrote,
igor
ico

о защищенности

Албуров рассказал Дождю, что в ночь на 29 апреля его аккаунт в телеграме был взломан. Он узнал об этом из сообщения, которое прислала ему техническая поддержка мессенджера. В нем говорилось, что вход в его аккаунт был выполнен с IP-адреса, зарегистрированного в Нью-Йорке.

Олег Козловский в своем фейсбуке сообщил, что ночью ему пришло оповещение об отключении сервиса доставки SMS-сообщений. Сообщение пришло от отдела технической безопастности его оператора МТС. После этого, через браузер-анонимайзер Tor неизвестный IP-адрес запросил вход в телеграм. Через несколько часов технический отдел, по словам Козловского, вновь включил сервис SMS- сообщений.
«Наши аккаунты взломали, и взломали их одни и те же люди. Я написал в поддержку Telegram, мне там сообщили, что кто-то запросил вход в мой аккаунт. Они прислали сообщение с кодом, но оно не дошло до меня. МТС им сообщил, что у меня отключена возможность получать сообщения. То есть эти люди, которые это организовали, они предварительно отключили возможность получать сообщения», — рассказал Албуров.

По словам сотрудника ФБК, хакеры перехватили код для доступа в его аккаунт через SMS и вошли в его аккаунт через «специальный консольный клиент, который позволяет одной командой выкачать все логи».

Козловский рассказал, что МТС отказался назвать ему причину отключения сервиса SMS-сообщений.


fr. https://tvrain.ru/news/telegram-408460/

Если в схеме авторизации есть email или телефонный номер или еще_что_внешнее_вне_пользовательского_доступа, то по-сути вся авторизация (и весь механизм защиты) опирается не на само приложение, а на внешние механизмы проверки подлинности.

То есть тот же "телеграм" (или гугл или еще что подобное) может издавать 100500 маркетологических текстов, что "только у нас и только сейчсас" суперпупершифрование, крутые схемы защиты, etc,etc. Но на деле либо там пароль 12345, либо пароль от резервного емейла 12345, либо резервного емейла давно нет и можно его зарегистрировать. Ну или проделать известные действия с номером.
Вариантов - масса, начиная от исследования девайса, на котором происходит доступ и кончая внедрением бекдора в само приложение (были случаи).

И в этой связи вопли "ах, мы не можем получить доступ, поэтому сдайте нам мастер-ключи для дешифровки, вдруг понадобится", выглядят совсем великолепно.

ps: Ну и МТС красиво засветился.
Tags: it, privacy, security
Subscribe

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments