Раскрытие 5 миллионов ссылок в приватные чаты Telegram и...

> Раскрытие 5 миллионов ссылок в приватные чаты Telegram

вот прям удивительно, чё это до телеграма докапывались тогда "отдай, да отдай, кровь из носу", если всё можно посмотреть и так? ))
или всё дело в том, что в телеграме далеко совсем не все обсуждения в публичных группах секретные, а по усмотрению и желанию пользователей в секретных чатах?

автор статьи уже получил свои 300 000 баксов за раскрытие уязвимости в телеграме? он опубликовал ту переписку, которую по условиям челенджа от телеграм нужно взломать?

> Он в конце приводит список, чего он получил от телеги - очень скромно и не за всё.

и это как раз вызывает очень большие сомнения. любую реальную уязвимость для защищённых чатов telegram можно продать за очень большие деньги. хоть самому телеграм, хоть спецслужбам, которым тоже очень сильно интересно. а в итоге просто некое нагромождение всякой псевдо-хакерской фигни на широкую публику. очевидно, чтобы просто подгадить репутации телеграм среди пользователей.

> Те же паблики через поисковики гуглятся, а не должны.

паблики на то и паблики, что паблики. public - публично.
речь за приватные секретные чаты.

> вижу ты поправился. так публичные чаты гуглятся или приватные?

А ты быстр :)
Да, не корректно выразился первый раз.
Гуглятся приватные и доступ к ним по ссылкам есть.
Вроде как уже закрыли и новые не попадают, но старые никуда не делись.

> Гуглятся приватные и доступ к ним по ссылкам есть.

например? паблики не предлагать.))
мне вот просто интересно, действительно кто-то думает, что если кто-то нашёл уязвимость к приватным секретным чатам, то он это не продаст любым заинтересованным лицам, а вывалит на всеобщий доступ? мне вот сдаётся, что это как раз после того, как Дуров отказался предоставить доступ, пошли такие набросы ))

> но если следовать логике автора заметки, что телеграм дырявый в плане защищенности, то все вопросы к нему должны быть сняты. заходи да читай что угодно. к чему требовать все эти ключи? ))

1. Telegram "по дизайну" дырявый в плане[censored] который могут произвести против любого админы сервера Telegram - т.е. любой сотрудник ЦРУ, придавивший яйца Паше Дурову, сможет читать вообще любую переписку кого угодно, ну и кроме того сам Паша Дуров такой человек что словаре при поиске по слову "мудак" должна показываться его фотография. Это не то что бы какой-то офигенный риск - но в принципе есть[censored] для мессенжеров,[censored] для видео и PGP для переписки, которые защищены именно криптографией а не пиаром.
2. в данном случае человек указывает что Telegram еще вдобавок раскрывает дофига информации не только админам сервиса Telegram, но и вообще произвольным людям на Интернете, не контролирующим сервера Telegram. От этого Telegram в теории должен был быть защищен, если бы у разработчиков руки росли не из жопы - ну вот человек наглядно демонстрирует что таки из жопы.

> ну вот человек наглядно демонстрирует что таки из жопы.

что он демонстрирует кроме как нагромождения псевдо-хакерского текста? сам проверь - создай свой приватный чат в телеграм и попробуй его взломать предложенными методами.

> Статья написана 29 марта, что несколько до очередных разборок.

да ладно? неужто 30 марта всё завертелось и вопрос встал впервые?

> А еще есть вариант, что такие набросы - часть пиара мессенджера, инициируемые самим телеграмом.

тогда все вопросы к топик-стартеру Lelik

>> 1. Telegram "по дизайну" дырявый в плане man in the middle attack, который могут произвести против любого [админы сервера Telegram]
> ты хотя бы FAQ telegram читал? защита от man in the middle там есть. она, да, требует некоторых отдельных усилий от пользователей. не совсем удобно. но более удобных способов удостовериться, что между собеседниками никто не вклинился пока не предложено.

Ты зря не обратил внимание на часть "админы сервера Telegram" и поэтому путаешь кислое с мягким: Telegram дает возможность защититься от перехвата сообщений твоим провайдером на стадии посылки сообщения, но он вообще в принципе не дает никаких гарантий безопастности при авторизации пользователся к серверу Telegram.
Т.е. если Инквизиционный Святназ РПЦ прижал Паше Дурову яйца и сказал «раб божий Паша, во имя Господа нашего:
- отруби сессию всех устройств пользователя "Пальтоконь"
- добавь к его учетке устройство РПЦ_ИНКВИЗИТОР_БОТ_31337 (не посылая при этом уведомление всем остальным устройствам)
- позволь устройству скачать контакт-лист Пальтоконя со списком всех богомерзких аметистов
- потом дай устройству передать шифрованное сообщение "верующим можно писать -тся как они хотят потому как на то воля божия"
- и после этого отключи устройство и переподключи все настояшие устройства пользователя без нотификации»
то протокол Telegram вообще совсем никак не запрещает серверу сделать такой финт ушами.
В отличие от например OTR или ZRTP, которые резко завопят если нечто подобное происходит.