Уязвимости во встроенной функции импорта контактов мессенджера Telegram позволила злоумышленникам украсть персональные данные миллионов пользователей сервиса. Теперь эти данные «всплыли» в даркнете
Мессенджер Telegram известен строгими политиками конфиденциальности, но на этот раз сервис был использован для перехвата персональных данных нескольких миллионов пользователей.
Дамп украденных данных, опубликованный в форуме в даркнете, содержит телефонные номера и уникальные идентификаторы пользователей. Доподлинно неизвестно общее количество жертв утечки, но размер базы данных превышает 900 мегабайт.
40% действительных записей
Руководство Telegram подтвердило факт утечки. Данные были собраны за счет эксплуатации уязвимости в функции импорта контактов, которая вызывается при регистрации аккаунта.
Команда Telegram сообщает, что большая часть данных уже устарела. Согласно отчету, 84% записей в дампе были собраны до середины 2019 года. Telegram сообщает, что 60% записей уже неактуальны.
Кроме того, 70% перехваченных аккаунтов принадлежат пользователям из Ирана, остальные 30% - пользователям из России.
Очередная утечка
Это не первый случай утечки телефонных номеров пользователей Telegram. В августе 2019 года активисты из Гонконга сообщили об уязвимости, которая позволяла раскрыть телефонные номера. Данная уязвимость использовалась китайскими правоохранительными органами, чтобы отслеживать личность протестующих.
В ответ на эту уязвимость Telegram в сентябре 2019 года расширил средства обеспечения конфиденциальности пользователей. В частности, Telegram представил функцию, позволяющую пользователям полностью скрыть свой номер телефона.
Сообщение об утечке появилось вскоре после того, как российские власти отменили продолжавшуюся два года блокировку Telegram в стране. Впоследствии в некоторых отчетах отмечались некоторые аномалии в Telegram, которые якобы ставили под угрозу безопасность клиентов сервиса.