Российские программисты из Центра исследований легитимности и политического протеста разработали программу, позволяющую узнать номер телефона пользователя Telegram по его юзернейму в мессенджере. Как долго будет функционировать сервис, неизвестно. Потому как узнать реального абонента в самом защищенном мессенджере стало возможным благодаря найденной уязвимости.
Такая разработка несомненно пригодилась бы правоохранительным органам в установлении личности пользователей. Зная номер телефона, МВД и ФСБ могут запросить информацию у операторов сотовой связи для установления личности абонента.
Евгений Венедиктов, руководителя Центра исследований легитимности и политического протеста:
«Мы проанализировали API приложения и выяснили, что в мессенджере есть уязвимость, позволяющая раскрывать номера мобильных пользователей».
Разработчики назвали свою систему «Криптоскан». Подробности принципа работы системы специалисты центра не раскрывают. Со слов Венедиктова программа направляет по API в приложение Telegram некий запрос, содержащий юзернейм, а то в ответ выдает недостающие данные пользователя, такие как ID, номер телефона, фамилию и имя.
Как пишет газета «Известия», им удалось договориться с разработчиками на тестирование сервиса. Предоставив юзернейм одного из редакторов издания, «Криптоскан» действительно выдал реальный абонентский номер пользователя. При этом отмечается, что фамилия и имя не совпали. По мнению разработчиков, это достаточно распространенная ситуация, когда пользователи регистрируются в приложениях вводя не верные данные (псевдоним).
Таким образом, до сих пор считавшийся самым защищенным и анонимным мессенджер Павла Дурова перестает быть таковым.
Если разработчикам удастся поддерживать работу программы по определению номера пользователя, то у правоохранительных органов появится больше возможностей в оперативном поиске нарушителей закона. Однако, как известно, все IT-компании, как только узнают о выявленной уязвимости в их сервисах, сразу начинают "лотать" дыры и защищаться от хакеров и просто любопытных программистов.
Павел Дуров пока не прокомментировал ситуацию со взлома мессенджера. Впрочем, даже если некая уязвимость и существовала, теперь — после ее обнародования — компания немедленно сделает все, чтобы ее устранить. Так что не ясно, зачем создатели «Криптоскана» решили таким образом заявить о себе. Остается один вариант — это просто политический вброс с целью запугивания россиян. Так считает и управляющий партнер портала Fishki.net и обозреватель «Ъ FM» Михаил Гуревич:
«Бэкграунд у Венедиктова чисто политологический, он из Новгорода, начинал там в какой-то телекомпании, далее работал в так называемых ДНР-ЛНР, то есть никаких технологических разработок за ним не наблюдается, кроме анонса таковых. У пользователей должно возникнуть ощущение, что за ними все равно государство способно следить, и все заявления Дурова и команды Telegram, что они безопасны -- все так, а может быть, и не так. Подобные вбросы, безусловно, будут».
Напомним, что именно по причине отказа Павла Дурова предоставить переписку пользователей Telegram Таганский районный суд Москвы по иску Роскомнадзора постановил заблокировать мессенджер на территории России.
Спустя почти 4 месяца приложение мессенджера продолжает работать и по прежнему доступно в магазинах AppStore и Google Play.
