Текст будет длинный. Темы следующие:
1. Смена номера в телеграм-аккаунте.
2. Что делать, если ваш номер выбыл из вашего пользования (и достался посторонним людям).
3. Что делать, если вы являетесь этим посторонним человеком и приобрели номер законно.
(читать дальше)
I. Гроза надвигается
Эпоха симок из подземного перехода прошла, но не совсем. У меня была симка из перехода, и в 2018 году я зарегистрировал аккаунт в телеграме именно на неё. Я не ходил в салон связи и не сообщал свои данные. Когда я однажды зашёл в свой личный кабинет, я обнаружил, что симка зарегистрирована на какого-то человека с труднопроизносимой фамилией. Что ж, данные указаны, ну и ладно.
Потом стали говорить, что Роскомнадзор проверяет данные, и их надо подтверждать. Мне об этом никаких сообщений не приходило. А в начале 2023 года сообщение всё-таки пришло. Подтвердить свои данные я, естественно, не мог, потому что это был не я. Сообщение я проигнорировал.
Надо было тогда сразу поменять номер телеграма, но я этого не сделал. Я только предпринял некоторые защитные действия типа добавления дополнительных администраторов к своим чатам и каналам.
На самом деле, активный привязанный номер в телеграме не очень-то и нужен. Все новые сессии открываются на основании предыдущих. Телеграм на моей памяти из сессий никогда не выкидывал. Так что единственная ситуация, когда номер может понадобиться -- это тотальный логаут. Ситуация достаточно редкая, хотя мне рассказывали случаи, когда приходится тотально разлогиниваться по соображениям безопасности.
Итак, прошло больше полугода. Старый номер продолжал работать. Я подумывал о смене номера, и уже пришёл к решению о том, на каком устройстве и на какой симке я буду это делать. Но не успел.
II. Неожиданный конкурент!
Сидел я себе в машине, никого не трогал, как мне пришло сообщение на телеграмный номер:
"Ваш код для входа в телеграм: 123456".
Я задумался. Номер вот, он работает. Я вход не заказывал. Значит кто-то другой указал мой номер. Наверное, случайно. Бывает.
Посмотрел сам телеграм-аккаунт, там тоже была попытка входа. Это означало, что сначала человек пытался войти через другую сессию, но т.к. у него не было этой сессии, он заказал отправку смс-ки. Смс-ку тоже получил я, а не он. Окей.
Приехал домой, опять открыл телеграм и увидел более тревожное сообщение. Сообщение о частичном входе (incomplete login). Что такое частичный вход? Это когда пользователь ввёл код для входа, но не смог ввести пароль. Двухфакторная аутентификация. Вот когда я похвалил себя за то, что всё-таки поставил 2ФА.
Примечание. Для тех, кто не в курсе, в телеграме могут быть два пароля: локальный (local passcode) и облачный (cloud password). Локальный ставится отдельно на каждую сессию. Если вы его забыли, вы можете продолжать пользоваться другими сессиями, где пароля нет. А из этой сессии всегда можно выйти и войти заново, тогда пароль сбросится. Смысл локального пароля в том, что люди, физически находящиеся в помещении, не смогут получить доступ к конкретной сессии. Но вы, имея доступ к другим сессиям, к телефону, и помня свой облачный пароль, сможете войти в сессию, даже если забыли локальный пароль.
Облачный пароль -- это пароль на доступ к аккаунту, Его надо вводить один раз при открытии новой сессии. Он одинаковый на все сессии. Если вы забыли облачный пароль, то его можно восстановить через заранее указанный емейл. Если вы потеряли доступ и к емейлу -- то мои соболезнования.
Итак, частичный вход. Перевернём стороны. Допустим, я купил в салоне связи новую симку, которая оказалась не такой уж новой. Номером уже пользовались (можно ли сейчас вообще купить "чистый" номер?). Я пытаюсь войти в телегу, мне пишут, что надо ввести пароль. Его я не знаю. Я жму что-то там и обнаруживаю, что единственное действие в телеге, которое доступно при частичном входе это... УДАЛЕНИЕ АККАУНТА. Да. Это очень грамотный подход. Если вы получили номер, а там уже кто-то живёт, то вы имеете право его выселить, потому что номер контролируете вы. Иначе бы заброшенные аккаунты занимали номера. А аккаунт, номер которого достался постороннему лицу, с высоким шансом заброшен.
Но не в моём случае.
Что меня больше всего удивило в этой ситуации -- так это то, что мою симку так и не отключили. На неё продолжали приходить смс-ки, а я использовал раздачу интернета. И несмотря на это, где-то в Краснодаре у какого-то... кхм... гражданина была симка с таким же номером. И после нескольких попыток он получил код для входа в телеграм вместо меня (или вместе со мной). Это и позволило ему осуществить частичный вход.
И, разумеется, он нажал "удалить аккаунт".
Надо сказать, что разработчики телеграма действительно хорошо продумали систему безопасности. Это понимаешь, когда пытаешься разобраться в том, какие ограничения можно поставить, а какие ограничения навязаны сверху. Да, вы можете удалить чужой аккаунт, если владеете номером телефона. Но не сразу. После запуска удаления старому пользователю даётся неделя на то, чтобы предпринять защитные действия.
III. Где выход из лабиринта?
Что можно сделать?
1. Подтвердить текущий номер. Для этого предлагается пройти по ссылке вида: t.me/confirmphone?phone=AAAAAAAAAAA&hash=XXXXXX...
Проблема в том, что в гугле упоминания этой ссылки единичны. Я слышал не раз о том, как уводили аккаунт по подозрительной ссылке, а ещё я видел, как через официальный аккаунт телеграма присылают непонятные сообщения неизвестные лица (я до сих пор не знаю, как это возможно). Поэтому я решил на всякий случай пока не использовать этот метод. Вдруг это всё большая мошенническая схема, в которую я случайно попал?
2. Сменить номер телеграма. Что важно: для этого не требуется доступ к старому номеру. Обычно в таких случаях сначала надо подтверждать старое и только потом можно указать новое. Например, сначала спрашивают старый пароль, а только потом можно ввести новый пароль. Тут не так. Потерял доступ к номеру -- ничего страшного. Если есть открытые сессии, то через них просто укажешь новый номер.
3. Забить на сохранность аккаунта и заняться экспортом переписок и т.д. Не самый лучший вариант, но кому-то может пригодиться именно он. Кстати, по соображениям безопасности теперь некоторые переписки можно экспортировать только после подтверждения с другой сессии, причём она обязательно должна быть мобильной.
Итак, я решил выбрать вариант 2. Какие проблемы меня ожидали?
Во-первых, примерно с середины 2023 года номер телефона можно изменить только с мобильной сессии. С компа нельзя. Это я знал. У меня на одном из смартфонов был установлен Telegram-FOSS из F-Droid. И там была открытая сессия.
Я стал тыкаться в менюшки по смене номера и всё шло хорошо до тех пор, пока не настал момент ввода кода подтверждения. Смс не пришло. Я запросил звуковой звонок, но он тоже не пришёл. Это навело меня на мысль, что Telegram-FOSS недостаточно "официальный" клиент для смены номера, и надо ставить из гугл плея.
Я так и сделал. Поставил официальный клиент и повторил процедуру. Но и тут меня ждала засада. ОКАЗЫВАЕТСЯ, новая сессия стартует с ограниченными возможностями (конечно же, по соображениям безопасности). Сразу после логина вы не можете менять номер. И, как я прочитал, ещё вы не можете завершать старые сессии. Сколько времени сессия является инвалидом?
Написано, что "несколько часов". Как выяснилось, "несколько" это 24. Сутки.
Через сутки мне действительно удалось запустить смену номера, и мне пришло смс, и мне действительно сменили номер.
А ещё мне пришло сообщение о том, что процедура удаления аккаунта отменена.
Выдохнули.
Я очень опасался, что "по соображениям безопасности" могу оказаться в безвыходной ситуации. Например, могло оказаться, что сессия является инвалидом тоже неделю, а не сутки. Тогда бы я не успевал сменить номер до удаления. Или могло бы оказаться, что аккаунт, которому грозит удаление, не может создавать новые сессии. Но и тут оказалось всё продумано.
IV. А мораль тут такова
Какие же выводы из всего этого я делаю?
1. Если аккаунт вам дорог, обязательно включите 2ФА.
(философское отступление: основную часть безопасности 2ФА представляет второй фактор, т.е. старый добрый пароль. 1ФА вполне достаточно для безопасности, если фактор -- это пароль, а не модные смс-коды, которые на практике оказались не так уж и безопасны)
2. Неожиданная утеря доступа к старому номеру не является катастрофой, если у вас есть открытые сессии.
3. Тем не менее, за доступностью номера надо всё равно следить, чтобы утеря номера была действительно неожиданной. В этом случае шансы того, что утеря номера наложится на экстренный логаут из всех сессий, будут малы.
4. Держите хотя бы одну открытую сессию в физически безопасном месте (дома) на отдельном смартфоне с официальным клиентом. Тогда вы сможете вовремя отбиваться от различных напастей.
5. Чтобы не проворонить посторонние логины, надо заходить в аккаунт каждый день. И уж точно не реже раза в неделю!
1. Смена номера в телеграм-аккаунте.
2. Что делать, если ваш номер выбыл из вашего пользования (и достался посторонним людям).
3. Что делать, если вы являетесь этим посторонним человеком и приобрели номер законно.
(читать дальше)
I. Гроза надвигается
Эпоха симок из подземного перехода прошла, но не совсем. У меня была симка из перехода, и в 2018 году я зарегистрировал аккаунт в телеграме именно на неё. Я не ходил в салон связи и не сообщал свои данные. Когда я однажды зашёл в свой личный кабинет, я обнаружил, что симка зарегистрирована на какого-то человека с труднопроизносимой фамилией. Что ж, данные указаны, ну и ладно.
Потом стали говорить, что Роскомнадзор проверяет данные, и их надо подтверждать. Мне об этом никаких сообщений не приходило. А в начале 2023 года сообщение всё-таки пришло. Подтвердить свои данные я, естественно, не мог, потому что это был не я. Сообщение я проигнорировал.
Надо было тогда сразу поменять номер телеграма, но я этого не сделал. Я только предпринял некоторые защитные действия типа добавления дополнительных администраторов к своим чатам и каналам.
На самом деле, активный привязанный номер в телеграме не очень-то и нужен. Все новые сессии открываются на основании предыдущих. Телеграм на моей памяти из сессий никогда не выкидывал. Так что единственная ситуация, когда номер может понадобиться -- это тотальный логаут. Ситуация достаточно редкая, хотя мне рассказывали случаи, когда приходится тотально разлогиниваться по соображениям безопасности.
Итак, прошло больше полугода. Старый номер продолжал работать. Я подумывал о смене номера, и уже пришёл к решению о том, на каком устройстве и на какой симке я буду это делать. Но не успел.
II. Неожиданный конкурент!
Сидел я себе в машине, никого не трогал, как мне пришло сообщение на телеграмный номер:
"Ваш код для входа в телеграм: 123456".
Я задумался. Номер вот, он работает. Я вход не заказывал. Значит кто-то другой указал мой номер. Наверное, случайно. Бывает.
Посмотрел сам телеграм-аккаунт, там тоже была попытка входа. Это означало, что сначала человек пытался войти через другую сессию, но т.к. у него не было этой сессии, он заказал отправку смс-ки. Смс-ку тоже получил я, а не он. Окей.
Приехал домой, опять открыл телеграм и увидел более тревожное сообщение. Сообщение о частичном входе (incomplete login). Что такое частичный вход? Это когда пользователь ввёл код для входа, но не смог ввести пароль. Двухфакторная аутентификация. Вот когда я похвалил себя за то, что всё-таки поставил 2ФА.
Примечание. Для тех, кто не в курсе, в телеграме могут быть два пароля: локальный (local passcode) и облачный (cloud password). Локальный ставится отдельно на каждую сессию. Если вы его забыли, вы можете продолжать пользоваться другими сессиями, где пароля нет. А из этой сессии всегда можно выйти и войти заново, тогда пароль сбросится. Смысл локального пароля в том, что люди, физически находящиеся в помещении, не смогут получить доступ к конкретной сессии. Но вы, имея доступ к другим сессиям, к телефону, и помня свой облачный пароль, сможете войти в сессию, даже если забыли локальный пароль.
Облачный пароль -- это пароль на доступ к аккаунту, Его надо вводить один раз при открытии новой сессии. Он одинаковый на все сессии. Если вы забыли облачный пароль, то его можно восстановить через заранее указанный емейл. Если вы потеряли доступ и к емейлу -- то мои соболезнования.
Итак, частичный вход. Перевернём стороны. Допустим, я купил в салоне связи новую симку, которая оказалась не такой уж новой. Номером уже пользовались (можно ли сейчас вообще купить "чистый" номер?). Я пытаюсь войти в телегу, мне пишут, что надо ввести пароль. Его я не знаю. Я жму что-то там и обнаруживаю, что единственное действие в телеге, которое доступно при частичном входе это... УДАЛЕНИЕ АККАУНТА. Да. Это очень грамотный подход. Если вы получили номер, а там уже кто-то живёт, то вы имеете право его выселить, потому что номер контролируете вы. Иначе бы заброшенные аккаунты занимали номера. А аккаунт, номер которого достался постороннему лицу, с высоким шансом заброшен.
Но не в моём случае.
Что меня больше всего удивило в этой ситуации -- так это то, что мою симку так и не отключили. На неё продолжали приходить смс-ки, а я использовал раздачу интернета. И несмотря на это, где-то в Краснодаре у какого-то... кхм... гражданина была симка с таким же номером. И после нескольких попыток он получил код для входа в телеграм вместо меня (или вместе со мной). Это и позволило ему осуществить частичный вход.
И, разумеется, он нажал "удалить аккаунт".
Надо сказать, что разработчики телеграма действительно хорошо продумали систему безопасности. Это понимаешь, когда пытаешься разобраться в том, какие ограничения можно поставить, а какие ограничения навязаны сверху. Да, вы можете удалить чужой аккаунт, если владеете номером телефона. Но не сразу. После запуска удаления старому пользователю даётся неделя на то, чтобы предпринять защитные действия.
III. Где выход из лабиринта?
Что можно сделать?
1. Подтвердить текущий номер. Для этого предлагается пройти по ссылке вида: t.me/confirmphone?phone=AAAAAAAAAAA&hash=XXXXXX...
Проблема в том, что в гугле упоминания этой ссылки единичны. Я слышал не раз о том, как уводили аккаунт по подозрительной ссылке, а ещё я видел, как через официальный аккаунт телеграма присылают непонятные сообщения неизвестные лица (я до сих пор не знаю, как это возможно). Поэтому я решил на всякий случай пока не использовать этот метод. Вдруг это всё большая мошенническая схема, в которую я случайно попал?
2. Сменить номер телеграма. Что важно: для этого не требуется доступ к старому номеру. Обычно в таких случаях сначала надо подтверждать старое и только потом можно указать новое. Например, сначала спрашивают старый пароль, а только потом можно ввести новый пароль. Тут не так. Потерял доступ к номеру -- ничего страшного. Если есть открытые сессии, то через них просто укажешь новый номер.
3. Забить на сохранность аккаунта и заняться экспортом переписок и т.д. Не самый лучший вариант, но кому-то может пригодиться именно он. Кстати, по соображениям безопасности теперь некоторые переписки можно экспортировать только после подтверждения с другой сессии, причём она обязательно должна быть мобильной.
Итак, я решил выбрать вариант 2. Какие проблемы меня ожидали?
Во-первых, примерно с середины 2023 года номер телефона можно изменить только с мобильной сессии. С компа нельзя. Это я знал. У меня на одном из смартфонов был установлен Telegram-FOSS из F-Droid. И там была открытая сессия.
Я стал тыкаться в менюшки по смене номера и всё шло хорошо до тех пор, пока не настал момент ввода кода подтверждения. Смс не пришло. Я запросил звуковой звонок, но он тоже не пришёл. Это навело меня на мысль, что Telegram-FOSS недостаточно "официальный" клиент для смены номера, и надо ставить из гугл плея.
Я так и сделал. Поставил официальный клиент и повторил процедуру. Но и тут меня ждала засада. ОКАЗЫВАЕТСЯ, новая сессия стартует с ограниченными возможностями (конечно же, по соображениям безопасности). Сразу после логина вы не можете менять номер. И, как я прочитал, ещё вы не можете завершать старые сессии. Сколько времени сессия является инвалидом?
Написано, что "несколько часов". Как выяснилось, "несколько" это 24. Сутки.
Через сутки мне действительно удалось запустить смену номера, и мне пришло смс, и мне действительно сменили номер.
А ещё мне пришло сообщение о том, что процедура удаления аккаунта отменена.
Выдохнули.
Я очень опасался, что "по соображениям безопасности" могу оказаться в безвыходной ситуации. Например, могло оказаться, что сессия является инвалидом тоже неделю, а не сутки. Тогда бы я не успевал сменить номер до удаления. Или могло бы оказаться, что аккаунт, которому грозит удаление, не может создавать новые сессии. Но и тут оказалось всё продумано.
IV. А мораль тут такова
Какие же выводы из всего этого я делаю?
1. Если аккаунт вам дорог, обязательно включите 2ФА.
(философское отступление: основную часть безопасности 2ФА представляет второй фактор, т.е. старый добрый пароль. 1ФА вполне достаточно для безопасности, если фактор -- это пароль, а не модные смс-коды, которые на практике оказались не так уж и безопасны)
2. Неожиданная утеря доступа к старому номеру не является катастрофой, если у вас есть открытые сессии.
3. Тем не менее, за доступностью номера надо всё равно следить, чтобы утеря номера была действительно неожиданной. В этом случае шансы того, что утеря номера наложится на экстренный логаут из всех сессий, будут малы.
4. Держите хотя бы одну открытую сессию в физически безопасном месте (дома) на отдельном смартфоне с официальным клиентом. Тогда вы сможете вовремя отбиваться от различных напастей.
5. Чтобы не проворонить посторонние логины, надо заходить в аккаунт каждый день. И уж точно не реже раза в неделю!
@темы: Борьба с техникой, Telegram, Статьи