Ежемесячная аудитория телеграма составляет 900 млн человек по всему миру и в 2024-м приблизится к миллиарду. Мессенджер стал особенно популярен в странах с репрессивными режимами. Многие россияне активно уходят из ВКонтакте в ТГ, считая его более безопасным и анонимным. Активисты часто используют телеграм-чаты для координации, а редакции независимых СМИ — для работы. Но что если безопасность телеграма — это глобальная ложь? В статье об иллюзии анонимности телеграма юрист Владислав Крамер рассказывает об очевидных уязвимостях мессенджера, массовом сливе информации о пользователях через Telegram ID и о том, что можно сделать, чтобы защитить себя.
Давеча основатель ВКонтакте и Telegram Павел Дуров дал интервью Такеру Карлсону. Осевой темой стала любовь Дурова к свободе слова, которая после отжатия соцсети «ВКонтакте» мотивировала его на создание самого свободного мессенджера Telegram, к каковому сегодня присоединяются «2 миллиона человек в день по всему миру».
Telegram как самый свободный мессенджер — это глобальная ложь. Опасная ложь. Опасная потому, что это ложь усложненная, многоуровневая. Ложь, обнадеживающая людей в тот момент, когда они ни разу не находятся в безопасности. В особенности тех людей, которые живут в странах с репрессивными политическими режимами и используют мессенджер для высказывания и координации.
Telegram вызывает ощущение ложной защищенности, провоцируя на свободное высказывание, которое закончится обыском с избиением, сроком и риском для жизни.
Телеграм — это позитивный чувак, который услышал твои крики и помог тебе сбежать из кровавого подвала маньяка-пытателя. Но когда ты выдыхаешь с облегчением, он приставляет пушку к твоей башке и ведет в свой еще более кровавый и глубокий подвал, где твои крики больше никто не услышит.
В этой статье мы разберемся с очевидными уязвимостями «телеги», которые подвергают опасности миллионы людей.
Наш ключевой тезис: иллюзия анонимности хуже, чем отсутствие анонимности.
Небольшое введение о простой и сложной лжи
Как выглядит простая ложь, которой, например, занимается федеральное российское ТВ? Здесь на зрителя выливаются откровенные фейки, мнения псевдоэкспертов и лобовая дезинформация. А чтобы зритель не успевал вникать, оценивать и сопоставлять факты, его атакуют все новыми и новыми порциями дезинформации. Постепенно пропагандистские идеи вытесняют из поля внимания все остальное и остаются единственным, во что можно верить. Потому что обывателю нужно во что-то верить.
После 2014 года телевидение в РФ потеряло большую аудиторию, которая достаточно умна, чтобы сопротивляться простой лжи. Бюрократия влила деньги в пропаганду с целью сгладить недовольство аннексией Крыма. Но деньги слабо влияют на качество человеческого материала. Симоньян, Киселёв, Скабеева, Попов, тот мужик с ведром кала и прочая инфошушера не справилась и вместо тонкого воздействия на умы широких масс создала огромный говномет, который заходит только прямым любителям говна.
Поэтому часть зрителей до-2014-ТВ ушла в интернет со словами: «Это уж слишком». Но радоваться было рано. Современный мир устроен так, что целая ниша потребителей информации не может остаться неокученной и бесконтрольно слоняться по просторам свободного инфопространства.
Поэтому, например, часть аудитории с интеллектом выше низшего была отхвачена пропагандистскими интернет-ресурсами, например, Владимира Соловьева. А часть либеральной тусовочки осела где-то посередине — у таких персонажей, как Ксения Собчак. Лишь бы они не ушли дальше по шкале антикремлевского дискурса — в «Медузу», «Дождь» и даже забронзовевшее «Радио Свобода».
Пропаганда XXI века не может бить одним снарядом по большой площади, как не может бить им по узкому направлению. Каждой узкой нише должен даваться свой узкий пропагандистский продукт.
И отсюда начинается сложная ложь.
Сложная ложь — дело сложное. Ты не можешь убеждать сколько-нибудь думающих несогласных прямыми аргументами. Ты должен говорить на их языке. Ты сам должен быть одних с ними взглядов. Ты должен быть за свободу слова, за разнообразие, за сменяемость власти, за самоуважение, за независимость, за прогресс и так далее.
Когда не получается посадить или завербовать всех несогласных, ты не можешь просто забить на них. Бесконтрольная субстанция опасна. Ты должен присутствовать среди них, перехватывать и контролировать дискурс. Даже дискурс, который тебе не нравится. Жизненно важно влезть в их голову, завоевать их доверие, быть своим. Быть ими.
Ложь начинается в час X, когда тебе отваливают денег или угрожают, чтобы заставить использовать свой медийный вес для небольшого и незаметного взгляду разворота общественного мнения в нужную заказчику сторону.
А дела такие: Telegram формирует глобальную ложь о своей анонимности, о пространстве свободных людей, завлекает вас, а потом сливает силовикам ваши данные. Это не подозрение и не гипотеза. Telegram точно сливает ваши данные. Это заложено в технологии мессенджера. Это его имманентное свойство.
Telegram ID
Представим, что вы написали «Владимир Путин, ты всех задолбал. Нет войне» в комментариях под постом в Telegram. А у товарища майора подгорает из-за нехватки показателей раскрываемости. И он хочет вас идентифицировать, чтобы привлечь за дискредитацию войны.
Для того чтобы идентифицировать конкретного пользователя Telegram, силовикам (или любому заинтересованному лицу!) не нужно подключаться к «бэкдорам», каналам связи и уж тем более отправлять Дурову постановление товарища майора из отдела по борьбе с опасным либеральным экстремизмом управления МВД по Засранской области.
Массовый слив информации о пользователях «телеги» происходит благодаря Telegram ID, то есть идентификационному номеру пользователя Telegram.
Этот номер присваивается вашему аккаунту навсегда и не меняется. При этом сам аккаунт зарегистрирован на ваш телефонный номер.
Для чего нужен Telegram ID? Для того, чтобы ваши знакомые могли находить вас в «телеге» по номеру телефона. Для того, чтобы ваш собеседник видел ваше сообщение и понимал, что оно именно ваше. Для того, чтобы звонок через Telegram шел не в открытое пространство, а конкретному пользователю с конкретным ником.
Наверняка, добавляя кого-то в список контактов, вы обнаруживали, что через некоторое время в карточке контакта появляются иконки мессенджеров (WhatsApp, Telegram, Viber и т. п.), которые имеются у владельца этого номера. Нажав на них, вы переходите в мессенджер и можете общаться уже в нем.
Это происходит благодаря привязке вашего номера телефона к номеру ID в базе данных мессенджера. К ID привязаны все Telegram-каналы и чаты, на которые вы подписаны и в которых вы состоите. А также каждое ваше сообщение, отправленное через «телегу», и каждый неосторожный комментарий под постом.
Таким образом, у нас есть неразрывная связка «Telegram ID — номер телефона». И с этого начинается сложная ложь о «самом свободном и анонимном» мессенджере.
Формирование баз данных для пробива
Мессенджеры типа WhatsApp и Viber не играют в игры про анонимность. Да, они заявляют о надежном шифровании сообщений и звонков. Однако, это всего лишь защита от их перехвата непосредственно в ходе отправки. Но в этих мессенджерах всегда виден номер вашего телефона. Поэтому вы не будете писать «Хутин — пуйло» в домовом или родительском чате в WhatsApp. Тетка из местного муниципалитета, сидящая в этом чате, тут же напишет на вас донос эшникам.
Telegram же создает видимость анонимности через использование функции сокрытия номера.
Функция сокрытия номера в Telegram не имеет никакого смысла, если кто-то задался целью вас идентифицировать. И всё благодаря тому, что, добавив ваш номер телефона в список контактов, любой может узнать ваш ID.
Вы возразите: «Но ведь цель моего недоброжелателя как раз узнать мой номер телефона, который я скрыл, а не мой ID».
Верно. Но что если кто-то уже добавил ваш номер в свой список контактов, узнал связанный с ним ID и добавил эту связку в некую базу данных, которую продает, например, через Telegram-бота? То есть схема пробива работает в обратную сторону. Сначала агрегирование больших данных, потом пробив через базу агрегированных данных.
Вас никогда не удивляло, откуда сервисы и Telegram-боты типа «Глаз Бога» берут данные, чтобы идентифицировать пользователя по одному только сообщению?
Такие базы со связкой «ID — номер телефона» создаются с помощью нехитрого оборудования, которое позволяет вставить пачку сим-карт (так называемый сим-банк) и массово добавлять в список контактов любые номера.
База формируется так:
- В сим-банк вставляется одна сим-карта.
- Программное обеспечение добавляет в список контактов этой сим-карты номера в диапазоне, например, от +7 926 000 00 01 до +7 926 000 99 99.
- Далее программа переходит в чат Telegram и считывает ID по каждому номеру.
- В соседний слот сим-банка вставляется вторая сим-карта, повторяются пункты 1–3 в отношении следующей тысячи номеров.
Когда в этот диапазон попадет ваш номер (а он попадет), вы больше не аноним.
А вот как происходит пробив по такой базе:
- Вы оставляете сообщение в «телеге».
- Ваш недоброжелатель пересылает его в телеграм-бот для пробива и платит 20 рублей.
- Бот определяет ID по сообщению, сверяется с базой со связкой «ID — телефон» и возвращает как минимум информацию о вашем телефонном номере.
Например, такой пробив предоставляет @deanonym_bot (может быть забанен на момент прочтения настоящей статьи).
Наверное, излишне объяснять, что, располагая вашим номером телефона в России, широкий спектр информации о вас могут узнать не только силовики, но и любой, кто купил базы с привязкой номера к Госуслугам, банковским картам, медицинским сервисам, интернет-магазинам, сервисам объявлений и т. д.
Например, существует вполне открытый и бесплатный сайт saverudata.net, на котором неизвестные размещают слитые базы Яндекс.Еды, СДЭК, паролей ВКонтакте и большого количества других сервисов. Возможно, там вы найдете свой фактический адрес проживания, по которому, например, к вам могут выехать в период мобилизации.
Этот сервис далеко не единственный. Куда более продвинутыми базами обладают службы безопасности банков и корпораций. Сотрудники которых, конечно же, торгуют этой информацией на черном рынке пробива (например, на форуме probiv.llc, его зеркалах и аналогах). Их базы содержат не только известные крупные сливы данных, но и бонусы для более узкого круга. Сведения о перелетах, о регистрации авто, о родственниках, доходах, перемещениях на такси, о дорожных штрафах и так далее.
Ведь в каждом банке и каждой корпорации в службе безопасности сидит бывший или командированный сотрудник ФСБ, который обеспечивает своему работодателю доступ к данным спецслужб, крышу и возможность решения вопросиков в обмен на синекуру для него и соблюдение банками и корпорациями общих правил игры.
Силовики даже перестали заморачиваться с использованием окольных путей пробива.
Как писала «Новая Газета Европа» в марте 2024 года, управления МВД России в трех регионах размещали контракты на закупку системы «Инсайдер», которая как раз занимается формированием баз данных со связкой ID и телефонного номера.
Кроме того, у системы есть и функционал для отслеживания вашего поведения в «телеге». Например, можно посмотреть, что вы писали тогда-то в таком-то чате такого-то канала.
Таким образом, путь от вашего неосторожного высказывания в «телеге» до установления адреса фактического проживания очень короток.
Всё как в анекдоте про автомат Калашникова. Какой бы «самый свободный» сервис ни пытался создать Дуров, получается подментованный ВКонтакте.
Поэтому смехотворны утверждения о том, что «за девять лет существования мессенджер передал всем государствам мира 0 байт информации о пользователях». Как смехотворны и подозрения в том, что мессенджер тайно сливает данные силовикам. Эти данные валяются на земле. Их не нужно специально передавать ни силовикам, ни иному заинтересованному лицу. Вы просто сделали некачественный продукт с громкой и лживой рекламой.
Это мы еще не говорим о прочих багах «телеги». Как, например, восстановление чатов, которые вы считали удаленными. В технических причинах этого бага подробно разбирался пользователь Хабра gaxcaz.
Проблема не нова. Вертлявая медиаполитика Telegram
Это не первая статья о способах идентификации пользователей Telegram. Об этом давно пишут специалисты по большим данным и откровенничают бывшие силовики. Администрация мессенджера знает о проблеме, поскольку регулярно банит ботов-пробивщиков. Но за все годы существования «телеги» публично не было предложено ни одного решения проблемы Telegram ID. В мессенджере не появилось динамических ID, которые делали бы сливаемые базы неактуальными на какой-то период. ID пользователей не меняли даже однократно.
Дуров и его компания не говорят о наличии этой проблемы. Не было заявлений хотя бы в духе: «Да, проблема нам известна, но она не решаема. Наши сервера не выдержат замены ID. Как иначе мы будем связывать пользователей с их сообщениями, звонками и аккаунтами?» И так далее.
Это является оборотной стороной того фрагмента интервью Карлсону, где Дуров заявляет, что не тратит денег на рекламу Telegram, а люди присоединяются к мессенджеру, потому что любят хорошие вещи, свободу слова и конфиденциальность.
Верно, потому что если появится рекламный материал, в котором «телега» прямо рекламируется как анонимный мессенджер, Дуров отхватит кучу хейта со стороны IT-сообщества, если не иски за ложную рекламу. А вот интервью Такеру Карлсону — это не реклама.
Telegram — бенефициар войны
А знаете, что еще не реклама? Это сотни тысяч российских госслужащих и прочих бюджетников, которых заставляли регистрироваться в Telegram в первые месяцы после вторжения России в Украину, что обеспечило буст развитию «телеги».
Наверняка весной 2022 года вы заметили, как вам приходят push-уведомления о том, что ваши знакомые-бюджетники внезапно скопом стали регистрироваться в мессенджере, хотя раньше увлекались только кабинетными сплетнями, обсуждением меню бизнес-ланча в соседнем кафе и гаданиями о размере тринадцатой зарплаты.
Роскомнадзор не смог заблокировать Telegram в 2018 году, и теперь роспропаганда решила его возглавить. По крайней мере возглавить его топы. Telegram наводнили каналы российских военкоров, пропагандистов с федерального ТВ и госорганов. А подписоту на них нагоняли так же, как на массовку на путинские митинги, — принуждением бюджетников.
Была продублирована модель конкуренции раннего YouTube и федерального ТВ. На стороне ютубера были только его навыки по созданию интересного контента, без которых он не выживал. На стороне ТВ — огромные государственные ресурсы, которыми заливали весь непрофессионализм.
Политика распространения Telegram чем-то напоминает гибридные войны, которые вел Путин через ЧВК.
Ты не объявляешь войну, твои войска под твоим знаменем не входят на территорию чужой страны. Но, черт возьми, вооруженные люди по твоему приказу таки воюют в другой стране.
Ты не размещаешь рекламу своего мессенджера, ты не делаешь неосторожных промоматериалов про «самый свободный и анонимный» мессенджер. Но, черт возьми, за тебя это делают должностные лица и пропагандисты авторитарного государства, где на пропаганду тратят огромные деньги.
В юридических понятиях
Когда хочешь понять истинные намерения публичной персоны, нужно смотреть на ту юридическую рамку, вдоль которой она курсирует, не пересекая ее.
«Мы не заставляем никого регистрироваться». Верно.
«У нас есть функция сокрытия номера». Верно.
«Мы не виноваты, что злоумышленники используют один функционал мессенджера для идентификации пользователей в обход другого функционала». Тоже верно.
«Мы не передаем ваши данные по запросу органов». И это тоже верно.
Но почему вы не решаете или по крайней мере не говорите о проблеме Telegram ID, говоря об анонимности мессенджера?
У Гитлера были автобаны. А еще у него были концлагеря, которые обессмысливают автобаны. «Нет-нет, не смотрите на этот дым из печей за колючей проволокой, смотрите на этот роскошный асфальт».
Как мы уже говорили в статье об отравлении Навального, презумпцией невиновности не может пользоваться тот, кто крупнее, сильнее и влиятельнее. Это значит, что, когда он совершает подозрительные действия, любые сомнения толкуются против него, пока не доказано обратное
Уязвимости Telegram — это даже не подозрительный фактор. Это огромная сознательно допускаемая дырень в приватности каждого пользователя.
Вы скажете: «Ой, а что такого? Я же не гейропейский либераст. Не ругаю Наше Всё. Не сливаю укровермахту позиции наших доблестных бойцов».
Да, но представьте, что, прочтя сотни статей о дырявом Telegram, гейропейские либерасты его покинут. И в нем останетесь вы. А МВД уже закупило базы «Инсайдера». А им нужно повышать раскрываемость.
Выдергивать из цифровой толпы начнут тех, кто допустил высказывания, наиболее близкие к риторике колебателей скреп, пропагандистов транссексуальности и западных наймитов. Вы уверены, что не формулировали свои мысли в ТГ-канале футбольных фанатов так, чтобы они поддавались двоякому толкованию, которое для суда и следствия разъяснит специально подготовленный эксперт?
Абсурд, скажете? Расскажите это парню, который после нападения хулиганов пришел в полицию писать заявление и был задержан за желто-сине-зеленые волосы и получил повестку на фронт при полном отсутствии каких-либо политических взглядов. Почему? Потому что надо палки зарабатывать, а не защищать вашу жизнь. Потому что у эшника нет другой обязанности, кроме как искать крамолу в сети. И эту обязанность надо исполнять, как бы нелепо это ни выглядело.
Рекомендации
- Не пользуйтесь Telegram для политического высказывания. Координируйтесь через то, что не привязывается к номеру телефона.
- Держите в голове, что ваш собеседник в «телеге» всегда может узнать ваш номер телефона. Даже если ваш диалог не связан с политикой, а собеседник не является силовиком.
- Удаляйте ваш аккаунт и регистрируйтесь заново как можно чаще. В этом случае вашему номеру присваивается новый ID. Который, впрочем, все равно вскоре попадет в базу, так как сим-банки «Инсайдера» работают всегда.
- Следите за активными сессиями в мессенджере. Если кто-то уже узнал номер вашего телефона, он может заказать дубликат вашей сим-карты на черном рынке и добраться до вашей переписки. В 2021 году «Ведомости» писали об использовании дубликатов мошенниками. А в 2023 году операторы официально начали выпускать дубликаты для использования в смарт-часах. Недобросовестный сотрудник в салоне связи всегда будет рад помочь за копейку как мошенникам, так и оперативникам.
- Не верьте Дурову и помогите другим узнать о большой лжи об анонимности Telegram.
Другие статьи о кибербезопасности:
Контроль сети: как оборудование Роскомнадзора влияет на российский интернет
Инструкция по инфобезопасности. 70 советов, как защитить себя и свои данные — от VPN до партизанских мессенджеров
Страсти по искусственному интеллекту. Как развитие ИИ ведет человечество к экзистенциальному кризису?
