Сегодня ночью взломали телеграм у Албурова и Козловского, подключились еще одним клиентом к аккунту и, скорее всего, выкачали логи: https://meduza.io/news/2016/04/29/aktivisty-oppozitsii-pozhalovalis-na-vzlom-telegram-s-odnogo-ip-adresa
И я пока не понимаю, как это сделали, и вот почему.
Авторизация дополнительного клиента в telegram-аккаунте происходит так: сначала отправляется сообщение с кодом в существующие сессии (подключенные к аккаунту клиенты). Потом, через некоторое время, есть возможность запросить код по смс.
Для меня остаётся загадкой, почему нет кода в telegram, почему нет дублирующей смс на телефоне.
Объединяющие признаки у обоих:
1. Оператор — МТС.
2. Не была включена двухфакторная авторизация (пароль).
И нет, это не тот случай с самым популярным способом, когда делается замена сим-карты в офисе с разнообразными ухищрениями в виде "своих "сотрудников, поддельной доверенности и т.д., потому что сим-карты настоящих владельцев исправно функционируют.
Исходя из этого, я пока вижу два варианта с вероятностью примерно 50/50:
1. Нашли дырку в sms-шлюзе МТС и перехватили сообщение. Этот вариант не отвечает на вопрос, почему не пришло первое сообщение в телеграм, но допустим, это как-то обошли, используя Telegram API.
2. Дырка в самом Telegram, в результате которой получилось обойти первый этап авторизации.
В любом случае, Telegram уже запросил информацию у владельцев взломанных аккаунтов и начал разбираться в ситуации, поэтому ждём официальных результатов внутреннего расследования.
И я пока не понимаю, как это сделали, и вот почему.
Авторизация дополнительного клиента в telegram-аккаунте происходит так: сначала отправляется сообщение с кодом в существующие сессии (подключенные к аккаунту клиенты). Потом, через некоторое время, есть возможность запросить код по смс.
Для меня остаётся загадкой, почему нет кода в telegram, почему нет дублирующей смс на телефоне.
Объединяющие признаки у обоих:
1. Оператор — МТС.
2. Не была включена двухфакторная авторизация (пароль).
И нет, это не тот случай с самым популярным способом, когда делается замена сим-карты в офисе с разнообразными ухищрениями в виде "своих "сотрудников, поддельной доверенности и т.д., потому что сим-карты настоящих владельцев исправно функционируют.
Исходя из этого, я пока вижу два варианта с вероятностью примерно 50/50:
1. Нашли дырку в sms-шлюзе МТС и перехватили сообщение. Этот вариант не отвечает на вопрос, почему не пришло первое сообщение в телеграм, но допустим, это как-то обошли, используя Telegram API.
2. Дырка в самом Telegram, в результате которой получилось обойти первый этап авторизации.
В любом случае, Telegram уже запросил информацию у владельцев взломанных аккаунтов и начал разбираться в ситуации, поэтому ждём официальных результатов внутреннего расследования.
https://tjournal.ru/27313-oppozicionnie-aktivisti-pozhalovalis-na-udalyonnii-vzlom-akkauntov-v-telegram
> В разговоре с TJ Павел Дуров также предположил, что вход мог произойти через создание дубликата SIM-карты по поддельным паспортным данным, но пообещал уточнить детали этого случая позднее.
Понятия "дубликат" SIM-карты в РФ официально нет.
SIM-карты только меняют по просьбе, т.е. старая перестаёт работать, и взамен неё выдаётся нвая.
Но это не тот случай, т.к. основная SIM-карта работает.
Плюс, напомню, код всегда сначала приходит в Telegram.
Ну т.е. Дуров сам пока не в курсе.
Ждём разбора.
> В разговоре с TJ Павел Дуров также предположил, что вход мог произойти через создание дубликата SIM-карты по поддельным паспортным данным, но пообещал уточнить детали этого случая позднее.
Понятия "дубликат" SIM-карты в РФ официально нет.
SIM-карты только меняют по просьбе, т.е. старая перестаёт работать, и взамен неё выдаётся нвая.
Но это не тот случай, т.к. основная SIM-карта работает.
Плюс, напомню, код всегда сначала приходит в Telegram.
Ну т.е. Дуров сам пока не в курсе.
Ждём разбора.
TJ
Оппозиционные активисты пожаловались на удалённый взлом аккаунтов в Telegram — Офтоп на TJ
Сотрудник Фонда борьбы с коррупцией Георгий Албуров и директор НКО «Образ будущего» Олег Козловский заявили, что ночью 29 апреля неизвестные получили доступ к их аккаунтам в мессенджере Telegram. Согласно сообщению, полученному от Telegram, вход произошёл…
Forwarded from Volunteer Support
Здравствуйте Георг. Наши специалисты исследовали ваш случай и вот что узнали:
Вход бы осуществлён через код, отправленный в СМС на ваш номер. Поскольку двухфакторная авторизация не была включена, этого было достаточно чтобы войти.
Однако от МТС в систему потом пришёл ответ, что СМС не было доставлено адресату. (Такое может случаться и в штатном режиме, но учитывая ситуацию, подозрительно.)
Поддержка МТС сообщила, что сообщение не было Вам доставлено по причине того что для Вашего аккаунта в тот момент был отключён сервис СМС. ("Не доставлено, т.к. у получателя не был подключён сервис приема/передачи коротких сообщений.")
Если вы не отключали сервис СМС, возможно, стоит узнать у МТС как это получилось.
На настоящий момент, настоятельно рекомендуем включить в настройках двухфакторную авторизацию, чтобы использовать для авторизации не только код, но и пароль. Settings – Privacy & Security – 2-Step Verification.
Вход бы осуществлён через код, отправленный в СМС на ваш номер. Поскольку двухфакторная авторизация не была включена, этого было достаточно чтобы войти.
Однако от МТС в систему потом пришёл ответ, что СМС не было доставлено адресату. (Такое может случаться и в штатном режиме, но учитывая ситуацию, подозрительно.)
Поддержка МТС сообщила, что сообщение не было Вам доставлено по причине того что для Вашего аккаунта в тот момент был отключён сервис СМС. ("Не доставлено, т.к. у получателя не был подключён сервис приема/передачи коротких сообщений.")
Если вы не отключали сервис СМС, возможно, стоит узнать у МТС как это получилось.
На настоящий момент, настоятельно рекомендуем включить в настройках двухфакторную авторизацию, чтобы использовать для авторизации не только код, но и пароль. Settings – Privacy & Security – 2-Step Verification.
Объясняю, что это значит.
ФСБ, совместно с МТС, устраивает спланированную акцию, в рамках которой выключает приём СМС на SIM-карте в телефоне Албурова. После этого хакеры запрашивают код и получают его либо на второй SIM-карте в ФСБ (дубляжи SIM-карт всех известных политических активистов у них есть), либо непосредственно на SMS-шлюзе МТС (что вероятнее), после чего обратно включает получение SMS на SIM хозяина.
Вот такая штука произошла. Надо сказать, я удивлён. Ну т.е. я предполагаю, что они будут делать и не такое, но не сейчас, когда всё более-менее тихо и спокойно, никаких больших протестных акций не планируется и никакая революция не происходит.
Остаётся непонятным только то, почему первое сообщение с кодом, которое обязательно приходит сначала в телеграм-клиент, не пришло. Впрочем, его вполне могли удалить хакеры, после того, как получили доступ к аккаунту.
ФСБ, совместно с МТС, устраивает спланированную акцию, в рамках которой выключает приём СМС на SIM-карте в телефоне Албурова. После этого хакеры запрашивают код и получают его либо на второй SIM-карте в ФСБ (дубляжи SIM-карт всех известных политических активистов у них есть), либо непосредственно на SMS-шлюзе МТС (что вероятнее), после чего обратно включает получение SMS на SIM хозяина.
Вот такая штука произошла. Надо сказать, я удивлён. Ну т.е. я предполагаю, что они будут делать и не такое, но не сейчас, когда всё более-менее тихо и спокойно, никаких больших протестных акций не планируется и никакая революция не происходит.
Остаётся непонятным только то, почему первое сообщение с кодом, которое обязательно приходит сначала в телеграм-клиент, не пришло. Впрочем, его вполне могли удалить хакеры, после того, как получили доступ к аккаунту.
Подтвердилось моё предположение о том, что первое сообщение с кодом авторизации удалили хакеры, а сообщение о присоединении нового устройства отзывается с него (но сохранятся на других):
Forwarded from Georgy Alburov
А мне должен был прийти пароль сначала в самом телеграме? А то его нету
Forwarded from Volunteer Support
Приветствую.
Скорее всего пароль пришел, но был удален злоумышленниками сразу после входа. Благодаря синхронизации он удалился на всех устройствах.
То же самое произошло с уведомлением — если сообщение будет прочитано с другого устройства, оно отзывается.
Скорее всего пароль пришел, но был удален злоумышленниками сразу после входа. Благодаря синхронизации он удалился на всех устройствах.
То же самое произошло с уведомлением — если сообщение будет прочитано с другого устройства, оно отзывается.
Forwarded from Georgy Alburov
Как получилось, что сообщение с паролем не осталось, а сообщение с информацией о входе осталось? Забыли удалить, или не стали?
Forwarded from Volunteer Support
А вот сообщение о входе не отправляется на то устройство, вход с которого был выполнен. Для них этого сообщения просто не существовало.
По взлому аккаунтов TG: интересно, что техподдержка TG говорит, что HLR МТС ответил именно "Teleservice is not provisioned", что описывается, как "message is rejected because the recipient MS has no SMS subscription", т.е. SMS должна была "дропнуться" и не дойти до SMSC. Подробнее это описывается в спецификации GSM 09.02, которую я сейчас буду читать. Тогда, выходит, что SMS перехватили именно на агрегаторе (название Жора уже запросил у ТП TG), потому что в этом случае сообщение не сохраняется в SMS-центре оператора и не доходит до абонента, что отменяет перехват на СОРМ. Конечно, всё это не отменяет абсолютно незаконного отключения SMS МТС'ом. Еще непонятно, почему СМС в итоге доставили, но это можно списать на повторные попытки агрегатора доставить СМС.
Если кто-то хорошо знает GSM, или знает того, кто его знает и готов подсказать :), то напишите мне в личку, пожалуйста (@unknownerror). Это очень поможет
Ну а пока буду изучать вот эту самую спеку GSM 09.02 на 747 страниц: http://www.etsi.org/deliver/etsi_gts/09/0902/05.03.00_60/gsmts_0902v050300p.pdf
То еще чтиво на ночь :)
То еще чтиво на ночь :)
Схема примерно такая (очень утрированно):
Сначала SMS поступает на SMSC оператора. Дальше, сообщение уходит "фейковому" коммутатору конкретной сети (в данном случае, МТС), который нужен для того, чтобы фильтровать на нём спам. Все сообщения с этого коммутатора СОРМ'ятся.
Вот на этом "фейковом" коммутаторе, как раз, происходит отказ доставить СМС, так как сервис не подключен.
Таким образом, СМС забрали либо с помощью СОРМ с SMSC или коммутатора, либо, что менее вероятно, у агрегатора, через который Telegram отправляет сообщения.
Сначала SMS поступает на SMSC оператора. Дальше, сообщение уходит "фейковому" коммутатору конкретной сети (в данном случае, МТС), который нужен для того, чтобы фильтровать на нём спам. Все сообщения с этого коммутатора СОРМ'ятся.
Вот на этом "фейковом" коммутаторе, как раз, происходит отказ доставить СМС, так как сервис не подключен.
Таким образом, СМС забрали либо с помощью СОРМ с SMSC или коммутатора, либо, что менее вероятно, у агрегатора, через который Telegram отправляет сообщения.
На это "опровержение" МТС уже есть неопровержимые доказательства, потому что МТС — феерические пиздоболы :)
https://meduza.io/news/2016/04/29/mts-oproverg-tselenapravlennoe-otklyuchenie-sms-oppozitsioneram-vo-vremya-vzloma-telegram
https://meduza.io/news/2016/04/29/mts-oproverg-tselenapravlennoe-otklyuchenie-sms-oppozitsioneram-vo-vremya-vzloma-telegram
Meduza
МТС опроверг «целенаправленное» отключение SMS оппозиционерам во время взлома Telegram
Сотрудник МТС не отключал SMS-сервис в SIM-карте оппозиционного активиста Олега Козловского, чей аккаунт в Telegram был взломан злоумышленниками. Об этом «Медузе» заявил пресс-секретарь группы МТС Дмитрий Солодовников.
Дуров заявил о причастности спецслужб ко взлому Telegram оппозиционеров
http://www.rbc.ru/politics/02/05/2016/57278bc29a7947849edc8a53
http://www.rbc.ru/politics/02/05/2016/57278bc29a7947849edc8a53
РБК
Дуров заявил о причастности спецслужб ко взлому Telegram оппозиционеров
Ко взлому Telegram активиста Олега Козловского и сотрудника ФБК Георгия Албурова, «судя по всему», причастны российские спецслужбы, заявил основатель мессенджера Павел Дуров