Дыры в безопасности телеграм. Как тебя могут пробить и меры предосторожности⁠⁠

Все интересующиеся данным вопросом думаю помнят историю со слитыми базами данных телеграм. Там якобы некие организации парсили базу данных номеров путем банального перебора номеров в записных книжках, используя весьма идиотскую функцию телеги - показывать аккаунты, присутствующие в записных книжках.

База сейчас есть в открытом доступе и ее можно скачать и убедиться самому.
Актуальность базы примерно на осень 2019 года. Для пользователей России и стран СНГ.
Она содержит следующие строки данных:
ID - идентификатор аккаунта, который намертво к нему привязан и его невозможно изменить.

Номер телефона - самое неприятное палево, по которому можно вычислить личность участника. Даже, если вы сменили номер телефона - ваш старый номер телефона все равно остается в базе.
Никнейм - временный идентификатор, выполняющий роль ссылки на ваш аккаунт. Меняется в несколько кликов.
Также в базе есть другие строки, но они особой роли для нас не играют, поэтому их рассматривать не будем.

Сразу же после слива базы как грибы стали появляться сервисы для пробива по базе. В том числе телеграм боты.
Суть этих ботов была проста: ты вводишь какой-то из этих трех параметров (ID, номер, никнейм) и бот находит в базе совпадения и выдает недостающие строки.
Также ID можно было вычислить, переслав сообщение жертвы в данный бот, по которому он определял его ID.

Вот пример подобных ботов для пробива
@getmyid_bot (пробивает ID по пересланному сообщению)
@deanonym_bot (пробивает номер телефона по ID, используя ту самую слитую базу).
Иными словами, если ваш номер в базе, то нужно беречь ID как зеницу ока.

Собственно, как инфа о сливе начала распространяться, телеграм принял меры против этого.
Во-первых, всем было предложено сменить никнейм, если он ставился до осени 19 года.
Во-вторых, в настройках конфиденциальности появилась возможность запрещать находить номер телефона, если отсутствуют взаимные контакты.

В общем, предложили выкрутить настройки конфиденциальности на максимум, сменить никнейм и жить спокойно.

Но было бы слишком если так.

Недавно появились боты, которые дают возможность ID по никнейму, даже если он был сменен после 2019 года, да хоть вы никнейм поставили минуту назад.
Суть в том, что эти боты используют уязвимость протокола телеги, которая дает возможность напрямую получать ID, если известен никнейм пользователя. А зная ID, как уже говорилось выше, можно получить и все остальное.
Вот пример ботов, которые делают подобное:

@CheckID_AIDbot (пробивает ID по никнейму вне зависимости от того был он в базе или нет).

@deanonym_bot (уже представлял бот выше - пробивает номер телефона по ID)

Ну и вишенка на торте...

Бот со звучным названием "Глаз бога"
@EyeGodsBot
В нем совмещены функции двух ботов выше + кроме пробива по базе телеги, данный бот представляет собой полноценный "комбайн" для пробива по открытым базам данным. С помощью бота пробивается и сам номер телефона (по базам Getcontact, NumBuster и др.).

В телеграме бот выдает также инфо о том, в каких публичных чатах вы состоите.
А также много еще чего. К сожалению, бот платный. Хотя и не особо дорогой. Кому надо, тот поверьте пробьет.

Есть на самом еще множество OSINT решений для пробива (гугл в помощь).

Также у меня есть подозрение, что для пробива ID телеграм на самом деле можно обойтись даже без никнейма - просто никнейм нужен боту в качестве ссылки на пользователя, чтобы иметь возможность перейти на его аккаунт. Но, если ваш собеседник уже с вами общался ранее, и у вас есть сохраненные переписки друг с другом, то вы теоретически можете узнать ID (и следовательно все остальное), даже не зная никнейма друг друга.

Кто виноват и что делать?
С первым пунктом все и так понятно. Телеграм никогда не был и не является анонимным и близко. Смешно считать анонимным сервис, в основе архитектуры которого лежат централизованная система серверов Гугл и Амазон, для регистрации нужен телефон, база которых в открытую парсилась вплоть до 2019 года.
Но это еще полбеды. Настоящая проблема в том, что телеграм оказался настолько дырявым, что теперь любой школьник, зная пару-тройку ботов может пробивать других пользователей, получая конфиденциальные сведения.

В общем, с точки зрения безопасности, телеграм полное днище. Причина тому - полное разгильдяйство и некомпетентность команды разработчиков, вкупе с распиаренным образом Пашки как борца за конфиденциальность.

Теперь же что касается рекомендаций.
1. Если ваш номер уже попал в базу, то самым безопасным вариантом будет просто удалить свой аккаунт. И перезарегистрировать заново. Можно на тот же номер телефона. Предварительно можно скопировать важные контакты и данные, если таковые есть.
Новый аккаунт будет иметь свежий ID, а как мы выяснили это ключевой пункт для любого пробива по телеге.
Желательно все же регистрировать аккаунт на отдельный номер, на которых нет никаких контактов, а после регистрации вывернуть на максимум настройки конфиденциальности.

2. Если Вы попали в базу, но по ряду причин не можете расстаться со старым аккаунтом, то имеет смысл выполнить ряд условий:
- Удалить и больше никогда не использовать никнеймы

- Отписаться от всех телеграм ботов и больше не подписываться на новые. Боты по умолчанию пробивают ваш ID, и сохраняют их в своей личной базе данных. Особенно, если эти боты как-то связаны с финансовыми вопросами (криптовалюты, обменники и т.д.).
- Отписаться от всех публичных чатов, которые вы не используете в повседневных делах. По возможности удалить историю своей переписки в данных чатах (поиск по переписки-> выбираем себя в списке участников -> видим свои сообщения и трем их).
- Точно удалить все старые и неактуальные личные переписки с обязательным стиранием истории на стороне собеседника.

3. Ну и следить за новостями вокруг телеграм, чтобы быть в курсе происходящего.

Вот такие вот дела.