Comments 115
Я все равно не понял как злоумышление по привелегным в статье данным перейдет от факту регистрации в телеграмме к реальной личности владельца
Получив связку ID - номер телефона, вы можете сделать многое. Например, проверить этот телефон в различных слитых базах. Узнайте подробнее про утечку Telegram 2020 года, которая коснулась 40 млн пользователей (около 10 - российских). По утверждениям Telegram она получена как раз таки парсингом. Присутствие парсинга по нынешние дни подтвержает статья
Эта "фича" была доступна с самого старта и об этом все говорили, мол что это всё небезопасно, а приватность там только в секретчатах хорошая.
Пара ID/анонимный номер, купленный за TON, ничего вам не даст. TON можно получить анонимно, например, обменом на одноразовом анонимном аккаунте на KuCoin (KYC не нужен) из Zcash, заведенных с shielded адреса. Выход в сеть, взаимодействие с биржей, фрагментом и блокчейнами через Tor. Транзакции в блокчейне вам ни о чём не скажут. Удачи узнать кто был этот пользователь.
Имея привязанный номер пользователя можно сделать многое. Можете прочитать о схемах сноса аккаунтов на тематических форумах
Добавляем случайный ещё никому не выданный номер в свои контакты.
Когда он регистрируется в телеге из уведомления получаем ID пользователя. (Теперь пользователь может как угодно скрывать свой номер настройками приватности - он однозначно идентифицируется).
Собираем базу данных с телефонами и ID.
Проходит много лет и пользователь телеги решает совершить что-нибудь нехорошее в каком-нибудь чате думая, что он анонимен, но он ошибается - все кому надо уже знают его номер телефона.
Звоним опсосу и просим предоставить данные о клиенте с таким номером.
Дело раскрыто, все плохие мальчики и девочки наказаны.
Не вижу пункта узнаем личность владельца номера
Это можно сделать, поискав номер телефона по слитым базам (или не слитым, смотря кто ищет)
Зачем для этого телеграм аккаунт? Ведь номер можно итак поискать в базах и узнать личность через опсосов? Чтобы проверить факт существования его в телеграме? Еще номера могут переходить от одного пользователя к другому, при этом можно менять привязку к другому номеру.
Вероятно речь о том, что в отличие от других мессенджеров можно делиться с другими только своим ником. Не номер своего телефона дать кому-то, а ник. Во всяких публичных чатах светить только ник, а номер телефона скрывать.
Благоаря же описанной процедуре некто имеет возможность вести базу, связывающую ник и номер телефона, что существенно упрощает деанонимизацию.
Но вы же сами упомянули виртуальные номера, причем не какой-то российский, а сразу кипра
В данном случае, как мне кажется, мало что меняет - стал известен этот номер или нет.
Номер является предоплаченным и был лишь один раз доступен в сети с неизвестного IMEI для получения смс с кодом регистрации Телеграм.
Когда он регистрируется в телеге из уведомления получаем ID пользователя.
Да, но только если он включил синхронизацию контактов. И это в целом странный шаг, добавлять случайный номер без телеги и выжидать чего-то. Делают это обычно так:
Добавляют сразу 500 номеров в контакты
Регают с ними аккаунт с синхронизацией контактов
Получают аккаунты тех номеров, на которых уже есть телега, сохраняют их ID
Повторяют эти шаги для всего требуемого диапазона номеров.
Довольно очевидно, что если сидишь в телеге с синхронизацией контактов, то твоя связка аккаунт-телефон на карандаше.
Вот я купил номер кипра. А у него уже целых 8 "знакомых в телеграм"!
Все же есть еще одно объяснение этого феномена: Дуров элементарно врет, чтобы создать у пользователя чувство вовлеченности, сопричастности и этого всего. Из серии "в нашей группе уже 100500 ваших друзей" в ВК, при том что на акке вообще 0 друзей.
Вроде автор писал, что если на другом акке, этот номер добавить в контакт, то цифра измениться. Т.е. можно наглядно убедится что это фича работает, хотя да, может оказаться, что 0 это 8.
Я допускаю, что Дуров лжец, а не идиот ;) Т.е. может существовать некий алгоритм: если у номера 0 "фолловеров", рисуем от балды значение от X до Y, если от 1 до 3 - пририсовываем еще в некотором интервале, а если 10 и больше - ничего пририсовывать не надо.
Не, это как раз вот глупо. Сегодня посмотрел их 8, завтра посмотрел их 6. Добавил 1, а добавилось 3.
По утверждению автора, можно получить и 0 для некоторых номеров, сложноватый алгоритм получается
Вы можете проверить случайный номер не с нулём, а, например, с девяткой - получите 0 "знакомых".
Зачем так усложнять? Рисуем значение от X до Y и прибавляем к реальному числу контактов. При большом количестве контактов добавленное число не будет заметно, но при маленьком числе контактов это создаст приятный эмоциональный фон у нового пользователя.
Ну исходный код доступен: https://github.com/TGX-Android/Telegram-X
Можно посмотреть что оно там делает.
В таком случае вообще не было бы свободных номеров с 0 "друзей". А автор пишет, что такие есть.
всё может быть проще, вы не думали откуда берутся эти номера? есть сервисы приёма смс и т.д., это на самом деле обычные номера обычных людей, которые пользуются китайскими звонилками с бекдор функциями. эти звонилки не только нужные смс не показывают пользователю, но и иногда сами звонят на платные номера. на том же вайлдберис полно срача в отзывах на якобы простые кнопочные китайские звонилки от которых потом баланс в минусе.
Иначе объяснить присутствие у пустых номеров сложно.
Присутствие чего?
Анонимность в открытой сетевой системе - нонсенс. Она достижима, да, но требует такой дисциплины от всех участников сети, что на практике нереализуема. Анонимный идентификатор теряет смысл в тот момент, когда любой из ваших контактов сохраняет его с вашим именем (или любым другим алиасом, выводящим на личность). До записной книжки этого контакта ещё, конечно, добраться надо, но как ни крути, она вне зоны вашего контроля...
А номера Телеграма полезны не только с точки зрения анонимности - как минимум их не получится перехватить, придя в салон сотовой связи и попросив восстановить SIM карту.
Немного поправлю:
1) До записных книжек друзей добираться особо не нужно - кто-то один всегда добровольно сольет свою книжку в Getcontact
2) Включаем в телеграме двухфакторку и можно не бояться угона симки
Справедливо) Но по поводу п.2 есть обратная история - есть риск утери телефона вместе с симкой и отсутствием салонов поблизости (например, вы за границей)
Если есть авторизация где-нибудь ещё, то код приходит туда, а не в СМС.
Держите более одного устройства с вашей телегой, и можно обходиться вообще без симки, если что.
На работе смотрю Телеграм через браузер. Браузер в режиме инкогнито, чтоб вечером не забыть выйти из какого-либо аккаунта. Так неделю назад вечером Телеграм почему-то разлогинил меня на телефоне и при попытке входа сообщил, "код для входа отправлен на другое устройство, скопируте код сюда". Пришлось переустанавливать.
Специально для этого перешёл на esim, чтобы всегда можно было получить новую симку будучи за границей.
Правда у оператора, которого я использую, есть один нюанс, у него авторизация в приложении по смс на этот же номер. Решил эту проблему тем, что заранее скачал и настроил приложение на нескольких устройствах.
Надеюсь они рано или поздно реализуют TOTP в качестве второго фактора, вместо смс, но пока глухо (
UPD: и у esim нашел ещё один плюс для себя, такую симку нельзя просто вытащить из лотка и угнать тем самым, т.е. больше не нужно ставить пин на сим
UPD 2: а ещё у него отсутствуют офисы в которые можно придти с "чужим" паспортом для восстановления сим
терять и ездить за границу не нужно. Я какое-то время назад пытался зарегистрировать родителей в телеге, и пару дней не мог этого сделать, потому что им (на самые обычные симки мегафона) тупо не приходили смс с кодами.
С анонимными номерами такой проблемы нет - авторизуешься на fragment.com по своему криптокошельку, получаешь там код, и можно пользоваться. Правда смущает, что исходники этого сайта не выложены в опенсорс - без них это обычный сайт, который может попасть под DDoS, а не web3-приложение, работающее с любой нодой блокчейна TON.
Хотя на самом деле даже сайт с блокчейном не нужны - очевидно что коды доступа там генерируются алгоритмом вроде HOTP/TOTP на основе твоего секретного ключа. Осталось только узнать этот алгоритм и запилить его в приложение вроде Google Authenticator.
не по доверенности которую никто не может проверить
Прям уж никто https://www.reestr-dover.ru
А что вы будете делать если попадете в аварию и не сможете ходить в салон связи?
Да и личное присутствие не гарантия, сделать фейковый паспорт не так и дорого. И уж тем более вариант коррумпированного или запуганного сотрудника, а то и обязанного сотрудничать с ФСБ.
Просто надо понять, что телефонный номер не ключ к чему-то очень важному, что может стоить вам денег или свободы.
P.s. Насколько реально добавить функцию делегирования облачного пароля доверенным контактам? Грубо говоря, если я хочу добавить новое устройство, то еще трое из пяти доверенных лиц должны ввести свой облачный пароль. Ну примерно как "Вася брат хочет добавить устройство iphone11, свяжитесь с ним лично чтобы убедиться в истинности намерения, получив подтверждение введите свой пароль.
В итоге, злоумышленник не знает кому делегирован пароль, атака потребует доступа ко всем контактам.
А я вот из Германии вообще не могу ни симку восстановить, ни сбербанк открыть. И мне эта вся байда про "безопасность" личного присутствия в салоне связи региона регистрации - кажется фигнёй, а не аргументом.
Тот же Яндекс хранит у себя достаточно данных для идентификации, чтобы ему не нужен был мобильник в качестве гарантии идентификации меня любимого.
И по идее, у Сбера также. Но вот в Яндексе я смог восстановить ID без сим-карты, а Сбер, видимо, не заинтересован в выплате ему кредита)
Такая же байда - WhatsApp. Ну нельзя привязываться к симке... Хотите достоверно идентифицировать пользователя - делайте свой ID. Или пользуйтесь готовым: Google, Яндекс, ВК, Сбер.
Как быть если реально пользователь не может прийти в салон?
Потому что он в больнице/дома травмирован лежит/ему 80+ лет и просто сложно идти?
У ТиньковМобайла я ответ знаю :) — проблемы нет потому что любая замена симки (кроме замены на eSIM с авторизованного приложения) означает приезд курьера который будет смотреть паспорт.
А что у других операторов?
оформите ему любую симку на себя и дайте в руки
Если ситуация УЖЕ случилось, и нужна именно этого пользователя симка ему потому что к ней привязано разное… причем для пользователя это — реальный случай а то что слишком легкая процедура другим проблемы создает — это не его проблемы и в итоге и пользователь и тот кто честно получил доверенность будут тыкать в законы где запрета нет.
Это я к тому, что проблему надо решать, хотя бы сделав запрет на использование доверенности на уровне законов. А лучше — придумать как в таких случаях проблему решать (вот только многие возможные на первый взгляд способы решения — на самом деле тоже могут быть проблемой). По сути — проработать как можно делать замену НЕ самим лицом с учетом рисков.
Мне вот у мегафона встречался интересный вариант. В легитимном то случае нам что надо? Новую симкарту без визита, и возможно при отсутствии доступа к старой? Так может выдать ЕЩЕ одну симкарту заранее а потом разрешить перенос на нее номера по звонку пусть даже с другого аппарата? https://moscow.megafon.ru/services/useful/zapasnaya_sim/zapasnaya_sim.html
Кстати доставка в МТС теоретически тоже есть,https://media.mts.ru/internet/134869/, включая вне России, но совсем не мгновенно и не бесплатно.
Мне вот у мегафона встречался интересный вариант.
Действительно интересный. Им бы стоило рекламировать "Запасную симку", так как это конкурентное преимущество.
И emotion (звонки и смс с приложения на любом телефоне) довели бы до ума.
смс из emotion уже выпилили, к сожалению, под формулировкой "окончание жизненного цикла функционала" (((
Значит, кривое изначально нормально уже не заработает. :(
Из-за этого приложения выбрал Мегу, но оказалось, что оно тупо не работает на моем телефоне. Телефон сменил, заработало, но смс Сбера туда не ходили (критично).
Попробую сейчас его использовать, как диктофон для звонков, но предчувствия нехорошие :)
смс от сбера и прочих "коротких" номеров, как и отправка на них никогда в приложении не работала "бай дизайн" для "безопасности" (ussd тоже мимо)
поэтому, к сожалению, emotion для замены физического телефона никогда использовать было нельзя, только исключительно для голосовых звонков
Можно было бы понять, если бы они запретили получение всех кодов авторизации, но нет. Коды от Госуслуг приходили.
Это же Мегафон, постичь логику их приложений невозможно, я ещё их банковским приложением пытался пользоваться, там то же было странное, а потом и проект закрыли, думаю, и eMotion не жилец.
А, может быть, просто не прибивать гвоздями личность человека к мобильному номеру. Ну вот вообще - ни в банках, ни в госулугах, ни в телеге, ни где-либо еще.
Тогда потерянный телефон не будет катастрофой, временно можно использовать любой, позднее восстановить свой.
Вот кто бы это объяснил тем же банкам и госуслугам.
Нет ну конечно есть вариант брать номер от сервисов ИП-телефонии с поддержкой СМС (это можно сделать удаленно, идентификация там есть, разными способами, а "перевыпуска SIM" нет) но — это деньги дополнительные, риск что если оператор оборзеет то вообще никак проблему не решишь
Ну спасибо. нотариальную доверенность вполне себе можно проверить.
А если "растеряша" в другой стране?
Откровенно глупый вопрос. Человек, который осознанно ставит своё благосостояние в зависимость от того, чтобы не профукать, например, один из имеющихся у него TOTP-токенов или одну из Sim-карт, осознанно принимает правила "игры", в которой ответственность за это лежит на самом индивидууме.
так человек к этому готовится, он делает специально несколько нотариальных доверенностей, как раз на случай таких форсмажоров.
впрочем некоторые опсосы уже кладут в какой то степени и на генеральные доверенности заверенные нотариально.
Смысл в том, что когда речь о "ключе от квартиры, где (не очень видимые тому или иному правительству) деньги лежат", сценарий того, что индивидуум просто тупо профукал ключевой предмет, не может служить основным контр-аргументом для выбора метода аутентификации. Административные или законодательные препятствия, которые не зависят от индивидуума - сколько угодно, но не потеря средства аутентификации, выбранного полностью сознательно.
впрочем некоторые опсосы уже кладут в какой то степени и на генеральные доверенности заверенные нотариально.
Как таковых генеральных доверенностей нет, каждый кейс нужно вписывать отдельно.
В некоторых регионах получить доверенность с неконкретными формулировками невозможно, нужно вписывать, например, конкретный банк или конкоетного оператора.
Некоторые банки то же кладут на доверенность при восстановлении доступа в интернет-банк. Это Сбер.
Т. е. прийти в отделение и снять по доверенности $10 000 - без проблем. Но при блокировке СБОЛ восстановить доступ могут только самые упертые вроде меня, других примеров пока не встречал. Народ мучается со своими возрастными родственниками, блокировки фатальны.
Они изначально подразумевают, что пользоваться ИБ может только сам клиент без права передоверить.
Тут более глобальная проблема. Операторы оказывают услуги связи, получая с абонентов иногда по 10 рублей в месяц (а иногда и по 5 тысяч рублей, не спорю). А какие-то недотëпы ввели номер телефона в ранг уникального идентификатора, которому требуется защита от взлома на уровне паспорта. Так как на номер может быть завязана вся цифровая личность (а часто и физическая - через госуслуги, приложения банков,....), то и ответственности операторам хотят навешать по самое самое. НО сами технологии сотовых сетей строились по принципам, не позволяющим обеспечить тот самый уровень ответственности.
По-хорошему, нужно менять сам идентификатор.
По поводу доверенности - с одной стороны согласен с вами. С другой - если сейчас оператор откажется работать по доверенности, то это нарушение нескольких ФЗ и очень большой штраф (если упирается рогом, то вплоть до закрытия юрлица). Поэтому первым делом нужно менять законодательство в части доверенностей и ЭЦП. Помнится были прецеденты, когда у людей продавали квартиры по выпущенным мошенническим способом ЭЦП, а вы тут про какие-то симки говорите.
"если сейчас оператор откажется работать по доверенности, то это нарушение нескольких ФЗ"
Оформлена доверенность на 6 страницах, с нотариусом сидели и перечисляли всё, что могло в голову прийти. От продажи/дарения квартиры до получения карточек в банке (отдельно Сбере, отдельно в остальных), представительстве в суде и оплате госпошлин.
В результате всё равно уже дважды пришлось делать дополнительную, потому что "да, всё есть, но вот конкретно этой строки нет".
Оформлена доверенность на 6 страницах, с нотариусом сидели и перечисляли всё,
Я честно не пойму, зачем? Есть же понятие "генеральная доверенность"? И тем не менее от "юристки, которая в госорганах этим и занимается" такое полотно на 1.5 страницы и пришло.
Так вот как раз и нет такого понятия нынче. Нельзя написать "доверяю всё". Если есть явно указанное в тексте — значит, можно. Не написано явно "может получать карточку в банке" — не дадут. Счёт закрыть может, деньги снять может, а карточку к счёту получить не может. И точка.
Всё понял, вопрос снят. Туда же:
Термина «генеральная доверенность» в законодательстве нет. Обычно под ним подразумевают доверенность сразу на большое число действий, каких именно — указывают в доверенности. источник
как минимум их не получится перехватить, придя в салон сотовой связи и попросив восстановить SIM карту
А вот куда надо придти, чтобы их перехватить, знают не только лишь все. В случае классического угона, есть определенный путь: заявление в полицию, изъятие записей с камер, суд, навешивание всех собак на оператора. Есть, в теории - есть. А в случае с "номером Дурова" Вам предстоит идти в Высокий суд Лондона и там затирать про угон цифр, которые Паша называет номером, которые Вам выдали на основе UA, который Вы не читали, хотя там английским по монитору написано: as is, кото... простите, у Вас кончились деньги на адвоката.
А вы не думали что она, эта анонимность, в данном случае требует лишь то, что было предложено - не открывать новый чат при регистрации номера всем тем, у кого этот номер в контакте? Это ведь единственное упущение, благодаря которому вся "анонимность" может пойти коту под хвост.
Если через некоторое время (дни, недели) число повторяется, то остаток от хэша. Если разное, то рандом.
«Какова ваша фантазия?», «наблюдение за парсингом телеграм» (каких таких телеграмм?), «Это было допущено ввиду слишком маленьких ограничений на проверку контактов»…
Это перевод что ли?
Телеграмм и новая жизнь старого номера это да. "<ваш покойный батя> теперь в Телеграмм!" вызывает непередаваемые чувства. Теперь смотрю на список контактов и думаю, сколько там нечаянных "оборотней".
Люди, которые оставляют "покойного батю" в контактах, могут словить неприятные ощущения и похлеще. Например, если по случайности номер достанется кому-то, промышляющему холодными звонками.
Работает странно, насколько раз ловил такое, что сперва возвращал 0, а после повторной попытки 2. Например такое было на номере +9996619009
Сейчас же стабильно стал показывать 0 на номерах +9996619011.
Было бы интересно ещё проверить поведение на тестовых серверах телеграм.
Сколько покупал виртуальных номеров, у всех у них был предыдущий владелец, а то и несколько. Приходится отвечать на звонки каких-то фирм или алкашей. Было бы расточительно после отказа от виртуального номера выбрасывать его на помойку и брать свежий. Да и реальные номера так же переиспользуются.
а чего вы ожидали? :) что вы будете первый, при том, что в номере не так уж и много цифр
Так это автор удивляется, что "новый" номер уже у кого-то есть в контактах.
нет, он о другом, что можно деанонить людей при регистрации простым образом
Так нельзя ж, если у номера было несколько владельцев.
2) Когда он регистрируется в телеге из уведомления получаем ID пользователя (теперь пользователь может как угодно скрывать свой номер настройками приватности - он однозначно идентифицируется)
вы же можете удалять свой аккаунт и регать его опять на этот телефн, уведомление вашим контактам будет приходить, что вы опять в телеге.
что мешает купить симку за границей и на нее зарегестрироваться ?
В статье показано, что иностранные номера из сервисов смс активаций имеют знакомых, которые потенциально могут получить связку с этим номером.
Многие сервисы смс активаций сотрудничают с правохранительными органами.
её надо как-то купить и как-то платить абон плату. возникает вопрос, а мы в 2023 или 1980г живём, чтобы так дергаться ради аккаунта? это технически невозможно было в телеге регать на почту? эта привязка к номеру уже столько раз вылазила боком, зато трафик зашифрованый...))
В некоторых странах предоплаченые симки легальны. Которые можно купить в ларьке за наличные. Которые позволяют быть номеру активным и получать входящие смс без пополнения ещё год.
Тут не только телега — это проще чем заставлять пользователей логины-пароли придумывать. И обеспечивают некоторую долю индентификации пользователя.
В Matrix вот задумка чуть интереснее, примерно так:
- идентфикатор пользователя это matrix (привязанный к серверу конкретному).
- как пользователь будет туда логинится — это вообще проблемы конкретного homeserver (и есть варианты… разные)
- есть такя штука как identity server — по сути сервис который мапит e-mail или телефон (да вообще что угодно) в matrix id. matrix foundation с element держат общедоступный identity server который работает с e-mail (телефоны не держат), при желании — владелец конкретного homeserver может решить использовать другой identity server (ну да — посыпется единство пространства — общедоступные identity server'ы НЕ федерируются сейчас) или не использовать его вообще (и тогда нельзя будет реализовать функцию "найти все контакты по e-mail/телефону конкретным identity server)".
- на общедоступных identity server'ах телефоны сейчас не поддерживаются
Каждый раз, когда парсится номер, это добавляет +1 к числу контактов. А это уже означает, что мы можем отслеживать, сколько раз этот номер парсился, и узнавать его примерный возраст (больше контактов - больше парсился - старше).
Также можем отслеживать, когда происходит новый парсинг номеров, и какие группы номеров парсятся чаще.
Единственное, что вызывает настороженность, - это приписка "примерно". Точно ли число контактов, отображаемое Telegram, является точным?
месенджер, который привязывается к вашему номеру, никогда не будет конфиденциальным, на совести Паши тысячи людей, которые отсидели 15-30 суток в пыточных условиях или получили уголовку за комментарий в РБ. что ему мешало дать возможность регистрировать аккаунт на почту? ничего кроме потребности в монетизации. он даже двойное дно принципиально делать не хочет, а говорит про безопасность...
он даже двойное дно принципиально делать не хоче
Спасибо opensource. И белорусским партизанам. Есть версия, которая заявляет что решает эту проблему.
в теории да, на практике сам факт пользования этой версией делает вас в глазах милиции-полиции экстримистом со всеми печальными для вас вытекающими. так что эту версию в РБ (где у вас могут незапно проверить телефон) я бы ставить не стал
Судя по их FAQ — они считают что рядовой ОМОНовец не сможет отличить эту версию от обычной, маскировкой озаботились, надо проверять телефон специалисту.
Вопрос насколько.
А почему эти номера не могут быть просто ошибочно записаны в телефонах? Ведь при записи номера вы скорее ошибётесь в последних цифрах, а не в начале, где код страны и оператора.
А к чему все эти сложности с конфиденциальностью и вопросами привязки симок, когда эти же симки у метро бесплатно раздают? Те, кому нужна настоящая анонимность - найдут решение, а обычным людям без разницы)
Ощущение что статью перевели с помощью гугла
Когда он регистрируется в телеге из уведомления получаем ID пользователя
Посмотрел на десктопной версии и не понял, как это делается. Уведомление не переслать боту GetMyID...
Что за записки юного школьного детектива? Для начала уведомления выключаться в настройках о новых пользователях, и при покупки нового номера в 90% случаев он не будет засвечен не где, если брать номер конечно у ответственных операторов а не на чёрном рынке
Интересно, а если перенести телеграм-аккаунт на новый номер, то что произойдет со старым? Он всё равно останется в контактах, или его "вытеснит" новый, а старый исчезнет у всех со списков, пока его снова не добавят? Суть в том, что если этот финт пройдет, то можно "очистить" анонимный, да и любой другой номер, потом на нём повторно зарегистрировать аккаунт и выкрутить в настройках невидимость номера. То есть сделать таки реальную анонимность. Сможете проверить? Можем скооперироваться для эксперимента, чистые номера есть.
При повторной регистрации старого номера знакомые повторно получат уведомление. Я проверил, импортеры не пропадают, да и это логично.
А у меня вроде получилось. Для воспроизводимости опишу всё подробно. Если кто тоже повторит - делитесь результатами.
Исходные позиции: один смартфон, два чистых номера (анонимных, хотя не должно играть роли) и основная моя учетка в роли большого брата (далее ББ) с версией телеги, отвязанной от маркета. Для проверяемых аккаунтов установлен чистый телеграм с g.play, и, само собой, без прав доступа к адресной книге.
Первым делом ББ берет номера под наблюдение - записываем контакты в адресной книге телефона. Имена записей "Алиса" и "Боб". ББ выжидает, зловеще потирая ручки.
Регистрируем новый телеграм-аккаунт с первого номера ("Алиса" у ББ). При регистрации укажем имя "123" и сразу бежим в настройки конфиденциальности, блокируем поиск по номеру телефона (попутно и все соседние настройки тоже - видимость активности, пересылка и т.д.). Для профилактики и в разделе "контакты" снимем галочку с синхронизации и тапнем "удалить импортированные контакты". На этом этапе неискушенный пользователь думает, что теперь-то он полный анонимус.
Тем временем у вездесущего ББ уже давно маячит приват с нотисом - "Алиса теперь в телеграм", и контакт под этим именем телега заботливо сохранила в списках контактов ББ, да ещё и вместе с номером. Полный колпак.
Теперь перенесем учетную запись "Алисы" на второй номер ("Боб" у ББ), попутно меняя имя профиля с "123" на "456". И теперь начинается интересное - у ББ появляются большие проблемы:
Во-первых, телеграм скрыл номер контакта Алисы. Это очень хорошо.
Во-вторых, ББ не увидел нотисов, что номер Боба теперь в телеграм!
В-третьих, с какой-то задержкой, но телеграм сбросил у ББ и имя контакта "Алиса" на "456", указанное самим пользователем (предполагаю, что если имя не трогать, оно сбросилось бы и на "123", но этот сценарий не проверил). То есть факт невидимости номера "Алисы" прилетел к ББ моментально, а вот переименование с некоторым лагом. Причем этот лаг ещё и поэтапный - сначала может переименоваться контакт, а заголовок чата с контактом - ещё чуть позже. Но я считаю это не столь важный нюанс, просто особенность.
На данном этапе колпак, можно, сказать, свергнут. ББ ничего не знает про факт регистрации номера Боба, настройки конфиденциальности отработали как надо. И принадлежность номера Алисы в телеграме теперь тоже загадка, только известно, что с него когда-то отпочковался аккаунт "456" без рода и номера, который тем не менее остался в контактах ББ. Да и то при условии, если ББ сможет его опознать среди моря аккаунтов, за которыми он тоже бдит. Для лёгкого решения этой задачи мне пришел на ум только один выход - метка черновиком - как только ББ увидит Алису в онлайн, пишет ей сообщение "Это Алиса, тел. номер 1", но не отправляет, вечный черновик. Хотя у такой метки может оказаться короткий срок жизни, не знаю.
Далее я попробовал сменить номер обратно (с Боба на Алису). Никаких нотисов ББ вновь не получил. Вроде бы уже ничего нового быть не должно, но появилась ещё одна мегаприятная изюминка - неожиданно телеграм удалил этого пользователя из списка контактов ББ (тележного, разумеется, а не из памяти устройства). Хорошая новость в том, что если ББ закрыл приват с "Алисой" - то он навсегда потерял этого пользователя из виду, а плохая, если не закрыл... То есть технически обрубок хвоста всё ещё не сброшен.
И уже вроде все ходы испробованы... Но решил теперь зарегистрировать параллельно второй аккаунт на освободившемся номере Боба. Сначала по привычке сразу побежал в настройки резать конфиденциальность, а потом к своему удивлению обнаружил, что у ББ нотиса-то нет! А это значит, что осталось перенести аккаунт с номера Алисы на третий "временный" номер, зарегать на освободившемся номере Алисы заново аккаунт, третий аккаунт дропнуть и всё готово - мы получили в телеграме аккаунты номеров Алисы и Боба, про которые ББ ничего не знает, а у него в лучшем случае в приватах висит удаленный аккаунт с меткой-черновиком.
Может это всё не сработает, если в роли ББ будет выступать бот. Надеюсь, кто-то это проверит :)
вы получите уведомление, когда кто-либо создаст аккаунт с номером, который есть в ваших контактах, избежать этого уведомления для вашего контакта попросту невозможно.
В официальном клиенте на Android в разделе Notifications and Sounds есть вот такая настройка:
Я чего-то не понимаю?
Тема не про управление уведомлениями своего устройства, а про парсинг аккаунтов и невозможность его избежания, просто автор некорректно выразил свою мысль. Имелось ввиду что-то такое:
"Кроме того, все люди увидят (не важно, с нотисом, или без), что вы создали аккаунт с номером, который есть у них в контактах, избежать этого вам попросту невозможно."
А далее уже приводится ссылка с давним предложением о реализации входа с "тихим режимом", невидимкой. То, что закрыло бы полностью поднимаемую автором проблему.
Странная функция Telegram