;
Два фактори безпеки даних
До квітня 2015 року користувач міг увійти в систему, ввівши код, отриманий у текстовому повідомленні. При цьому додаткового захисту від несанкціонованого входу не існувало. Таким чином, зловмисники могли перехопити повідомлення, надіслане на телефон клієнта, і отримати доступ до його розмов. Хоча масових випадків таких зломів не було зареєстровано, розробники на чолі з Павлом Дуровим вирішили усунути цю можливість.
І ось, що вони зробили;
Завдяки впровадженню двоетапної верифікації в Telegram, сьогодні користувач може встановити додатковий пароль, який буде вводитися в разі відкриття додатку на новому пристрої. При цьому SMS-верифікація, що здійснюється на першому етапі входу в систему, залишилася.
Двоетапний вхід здійснюється наступним чином:
Чи допомагає двоетапна верифікація у випадку злому акаунта?
На перший погляд, дане нововведення дуже корисне для безпечного зберігання інформації на серверах Telegram. Однак, як показала практика, навіть незважаючи на два фактори верифікації, можливість злому акаунта все ще існує. Отже, ось як це працює:
.
Насправді, для того, щоб нейтралізувати двоетапний захист, достатньо дізнатися код SMS, надісланий на номер телефону жертви. Різниця - в кінцевому результаті. У цьому випадку хакер отримує доступ до порожньої сторінки, тоді як злом однофакторного захисту дозволяє прочитати всі розмови.
Кейси зі скиданням акаунтів відомих особистостей
У квітні 2016 року практично одночасно були зламані Telegram-акаунти Георгія Албурова (Фонд боротьби з корупцією) та Олега Козловського (некомерційна організація "Візія завтрашнього дня"). Цікаво, що несанкціонований доступ до їхніх сторінок було отримано в результаті відключення на смартфонах Албурова та Козловського опції прийому та відправки SMS-повідомлень. Крім того, представники оператора мобільного зв'язку (МТС) заявили, що їхня служба технічної підтримки не відключала послуги на зазначених номерах телефонів, а проблеми зі зв'язком були викликані вірусною атакою.
Через три місяці подібна неприємність сталася з російським журналістом Сергієм Пархоменком. За його версією, він отримав смс-повідомлення з перевірочними номерами. При спробі увійти до свого профілю журналісту запропонували авторизуватися, ніби він завітав на сервіс вперше. Відкривши свій акаунт, Сергій виявив, що він був обнулений, а вся історія повідомлень видалена. Таким чином, навіть двоетапна верифікація не допомогла, оскільки хакери встигли отримати необхідні дані від оператора мобільного зв'язку.
Покрокова інструкція з налаштування двоетапної верифікації в Telegram
Якщо ви хочете, щоб система запитувала і SMS-код, і пароль при вході в додаток з якогось нового пристрою, необхідно виконати наступну процедуру:
Додаткова опція "Парольний код"
Розділ "Пароль" з'явився в одному з останніх оновлень Telegram для iOS і Android. Дана опція дозволяє налаштувати безпеку для входу в додаток. Код може містити як просту комбінацію з 4 цифр, так і більш складну, що складається з букв та інших символів.
Реалізація такого захисту досить гнучка. Користувач може вмикати опцію запиту коду при кожному перемиканні Telegram або активувати її лише за необхідності, натиснувши на спеціальну іконку, що нагадує замок. Останній варіант дуже зручний у випадку, якщо ви тимчасово залишаєте телефон без нагляду і є ймовірність, що ваші розмови можуть стати доступними сторонній особі.
І останнє;
Крім того, є можливість налаштувати таймер автоматичного блокування, який буде блокувати додаток і запитувати код у разі бездіяльності протягом певного періоду часу. Система дозволяє увімкнути блокування через 1,5 хвилини або 1,5 години.
Відповідь розробників
Як пояснив Павло Дуров, жодних проблем із безпекою месенджера не було. Більше того, він поклав провину за злам додатку на компанію МТС. Тим не менш, служба підтримки тимчасово відключила можливість скидання активного профілю в разі забуття пароля. Іншими словами, Дуров фактично визнав існування проблеми і пообіцяв якнайшвидше вирішити її в більш елегантний спосіб.
Станом на кінець серпня 2016 року злом акаунту все ще можливий: отримавши SMS-код клієнта, хакер може скинути його профіль без використання пароля для входу. Інакше кажучи, двоетапна верифікація не працює або вона не настільки безпечна, як хотілося б користувачам Telegram.