Анонимные комментарии
Идея проста. Комментарии без ника по галочке "оставить анонимно". Модераторам ник виден. Плюсы не считаются, а минусы считаются с коэф. 5 (дабы избежать анонимных нападок).
Зачем? Мне пару раз понадобилось, но оставил мнение и опыт при себе, мало ли кто прочтет. Может я не один такой стеснительный.
А нет, так нет. Спасибо за внимание.
Дыры в безопасности телеграм. Как тебя могут пробить и меры предосторожности
Все интересующиеся данным вопросом думаю помнят историю со слитыми базами данных телеграм. Там якобы некие организации парсили базу данных номеров путем банального перебора номеров в записных книжках, используя весьма идиотскую функцию телеги - показывать аккаунты, присутствующие в записных книжках.
База сейчас есть в открытом доступе и ее можно скачать и убедиться самому.
Актуальность базы примерно на осень 2019 года. Для пользователей России и стран СНГ.
Она содержит следующие строки данных:
ID - идентификатор аккаунта, который намертво к нему привязан и его невозможно изменить.
Номер телефона - самое неприятное палево, по которому можно вычислить личность участника. Даже, если вы сменили номер телефона - ваш старый номер телефона все равно остается в базе.
Никнейм - временный идентификатор, выполняющий роль ссылки на ваш аккаунт. Меняется в несколько кликов.
Также в базе есть другие строки, но они особой роли для нас не играют, поэтому их рассматривать не будем.
Сразу же после слива базы как грибы стали появляться сервисы для пробива по базе. В том числе телеграм боты.
Суть этих ботов была проста: ты вводишь какой-то из этих трех параметров (ID, номер, никнейм) и бот находит в базе совпадения и выдает недостающие строки.
Также ID можно было вычислить, переслав сообщение жертвы в данный бот, по которому он определял его ID.
Вот пример подобных ботов для пробива
@getmyid_bot (пробивает ID по пересланному сообщению)
@deanonym_bot (пробивает номер телефона по ID, используя ту самую слитую базу).
Иными словами, если ваш номер в базе, то нужно беречь ID как зеницу ока.
Собственно, как инфа о сливе начала распространяться, телеграм принял меры против этого.
Во-первых, всем было предложено сменить никнейм, если он ставился до осени 19 года.
Во-вторых, в настройках конфиденциальности появилась возможность запрещать находить номер телефона, если отсутствуют взаимные контакты.
В общем, предложили выкрутить настройки конфиденциальности на максимум, сменить никнейм и жить спокойно.
Но было бы слишком если так.
Недавно появились боты, которые дают возможность ID по никнейму, даже если он был сменен после 2019 года, да хоть вы никнейм поставили минуту назад.
Суть в том, что эти боты используют уязвимость протокола телеги, которая дает возможность напрямую получать ID, если известен никнейм пользователя. А зная ID, как уже говорилось выше, можно получить и все остальное.
Вот пример ботов, которые делают подобное:
@CheckID_AIDbot (пробивает ID по никнейму вне зависимости от того был он в базе или нет).
@deanonym_bot (уже представлял бот выше - пробивает номер телефона по ID)
Ну и вишенка на торте...
Бот со звучным названием "Глаз бога"
@EyeGodsBot
В нем совмещены функции двух ботов выше + кроме пробива по базе телеги, данный бот представляет собой полноценный "комбайн" для пробива по открытым базам данным. С помощью бота пробивается и сам номер телефона (по базам Getcontact, NumBuster и др.).
В телеграме бот выдает также инфо о том, в каких публичных чатах вы состоите.
А также много еще чего. К сожалению, бот платный. Хотя и не особо дорогой. Кому надо, тот поверьте пробьет.
Есть на самом еще множество OSINT решений для пробива (гугл в помощь).
Также у меня есть подозрение, что для пробива ID телеграм на самом деле можно обойтись даже без никнейма - просто никнейм нужен боту в качестве ссылки на пользователя, чтобы иметь возможность перейти на его аккаунт. Но, если ваш собеседник уже с вами общался ранее, и у вас есть сохраненные переписки друг с другом, то вы теоретически можете узнать ID (и следовательно все остальное), даже не зная никнейма друг друга.
Кто виноват и что делать?
С первым пунктом все и так понятно. Телеграм никогда не был и не является анонимным и близко. Смешно считать анонимным сервис, в основе архитектуры которого лежат централизованная система серверов Гугл и Амазон, для регистрации нужен телефон, база которых в открытую парсилась вплоть до 2019 года.
Но это еще полбеды. Настоящая проблема в том, что телеграм оказался настолько дырявым, что теперь любой школьник, зная пару-тройку ботов может пробивать других пользователей, получая конфиденциальные сведения.
В общем, с точки зрения безопасности, телеграм полное днище. Причина тому - полное разгильдяйство и некомпетентность команды разработчиков, вкупе с распиаренным образом Пашки как борца за конфиденциальность.
Теперь же что касается рекомендаций.
1. Если ваш номер уже попал в базу, то самым безопасным вариантом будет просто удалить свой аккаунт. И перезарегистрировать заново. Можно на тот же номер телефона. Предварительно можно скопировать важные контакты и данные, если таковые есть.
Новый аккаунт будет иметь свежий ID, а как мы выяснили это ключевой пункт для любого пробива по телеге.
Желательно все же регистрировать аккаунт на отдельный номер, на которых нет никаких контактов, а после регистрации вывернуть на максимум настройки конфиденциальности.
2. Если Вы попали в базу, но по ряду причин не можете расстаться со старым аккаунтом, то имеет смысл выполнить ряд условий:
- Удалить и больше никогда не использовать никнеймы
- Отписаться от всех телеграм ботов и больше не подписываться на новые. Боты по умолчанию пробивают ваш ID, и сохраняют их в своей личной базе данных. Особенно, если эти боты как-то связаны с финансовыми вопросами (криптовалюты, обменники и т.д.).
- Отписаться от всех публичных чатов, которые вы не используете в повседневных делах. По возможности удалить историю своей переписки в данных чатах (поиск по переписки-> выбираем себя в списке участников -> видим свои сообщения и трем их).
- Точно удалить все старые и неактуальные личные переписки с обязательным стиранием истории на стороне собеседника.
3. Ну и следить за новостями вокруг телеграм, чтобы быть в курсе происходящего.
Вот такие вот дела.
Как в сообществе Беларусь скручивают/накручивают рейтинг, деанонят и запугивают пикабушников
Многие из вас заметили довольно странные дела, которые происходят в сообществе Беларусь, справедливо возмущались, призывали модераторов с целью обратить внимание на происходящее. Но над вами насмехались провокаторы, вам сносили посты и отправляли в бан. Однако настало время приоткрыть завесу и показать немного правды.
Первоначально я хотел опубликовать большой материал-расследование, где были все ответы на нужные вопросы. Кто такие? Откуда? Используемые методы и тактика. Даже составил отдельные психопрофили и поведенческий анализ группы, но такое публиковать тут нельзя (слёзы разочарования). Поэтому ограничимся вот этим скучным постом.
Приоткрыть завесу этого заговора, нам поможет ОТКРЫТЫЙ телеграмм чат t.me/ru2chby
Но не будем заострять внимания на банальном сливе/накрутке рейтинга, как вы понимаете у них есть и секретные чатики, где подобным они занимаются постоянно.
Перейдём к самой интересной части этой повести, а именно к травле по политическим убеждениям и целенаправленному деанону пикабушников с целью закрыть им рты. Такой метод используется нашими протестующими в отношении тех, кто отчаянно шатает их ущербный квазимирок.
Рассмотрим, пожалуй, недавний случай с пользователем @KotNachaev которому кое-кто посвятил целый опус, Немного о KotNachaev С одной стороны, вроде бы никаких правил он не нарушает, он просто собрал в один пост комментарии пикабушника. А вот если копнуть поглубже оказывается всё не так просто
Вот это поворот, признание в целенаправленной провокации, травле, да ещё участвует в деаноне с распространением личной информации по разным пабликам. Малыш знает толк в развлечениях.
Теперь давайте рассмотрим случай с моей скромной персоной. Мой деанон был анонсирован под Новый год. Тогда ещё Франциск являлся админом сообщества и действовал в наглую, с поддержкой всех модеров. #comment_188568162 #comment_188488573
Я обратился напрямую ко всей администрации сообщества Беларусь, с просьбой выкинуть наглеца из сообщества, но они стали за него горой #comment_189225489 . Ну оно и понятно, половину модеров лично Франциск назначал.
Ну и на последок немного интересных скриншотов… (можете ввести ключевые слова новостной бот в самом чате и увидите там ещё больше признаний, правда если кое-кто не снесёт свой профиль).
Пользуясь случаем, хочу обратиться ко всем пользователям (особенно из РБ), которые писали критические комментарии в этой группе или в теге Беларусь. Если заметили странными события: смс-бомберы, атаки на ваши соцсети, непонятные сообщения, то теперь вы знаете, кто тут шалит. Также рекомендую проверить свои данные на предмет утечки в радикальных каналах типа «Каратели Беларуси», местных и городских чатах.
Уважаемый @moderator, попрошу пост НЕ СНОСИТЬ. Данная переписка в ОТКРЫТОМ чате не является личной, чат общедоступный, никакого разглашения данных третьих лиц там нет. Все профиля у них полностью анонимные и закрытые.
Также прошу обратить внимание не только на самого Франциска, но и на модеров сообщества которые были расставлены в сообществе с его лёгкой руки. Проведите чистки пока это не зашло слишком далеко. Как видите ребята шалят уже давно и не собираются останавливаться.
Возможно этот пост могут снести, а меня могут опять забанить (а за это время кое-кто может или удалить свой аккаунт в телеграмме или банально отредактировать свои сообщения), воспользуюсь небольшим призывом пикабушников, дабы обратить внимание общественности. @Hohol2 @K0TBehem0th @nhsyltw @Liber.ator @CTAR @Lawst @AV2015, @komrad.Tsankov @illianBY @Kazemir1, @ElectroDobby @magistr82
"Генерал СВР" разоблачён! Состоялась деанонимизация!
Норвежский взгляд на демократию
Интересная новость пришла из Норвегии.
Сначала прелюдия.
Во многих странах ЕС данные всех налоговых агентов выкладываются в общий доступ. То есть, вы можете посмотреть сколько заплатил налогов ваш друг, сосед, бывший муж/жена, начальник и министр.
Правильно ли это, решать вам, но норвежцы недавно сделали ещё один шаг к полной демократии, а именно, они деанонимизировали факт запроса на данные, то есть, при поиске третьих лиц, им высылаются личные данные того, кто искал информацию, и время запроса налоговой истории.
Что любопытно, с этим новым изменением количество поисков сократилось с 16 683 216 до 2 172 197 за год и это правильно, раз уж информация напоказ, то для всех :)
https://www.tv2.no/nyheter/11810928/
https://vk.com/cat0news?w=wall-198181079_22387
Автор: Александр Лашкул
Как меня " Вебсварка" на Пикабу деанонимизировала
Здравствуйте, Пикабутяне. Читаю данный ресурс уже почти 2 года. Это мой первый пост. Я являюсь пользователем ВК при этом. И очень часто вижу в разных группах ВК посты с Пикабу без указания автора. Я к этому уже привык. И эта привычка сыграла со мной злую шутку сегодня утром. Пролистал я пост: Сварщик - печник ) . Ну, офигенно, думаю, автор - молодец. Здесь я совершил первую ошибку : промотал до следующего поста.
Вот этот ссыль-то я и не приметил.
Примерно в обед, листая ВК я наткнулся на пост:
Я не увидел ссылку на Пикабу в мобильной версии ВК и совершил вторую ошибку: написал в группе ВК "Вебсварка" матершинный комментарий следующего содержания: " Пост один-в-один с портала "Пикабу". Не пиздун ли автор?" Коммент удалили, естественно. Тогда я написал сообщение админу группы:
Мне ответили:
Я спросил:
И тут понеслось:
В этом месте я начал понимать, что я лажанул на Пикабу...
А тут админ "Вебсварки" почувствовал силу.
Проигнорировал мой вопрос и стал распространять мои личные данные на портале "Пикабу"
Так что приятно познакомится, Пикабу! Я Павел Обиход, сварщик из Сургута. А ещё я в регби играю. Вот так портал "Вебсварка" раскрыл мои данные на "Пикабу". И что теперь делать, я даже не представляю.
Интересная библиотечка
Бороздя GitHub сегодня обнаружил довольно интересный проект на Python по восстановлению паролей по затёртым областям. Интересно теперь такое проверить на замазанных именах со скриншотов из соцсетей, никах в твиттере :)
Не реклама. Если кому интересно ссылка на оригинал: https://github.com/beurtschipper/Depix .
Если ссылку нельзя постить, то можете поискать Depix.