Доступ к аккаунту в Telegram: мифы, риски и реальность

Потеря доступа к аккаунту Telegram может произойти по разным причинам: блокировка из-за нарушений правил вендора, фишинг, неудачное удаление данных. Повторная регистрация «с нуля» приводит к потере контента. Чтобы избегать таких неприятных ситуаций, важно придерживаться определённых правил.

 

 

 

 

 

 

1. 1. Введение
2. 2. Мифы и заблуждения по восстановлению удалённого аккаунта Telegram
   
   1. 2.1. Миф первый: Аккаунт пользователя в Telegram можно восстановить после удаления
   2. 2.2. Миф 2: Служба поддержки может восстановить удалённый аккаунт за деньги
   3. 2.3. Миф 3: Путаница с восстановлением доступа к аккаунту через номер телефона
   4. 2.4. Миф 4: Telegram хранит резервные копии
3. 3. Как «не подарить» свой Telegram-аккаунт злоумышленнику?
4. 4. Как не попасть под блокировку аккаунта в Telegram
5. 5. Облачное хранилище Telegram
6. 6. Выводы

Введение

Если при работе с социальной сетью возникли проблемы, то в Telegram можно легко удалить аккаунт пользователя, а затем зарегистрировать его заново «с нуля».

Желание сделать это может возникнуть по разным причинам. Например, в ленте появился контент, который владелец хочет удалить; аккаунт «засветился» спамерам, которые мешают пользоваться им. Или может возникнуть ситуация, что вендор автоматически заблокирует по какой-то причине доступ к аккаунту его владельцу.

Возможна и такая причина: у владельца может возникнуть по каким-то причинам желание исчезнуть из социальной сети на некоторое время, а для этого ему надо закрыть свой аккаунт, гарантируя, что в его отсутствие никто не сможет постить материалы от имени законного владельца.

При бумажном документообороте подобные действия, связанные с внесением посторонним лицом ложных сведений или исправлений, искажающих действительное содержание документа, проработаны в законодательстве. Это называют служебным подлогом. В то же время в онлайне подобная ответственность размыта, при этом репутационные риски высоки. Если посторонний будет постить от чужого имени, то для привлечения его к ответственности потребуется предоставить доказательства, что новый контент носил мошеннический характер. Просто доказать факт вторжения и выполнения операций от чужого имени трудно.

Отметим также, что риски не ограничиваются только злонамеренным постингом от чужого имени. Злоумышленник может сделать публичной частную переписку владельца аккаунта с отдельными пользователями. Это не будет подлогом, но не всегда такой шаг выглядит как безобидный.

Формально операция «перезагрузки» кажется простой и очевидной, но на этом пути могут возникнуть сложности. Допустим, вы решили удалить все данные из переписки. Но хранение информации в Telegram является распределённым. Равнозначно ли удаление аккаунта физическому удалению всей информации? Есть ли гарантия, что не появится двойник после временного ухода? Ведь данные продолжают участвовать в процессе резервирования, поэтому их физическое удаление не происходит мгновенно, как логическое.

Мифы и заблуждения по восстановлению удалённого аккаунта Telegram

В интернете ходит немало слухов и заблуждений о существующих возможностях при восстановлении удалённого профиля пользователя Telegram. Назовём некоторые из основных мифов и укажем, как можно избежать разочарований.

 

Рисунок 1. Мифы и реальность удаления аккаунта в Telegram

 

Миф первый: Аккаунт пользователя в Telegram можно восстановить после удаления

На самом деле, если удалить аккаунт пользователя в сети Telegram, это будет окончательным и необратимым действием для него. Вендор утверждает, что вся переписка, контакты и настройки исчезнут навсегда.

Так ли это? Конечно, нет. Даже если логически данные удалены, физически они продолжают существовать ещё какое-то время. Поэтому получить доступ к удалённым данным несомненно можно. На это указывает архитектура хранения данных в мессенджере, где работают механизмы облачного резервного копирования. Формально риск доступа к удалённым данным отсутствует.

Миф 2: Служба поддержки может восстановить удалённый аккаунт за деньги

Официально Telegram не предоставляет пользователям возможности восстановления удалённого профиля. Теоретически можно считать, что такое возможно, но обращение в службу поддержки не изменит ситуацию. Telegram практически не предоставляет оперативной поддержки для обычных пользователей. Эта служба представлена прежде всего ботом @SpamBot и e-mail адресом appeals@telegram.org (для обжалования ограничений в Telegram), но, по оценкам пользователей, ответа можно ждать неделями или не получить вовсе.

Миф 3: Путаница с восстановлением доступа к аккаунту через номер телефона

Хотя формально номер аккаунта в Telegram строго привязан к номеру телефона, восстановление аккаунта в базе пользователей Telegram по прежнему номеру не означает возврата владельцу контента из ранее удалённого аккаунта. Если эти данные были удалены, то это произошло безвозвратно, утверждают в Telegram. Путаница возникает из-за того, что управление активными сессиями, похоже, работает автономно от управления аккаунтом. Поэтому открытые сессии прерываются по time-out. Таковы особенности архитектуры Telegram.

Миф 4: Telegram хранит резервные копии

Согласно информации от вендора, Telegram не хранит у себя резервных копий пользовательских данных в целях их безопасности. Можно ли верить этому? Оценка архитектуры решения позволяет предположить, что безопасность в Telegram выстроена вокруг защиты механизмов обработки текущих (real-time) данных. Это официальная позиция вендора.

В то же время поддержка механизмов облачного резервирования автоматически указывает на возможность восстановления данных. Т. е., по сути, резервных копий нет, но есть распределённые резервные копии данных.

Как «не подарить» свой Telegram-аккаунт злоумышленнику?

Перейдём от мифов к реальности. Недавно в пользовательских чатах прошло сообщение, что в Telegram возможна кража учётных данных пользователя (например, через фишинг). Причём злоумышленник умудряется открыть собственную активную сессию от имени реального владельца. После этого он якобы может публиковать посты от его имени, что вряд ли кому-то понравится. Возможно ли такое?

Можно предположить, что такое возможно при отключённой проверке 2FA, когда для входа в аккаунт достаточно правильно указать логин и пароль. Telegram может оповестить владельца об этом (а может и нет). Но в любом случае для владельца реально упустить факт незаконного подключения.

Авторы неподтверждённого сообщения заявляют, что проблема не решена со стороны Telegram до сих пор. Инцидент может привести к временному захвату аккаунта в результате фишинга. Может сработать автоматическая блокировка, но лишь в течение 24 часов. Весь промежуточный период аккаунт управляется злоумышленником.

Суть взлома состоит в том, что преступнику надо открыть в Telegram активную сессию для чужого аккаунта. Это можно сделать якобы как через Web/браузер, так и через Desktop/приложение.

Узнав о проблеме, законный владелец даже при заданном пароле 2FA может восстановить свой монопольный доступ не ранее, чем через 24 часа. Всё это время активная сессия злоумышленника якобы остаётся валидной, и Telegram не предоставляет возможности законному владельцу принудительно сбросить все активные сессии.

Напомним, что для восстановления пароля при включённой поддержке 2FA в Telegram предусмотрены 3 варианта действий:

• прямое восстановление для активных сессий (logged-in sessions). В случае инициализации процесса перезадания пароля (password reset) через открытую сессию (например, мошенником) на сервере Telegram запускается 7-дневный отсчёт, в течении которого процесс может быть прерван;
• восстановление через e-mail для любых активных или открытых (logged-in / not logged-in) сессий;
• удаление аккаунта (если не удаётся открыть активную сессию (Not logged-in sessions).

Добавим, что для каждого аккаунта задан максимальный период отсутствия активности (от 1 месяца до 2 лет). Если за это время не было открыто ни одной активной сессии, то запускается механизм полного удаления аккаунта.

В логике Telegram критически важные действия, связанные с безопасностью (завершение сессии, удаление аккаунта, подтверждение изменений) должны получить подтверждение изнутри системы. Если за злоумышленником остаётся активной открытая сессия, то даже включение 2FA законным владельцем не аннулирует уже открытые сессии в течение 24 часов.

В результате существования такой логики сценарий запуска необратимой блокировки отсутствует. Для немедленного восстановления монопольного доступа к аккаунту недостаточно подтвердить номер телефона, зарегистрированного для аккаунта, и включить 2FA. Причиной конфликта является отсутствие правила в механизме восстановления доступа, которое даёт приоритет подтверждённому владельцу перед владельцами активных сессий.

Очевидно, что данная ситуация не является массовой. Её можно реализовать только в случае квалифицированного, целенаправленного фишинга.

Согласно информации, описание этой проблемы уже занесено в список багов Telegram. Однако убедиться в этом мы не смогли, потому что Telegram не позволяет прочитать описание проблемы в своей базе.

 

Рисунок 2. Ответ Telegram-бота по заявке об ошибке

 

Как не попасть под блокировку аккаунта в Telegram

При использовании Telegram пользователи могут столкнуться с сообщением «Этот номер телефона заблокирован» («This Phone Number is Banned»). Блокировка аккаунта Telegram возникает не так уж редко, и всегда это вызывает негативные эмоции. Чтобы избегать их, расскажем, что может стать причиной её появления.

 

Рисунок 3. Проблемы, ведущие к потере управления аккаунтом Telegram

 

Далее мы расскажем более подробно, какие действия пользователя могут стать причиной появления блокировки.

1. Нарушение правил сообщества

К списку признаков, которые Telegram считает запрещёнными, относятся:

• разжигание ненависти или преследование;
• распространение в публичных каналах контента откровенного характера;
• продажа незаконных товаров/услуг;
• выдача себя за других;
• использование ботов для противоправных действий.

2. Многократный ввод неверного пароля

Повторный (более 5 раз) ввод неверного пароля или кода подтверждения может активировать меры безопасности, приводящие к временной блокировке учётной записи.

3. Аномалии в использовании IP-адресов

Проверка IP-адреса проводится при входе в учётную запись. Telegram реагирует на подозрительно частые изменения IP-адреса, особенно если вход в учётную запись осуществляется в течение коротких промежутков времени из разных стран или регионов. К такой проблеме приводит, например, включение/отключение VPN. Отметим также, что активность может интерпретироваться как подозрительная также при использовании IP-адреса, который ранее уже попадал под блокировку.

4. Усложнение процедуры регистрации

Самый правильный способ для регистрации аккаунта в Telegram — делать её с телефона (к которому будет привязан аккаунт), а не с настольного компьютера. Но регистрация — это разовая процедура. Многие проходили её давно и с настольной версии Telegram. Теперь это постоянно усложняет алгоритм проверки. К тому же номер или модель телефона меняются много раз за годы, что ещё больше усложняет правила проверки.

Особую боль для Telegram представляет ситуация, когда пользователь пытается провести регистрацию для нескольких аккаунтов по одному номеру телефона. Наличие нескольких аккаунтов, привязанных к одному устройству или IP-адресу, подталкивает систему безопасности Telegram к блокировке.

5. Использование виртуальных номеров VoIP

Ещё один вариант «боли» — регистрация аккаунта Telegram на виртуальные номера VoIP. Нередко мессенджер сразу блокирует такие аккаунты по следующим причинам:

• номера VoIP часто используют спамеры;
• Telegram сверяет источник предоставления виртуального номера с собственным списком разрешённых поставщиков;
• некоторые номера VoIP не могут надёжно получать SMS-сообщения для подтверждения 2FA.

Правила обработки аккаунтов для разных стран отличаются.

Для отдельных регионов Telegram допускает регистрацию аккаунтов на VoIP-номера. Такие сервисы предлагают службы MobileSMS.io, Calilio, CallHippo, Receive SMS Free и др. Это может пригодиться, когда нужно иметь несколько аккаунтов в системе.

6. Подозрительные расхождения привязки текущего IP-адреса и номера телефона

Если при регистрации аккаунта в Telegram использовать телефонный номер оператора, подключившись через иностранный IP-адрес (например, через VPN), то Telegram помечает этот аккаунт как подозрительный. Аналогичная реакция возникнет, если попытаться зарегистрироваться с российского номера, находящегося в роуминге (используя IP-адрес, скажем, Германии). Если к этому номеру ранее был привязан валидный аккаунт, то в таком случае тоже может возникнуть блокировка.

Чтобы снизить риск появления блокировки, при регистрации нового аккаунта из-за границы лучше использовать VPN с выходом через страну, где была выпущена SIM-карта.

7. Ограничения по странам

В некоторых странах Telegram вводит дополнительные ограничения на доступ к аккаунтам по политическим или нормативным причинам. Поэтому пользователи из этих регионов чаще подвергаются блокировке, чем в других странах. По неофициальной статистике, к числу таких стран относятся Китай, Иран, Россия.

Облачное хранилище Telegram

Из приведённого материала может показаться, что проблема доступа связана с нарушением коммуникаций в чатах и потерей контактов. Но это далеко не всё, что оказывается под угрозой. Те, кто изучают возможности Telegram шире, знают, что на этой платформе активные пользователи развивают собственные бизнес-коммуникации с клиентами (боты), проводят маркетинговые кампании, создают витрины данных и даже используют мессенджер как персональное хранилище своих данных.

В отличие от типовых облачных хранилищ (например, Google Drive), где предоставляются выделенные сервисы для различных типов облачных данных, всё взаимодействие с облачным хранилищем Telegram выстроено через единственный интерфейс. Он хорошо знаком пользователям мессенджера, но одновременно может использоваться и для доступа к персональному облачному хранилищу.

Существует 3 способа использования собственного облака в Telegram:

1. Через привычную ленту сообщений. Это тот самый способ общения в чатах, который используют большинство пользователей.
2. Через персональный бот. Наберите в поисковой строке Telegram слово Botfather, Выберите первый элемент в списке и нажмите на «Start». В ответ будет запущен одноимённый бот, который сразу покажет список доступных команд. Например, с помощью команды ‘/newbot’ можно создать собственного бота. Как пользоваться ботами, а также описание их API доступно описано.
3. Через собственный канал Private Channel.

Нажмите на кнопку New message и выберите New Channel. Теперь можно задать имя и описание, выбрать вариант Private Channel. Только для личного доступа к этим данным достаточно оставить список контактов пустым (там будет указан только владелец).

 

Рисунок 4. Telegram позволяет выстроить онлайн-бизнес компании через бот-генерацию Botfather

 

Теперь в ленте появился выход на собственное облачное хранилище данных, где можно сохранять неограниченный объём данных (файлы не больше 2 Гбайт).

 

Рисунок 5. Создание закрытого частного облачного хранилища в Telegram неограниченного размера

 

Если подытожить, потеря доступа к аккаунту закроет и эти удобные инструменты.

Выводы

Telegram имеет развитый механизм контроля доступа к аккаунтам и предоставляет средства верификации их законного владения. Это создаёт препятствия для мошенников, поэтому при работе с Telegram важно учитывать определённые правила, чтобы не подвергаться риску ошибочной автоматической блокировки со стороны сервера.

По слухам, в работе механизма защиты аккаунтов Telegram могут возникать сложные блокировки, которые пока не имеют безопасного решения для легального пользователя. Они могут приводить не только к временной потере доступа к аккаунту для законного владельца, но и вызывать ситуации, когда злоумышленник может на протяжении некоторого времени (до 24 часов) выполнять сомнительные действия, если ему удалось «похитить» активную сессию.

Проблема особенно критична, если Telegram используется как персональное облачное хранилище данных или как онлайн-представительство бизнеса компании.