К вопросу о безопасности Telegram

Bender1001

Местный
Регистрация
3/1/19
Сообщения
208
Репутация
1.092
Реакции
555
RUB
0
Сделок через гаранта
6
В конце августа 2018 года мессенджер Telegram выдавать властям данные предполагаемых террористов (хотя еще ни разу этого не делал — по крайней мере, мы об этих случаях не знаем). За пару месяцев до этого мессенджер открыл пользователям возможность скачать все их данные. В теории, в этом архиве должно оказаться все, что у мессенджера есть на пользователя — а значит, власти не смогут получить что-то больше. Журналист «Медузы» Султан Сулейманов выкачал и изучил данные своего аккаунта в Telegram — и нашел там личные сообщения за всю историю существования аккаунта, а также IP-адреса входа в Telegram за последние 12 месяцев и другую информацию.

Процедура
В конце мая 2018 года Telegram запустил специального , через которого пользователи могут запросить свои данные. Создать такую процедуру интернет-компании обязывает европейский регламент защиты персональных данных GDPR.

T-lDGStKFs1Yj8hZAMz2ZQ.png



Сама процедура появилась у Telegram только через месяц, и она не задействует созданного ранее бота (все, что он может сделать — прислать инструкцию или связать со службой поддержки).

Чтобы получить данные, нужно зайти в свой аккаунт через клиент мессенджера для Windows или macOS, скачанный с , перейти в настройки, и в разделе Advanced выбрать пункт Export Telegram Data. Обратите внимание, что у вас должна быть версия приложения 1.3.8 или выше (на момент написания заметки — 1.4.2). При этом в версиях клиента, начинающихся на четверку, как и в мобильных приложениях, возможности скачать данные нет.

Во всплывшем окне можно выбрать, какие именно данные хочется скачать:

  • личные сообщения;
  • переписки с ботами;
  • переписки в группах;
  • публикации в каналах;
  • список контактов;
  • активные сессии;
  • другие данные.
Кроме того, в настройках экспорта можно указать, какие медиафайлы скачивать: фотографии, видео, аудиосообщения и так далее. Пользователь также может выбрать, в каком формате получить данные — html-файл, который можно открыть в браузере, или csv, удобный для компьютерного анализа.

Скачивание архива начнется сразу — никаких дополнительных подтверждений личности Telegram не запрашивает.

Что нашлось в архиве
  • имя, фамилия и описание пользователя (из профиля);
  • привязанный номер телефона;
  • текущая и прошлые аватарки (они тоже видны в профиле);
  • список контактов с телефона (в том числе номера пользователей, не зарегистрированных в Telegram);
  • список наиболее близких контактов (формируется автоматически);
  • личные сообщения — отправленные и полученные — со всем медиаконтентом;
  • сообщения, отправленные в групповые чаты и каналы;
  • активные сессии;
  • установленные и созданные стикеры;
  • неотправленные черновики;
  • список IP-адресов, не совпадающий с адресами активных сессий.
Чего в архиве не оказалось
Секретных чатов — даже следов того, что они создавались. Вероятно, потому, что секретные чаты привязаны к конкретным устройствам и не хранятся в «облаке» Telegram в расшифрованном виде.

Удаленных сообщений. Правда, мне удалось найти переписку от 2013 года (одну из первых после создания аккаунта), для которой в архиве оказалось сообщение, которого уже не видно в приложении Telegram. Но было ли оно удалено, или пропало по другой причине, неизвестно.

Обновлено: читатель «Медузы» Руслан предположил, что исчезновение этого сообщения может быть связано с ограничением на количество сообщений, которые видны в приложении: в 2017 году , что если их больше миллиона, то старые помещаются в архив на сервере Telegram.
Истории звонков. Информацию о последних звонках можно просмотреть в приложении Telegram, но в отчете эта категория информации никак не упоминается.

Заблокированных пользователей.Опять же, их список можно получить в приложении Telegram, но не просмотреть в отчете.

Теперь подробнее о некоторых разделах
Телефонная книжка
Telegram после входа в аккаунт просит дать доступ к списку контактов в телефоне пользователя. Если согласиться, мессенджер будет хранить имена и номера контактов у себя на сервере (и добавлять новые, если они у вас появятся). Telegram объясняет, что список контактов используется, чтобы уведомлять вас, когда ваши знакомые тоже зарегистрируются в мессенджере. Еще одна причина: знакомых людей Telegram подпишет по имени, которое вы записали в список контактов, а не тому, которое он указал в своем профиле.

Близкие контакты
k-bdw4vutC3smxtq-Z2B1g.png



На основе того, как много и часто вы общаетесь с человеком, Telegram высчитывает специальный рейтинг — число, обозначающее степень вашей «близости». Оно нужно, чтобы на экране поиска отображать блок с людьми, которым вы вероятнее всего захотите написать. В скачанном архиве можно увидеть это число; само по себе оно ничего не даст, но если скачивать данные раз в несколько месяцев, можно проследить, как (по мнению Telegram) менялись ваши отношения с друзьями.

Личные сообщения
В архиве оказались все отправленные и полученные сообщения, к которым остался доступ у пользователя. Мессенджер в том числе сохраняет переписки с пользователями, которые позже удалили свой аккаунт — тогда вы не увидите имя собеседника, но сможете прочитать саму переписку. Правда, эти же переписки остаются доступными в приложении Telegram.

Если выставить соответствующие настройки, вместе с сообщениями скачаются и все медиафайлы, которыми вы обменивались с собеседниками. Причем, в отличие от «ВКонтакте», присылавшей ссылки на фотографии, Telegram присылает сами файлы (из-за этого архив может занимать несколько гигабайт или даже больше).

Групповые чаты
Кроме личных переписок, Telegram включил в архив содержимое групповых чатов, в том числе тех, в которых пользователь больше не состоит. Но не всех.

Логика, по которой Telegram сохраняет или не сохраняет содержимое групповых чатов, довольно сложная:

  • в некоторых чатах, в которых я состоял, но вышел (или был удален), остались все сообщения за то время, что я был в нем;
  • в некоторых — только мои сообщения и действия, но не чужие;
  • чат, созданный с моего аккаунта (и позже удаленный), остался в архиве целиком.
Каналы
hUJoY2ACEdtT8HzCigYILg.png



В отчете Telegram в списке чатов можно найти все каналы, в которых состоит или когда-нибудь состоял пользователь (отдельной секции для каналов в архиве не предусмотрено). При этом прочитать содержимое этих каналов нельзя — в отчет вошли только сообщения, отправленные с моего аккаунта.

IP-адреса
AhFmqyLJ50xXPuNED9DMPg.png

Информация об активных сессиях Telegram. IP-адреса в «Других данных» выглядят иначе (это просто список)

В отчете, присланном Telegram, есть секция «Другие данные». В ней оказались черновики сообщений (мессенджер автоматически сохраняет то, что вы ввели в поле для текста, но не отправили), пустое поле для адреса электронной почты, а также — список IP-адресов, с которых я входил в аккаунт.

vgAKUPBVGCDhZIfTqX_6yA.png

Ссылка на установленные наборы стикеров в разделе «Другие данные»

Этот список шире, чем тот, что представлен в секции «Активные сессии»: как утверждает Telegram, компания хранит историю IP-адресов, изменений имени пользователя и номера телефона за последние 12 месяцев, чтобы пресекать спам и другие нарушения правил. При этом список может быть неполным — эта функция еще находится в процессе совершенствования.

ЧИТАЙТЕ ТАКЖЕ
Свой архив у Telegram дважды запрашивал Султан Сулейманов
Ссылка
 
Сверху Снизу