Вчера «Известия» сообщили, что российский «Центр исследований легитимности и политического протеста» создал программу для определения номера телефона пользователей Telegram по юзернейму. Со слов руководителя этого центра Евгения Венедиктова сообщалось, что программа «Криптоскан» направляет запрос, содержащий юзернейм, в Telegram, и приложение выдает недостающие данные пользователя — ID, номер телефона, фамилию и имя. Венедиктов утверждал, что «Центр исследований легитимности и политического протеста» уже начал искать пользователей по запросу МВД и ФСБ. The Village решил разобраться, какую угрозу для информационной безопасности пользователей Telegram может представлять эта программа, а заодно выяснил, чем еще успели прославиться ее создатели.

Текст

Елизавета Подколзина

Текст

Юлия Радкевич

Текст

Илья Гарькуша

Есть ли у Telegram проблема с деанонимизацией пользователей


Алексей Парфентьев

ведущий аналитик «СерчИнформ»

Я отношусь к этой новости скептически: API-интерфейс Telegram создан давно, хорошо описан и задокументирован. Там всегда были методы, позволяющие получать на запрос телефон, никнейм, имя или фамилию. Важно, что эти данные доступны по умолчанию, но их реально скрыть в настройках. Может ли «Центр исследований легитимности и политического протеста» получить закрытую информацию — очень сомневаюсь. Мы не нашли подтверждений тому, что анонимный номер выдается. Также мы пробовали зайти на сайт, но он недоступен. Так что связаться с Центром и задать вопросы нам не удалось.

На рынке не первый год есть специализированные корпоративные системы, которые могут перехватывать телеграм-трафик: тексты, файлы и звонки, если коммуникация ведется с ПК

Поражает масштаб раскрутки этой новости — она по факту и не новость. А действительно серьезные проблемы у мессенджеров не выходят за пределы специализированных СМИ или даже форумов. К примеру, пару лет назад специалисты ИБ компании CheckPoint нашли способ, позволяющий незаметно для владельца получать доступ к телеграм-переписке и даже отправлять сообщения от чужого имени. На рынке не первый год есть специализированные корпоративные системы, которые могут перехватывать телеграм-трафик: тексты, файлы и звонки, если коммуникация ведется с ПК.

Действия Центра не нарушают законодательство. По закону о регулировании деятельности сервисов обмена электронными сообщениями все мессенджеры должны быть привязаны к номеру телефона.


Антон Фишман

руководитель департамента системных решений Group-IB

Никакой новой уязвимости нет. Это некая недокументированная возможность, у программистов называемая «фича». О ней известно уже более двух лет, и те, кто додумался, как ей пользоваться, делают это давно и без проблем. Ее применение не является ошибкой разработчиков и не противоречит законодательству.

Для регистрации в мессенджере Telegram вы указываете свой телефон и выбираете себе никнейм. Последнее можно не делать, тогда к вам нельзя будет обратиться в чате и пользователи не смогут вас найти по никнейму. В любом случае Telegram попросит вас указать свое имя, и именно его будут видеть пользователи при переписке в чатах.

Если вы добавляете себе в телефонную книжку номер человека, который, как и вы, является пользователем Telegram, он тут же появляется у вас в мессенджере. В его профайле вы можете увидеть его ник и связать его с номером телефона и другой его информацией.

Однако речь не идет о том, что каждый из нас по нику может узнать номер. Для того, чтобы связать одно с другим, необходимо создать базу данных, которая и станет вашим связующим звеном. Различные аналитические и исследовательские агентства, компании, занимающиеся информационной безопасностью, и другие организации уже давно пользуются этой возможностью для установления контактов. Примитивно это выглядит так: берется несколько сим-карт, на них заводятся различные номера телефонов и методом брутфорса — то есть простого перебора номеров — обнаруживается соответствие номера телефона и ника в Telegram. Таким образом создается некая база данных, удобная для поиска: введя ник, можно получить номер телефона, введя номер телефона — найти ник.

Ранее, год или два назад, можно было просканировать фактически все пространство российских телефонов и, если такая задача стояла, получить все ники. Этим пользовались и кибербезопасники, и злоумышленники

Естественно, мессенджер вводит определенные правила и ограничения, чтобы пресечь попытки использовать свою платформу в сомнительных целях. Например, есть ограничения по поиску на один номер телефона, по добавлению больше определенного количества контактов и другие. Но эти правила вводились постепенно. Ранее, год или два назад, можно было просканировать фактически все пространство российских телефонов и, если такая задача стояла, получить все ники. Этим пользовались и кибербезопасники, и злоумышленники.

К сожалению, мы не видели продукта, о котором пишут сегодня СМИ, и допускаем, что это сделано в целях PR. Ясно одно: просканировать диапазон даже в один миллиард номеров по одной стране — не так сложно. Взять и сделать это по всем номерам телефонов во всех странах — уже серьезная задача. Те, кто имеют доступ к продукту, могут провести простой тест: если наше предположение о наличии базы контактов, которая и позволяет связать номера, верно, то вы не сможете найти по никнейму телефон человека, который зарегистрирован на зарубежный номер телефона.

Те, кому критично сохранить анонимность, как правило, пользуются анонимным сим-картами, которые можно приобрести в Darknet или попросту купить в других странах. А среднестатистический пользователь, который просто не хочет всем подряд показывать свой номер телефона, общается с другими такими же среднестатистическими пользователями, у которых доступа к подобным базам данных нет и идей насчет брутфорса — тоже.


Волонтеры Telegram

(служба поддержки мессенджера)

Что говорят в Telegram

Ваш номер скрыт. Собеседник видит его только в трех случаях:

— Если номер уже есть у него в телефонной книге.

— Если вы сами поделились номером с помощью кнопки «Отправить свой телефон».

— Если в вашей телефонной книге есть его номер и вы ему пишете — как если бы он получил от вас эсэмэску.

Во всех остальных случаях (например, если кто-то нашел вас через поиск или в групповом чате) пользователям не видно ваш номер.


Разработчики с элдэпээровским прошлым

Согласно базе данных «Картотека», под таким названием зарегистрировано два юридических лица: в 2014 году — автономная некоммерческая организация в Москве, а в 2016-м — ООО в Великом Новгороде. Учредитель обоих юрлиц — Евгений Венедиктов, в случае с ООО единственный. В АНО соучредителей всего четыре, в их число входили бывший координатор московского отделения ЛДПР Борис Чернышов и бывший кандидат в депутаты Мосгордумы от этой же партии Роман Протасов. Венедиктов, как писала в прошлом году «Новая газета», ранее занимал пост заместителя координатора московского отделения ЛДПР.

По данным «Новой газеты», Венедиктов начинал карьеру в Новгороде корреспондентом программы «Криминальная среда» телекомпании «Триада» и ездил в ДНР и ЛНР с гуманитарной помощью. На странице Венедиктова в Facebook сказано, что он окончил факультет социологии и политологии МГУ, работал репортером в телекомпании НТВ, был и.о. главного редактора «Первого антикоррупционного СМИ», а сейчас помимо своего центра руководит интернет-ресурсом dictator.today (информации о проекте на сайте нет, есть только форма для обратной связи с редакцией). В последней публикации на своей странице Венедиктов интересовался, где найти хорошего эдвайзера в блокчейн-проект, а в комментариях к посту рассказывал: «У нас два проекта на базе блокчейн. Один — без ICO, социальноориентированный гуманитарный проект. Второй — с ICO, маркировка продуктов питания».

Сайт Центра вчера в выдаче поисковых браузеров индексировался как небезопасный для пользователей, зайти туда можно было, только вручную поменяв настройки безопасности (сегодня он открывается без ограничений). Про «Криптоскан» информации не было, зато рекламировалась программа мониторинга экстремистского контента в соцсетях под названием «Демон Лапласа». В прошлогоднем интервью «Новой» Венедиктов утверждал: «„Демон Лапласа“ — это не стартап и не отработка грантов. Сумму, затраченную на создание, мы не считали и не даем по этому поводу отчет: мы не брали на создание программы ни у кого денег». По его словам, над «Демоном» — комплексом из 20 программ — в разное время в конце 2016 года трудились от двух до семи человек.

The Village удалось связаться с Венедиктовым вчера около 17:30. Он заявил, что «время уже позднее, весь день отвечал на звонки» и пообещал ответить на вопросы письменно — однако до момента публикации не ответил и на телефонные звонки больше не отвечал.