[Информационная безопасность, Мессенджеры, Законодательство в IT, Социальные сети и сообщества] Темно-серая зона экосистемы Telegram
Автор
Сообщение
news_bot ®
Стаж: 6 лет 4 месяца
Сообщений: 27286
В данной статье читателю не будут навязываться постулаты об экосистеме Telegram, или обсуждение хозяина мессенджера. Распишу пункты темно-серой зоны Telegram по своему опыту:
- свободный наркотрафик;
- открытое пиратство;
- удручающая bug «bounty».
О своём опыте вы можете поделиться в комментариях к статье.
Свободный наркотрафик
В прошлом 2019 году, когда разработчики мессенджера Telegram ввели новую функцию: гео-чаты (кстати, которую легко подделать при помощи Fake GPS Location). Вот в то самое время барыги оживились и повылазили из темных глубин интернета. ИМХО подпортили репутацию самого мессенджера: повсюду создали наркогеографию.
Несколько дней назад я отправил десятки репортов/жалоб команде Telegram на такие сообщества, а так же пожаловался волонтерам ТП в ожидании «расстрела», но расстрела не последовало, никто не удосужился «перезарядить винтовку», уничтожить подобные канал-чаты, никакой наглядной реакции (как обычно) со стороны правительственных сил Telegram-Dubai не последовало.
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/965ea6fd7dca64dc108c9c9e286c71c0.png)
Этот процитированный отрывок выше из моей конкурсной работы 2019 года.
Со времен видимой и невидимой борьбы прошло ни много ни мало времени —1.5 года. Сейчас на носу 2021 новый год. Давайте посмотрим, как модераторы Telegram в режиме God 'mode провели свой «блицкриг»: сократительный огонь по беззаконниками.
Если в поиске Telegram ввести название города, то как и раньше в результатах вы получите, в том числе, чаты/каналы с предложением незаконных товаров и услуг, часто которые встречаются в даркнете, потому что в цивилизованном web обычно таких паразитов вылавливают или банят, но только не в Telegram.
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/9138bb9125f162d954bc86cdbf0167e8.jpg)
декабрь 2020 год.
Подобная политика Telegram распространяется не только на наркотрафик, но и на другие сомнительные услуги:
Проституция
SPL
Перепродажа персональных данных
SPL
Фальшивки
SPL
Открытое пиратство
В каналах и ботах Telegram можно бесплатно скачать музыку, фильмы, нелицензионный софт, аудио/книги на которые правообладатели не давали свое разрешение на «подобное» использование и распространение.
Вчера на Хабре вышла по этому поводу новость
«Европейская комиссия опубликовала новый список ресурсов, которые способствуют пиратству и могут получать от него выгоду. Он включает ресурсы, расположенные за пределами ЕС. Впервые в отчете фигурируют Telegram и «Вконтакте».
Из самого отчета, перевод.
А) «Telegram утверждает, что они не терпят никакого вредоносного контента на своей платформе и удаляют в течение 24 часов, когда об этом сообщает Autorità per le Garanzie nelle Comunicazioni AGCOM или заинтересованные стороны по электронной почте.
Б) «Telegram также указал, что их усилия по борьбе с вредоносным контентом на своей платформе были очень успешными в других областях»
Правда?
Пример реальной истории с которой я столкнулся, злоумышленник стал распространять пиратский контент (мое произведение) в сети Telegram. Согласно telegram.org/faq
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/bd4457076c89bca8522191dc5a24b41a.png)
Я отправил подписанный отчет с доказательствами на dmca@telegram.org. Через 24 часа, как утверждается в отчете по Telegram, пиратский контент должны были прикрыть, а по факту я не получил ответа. Прошло уже более трех месяцев с момента репорта по DMCA, а я так и не получил какого-либо положительного или отрицательного решения от Telegram по своей проблеме. Иногда я «их» пингую, но безрезультатно.
Подобный отчет был выслан и на другие платформы, куда пошел пиратский контент. Например, Gitlab проверил факты и удалил не только пиратские материалы за +- 48 часов, но и заблокировал учетку мошенника (теперь) без возможности восстановления.
Удручающая bug «bounty»
Некоторые из читателей, возможно, слышали о багах и уязвимостях в Telegram, на которые руководство мессенджера никак не реагировало или по своему трактовало/присуждало гостинцы исследователям, а кто-то из пользователей Хабра и сами находил в экосистеме Telegram баги и фичи.
Для наглядности сравним описание программ bug bounty Telegram с каким-нибудь open source проектом, например, Veracrypt.
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/95d664c99925413504226a9936d26962.png)
hackerone.com/telegram?type=team
Скудное описание в 50 слов, за какие дыры Telegram готов платить багхантерам «сколько, за что и в какой валюте». Описание всей программы bug «bounty» за несколько лет даже меньше, чем описание какого-нибудь очередного обновления мессенджера, например, описание обновления об анимированных стикерах в Tg.
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/bb385bb9c601b4a157dabc58bbae0504.png)
hackerone.com/ibb-veracrypt?type=team
Вы также можете сравнить программу bug bounty Telegram с другими поощряющимися программами и убедиться сами в том, что первую составляли по эксцентричному принципу.
О баге
Пример недавнего бага, который я зарепортил на security@telegram.org,
пополнив свой послужной список, но как и раньше ответа никакого не последовало. По моему мнению, с отчетом я поторопился, баг больше похож на «жульничество» со стороны Telegram, а не на уязвимость.
Суть (пока Telegram не ответит на репорт это считается багом, а не фичей): любой пользователь может получить доступ к заблокированному (например, пиратскому) «удаленному» контенту в сети Telegram.
Кейс: для примера возьмем канал на котором регулярно появляется пиратский контент. Вручную найдем такую плашку, которую оставляет Telegram «удаляя» этот самый контент.
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/70e80d409bbf74652af66a42779e2a27.png)
«This message couldn't be displayed on your device due to copyright infringement.»
t.me/freedomf0x/6842
Данная плашка (через инструмент: поиск по каналу — не ищется), это такая своеобразная «защита двух коней» от мессенджера. Плашка означает, что на этом месте находился «вредоносный контент». Через app «удаленный» контент не доступен.
Заходим в Desktop Telegram версию мессенджера, делаем экспорт истории чата/канала (ткнув галочку на «файлы» и сделав ограничения на загрузку файла в 2 Гб), выбираем дату (в данном примере с 21 марта 2020 года по 22 марта 2020 года). После успешного экспорта истории, в отчете html-страницы вместо плашки будет находиться тот самый пиратский контент.
Подробный пример кейса на видео ниже.
Извините, данный ресурс не поддреживается. :(
Почему же это больше похоже на «жульничество»? Я думаю, что Telegram в курсе всей этой вакханалии, положение вещей на данный момент времени руководство просто устраивает: «Ну как бы мы защитили контент, ведь не каждый пользуется Desktop версией через которую „удаленный контент“ вытягивается без каких-либо проблем».
Или вот другой пример.
Вооружимся ботом @flibustafreebookbot с помощью которого можно скачивать книги. Данный бот был заблокирован Telegram-ом, но явная лазейка осталась и позволяет скачивать книги. Все что нужно сделать — это (переиграть систему): добавить бота в свой приватный чат и дать разрешение «администратора», после чего бот оживает и работает, как ни в чем не бывало. Кстати, этот пиратский бот стартует на Desktop-e без каких-либо ограничений, что противоречит самим ограничениям, которые на него распространила ТП с рут доступом.
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/f902b20e652148e0174c79e98a79655a.png)
Справа налево: бот @flibustafreebookbot заблокирован (Android); бот @flibustafreebookbot (Android) работает после жульнического трюка; бот @flibustafreebookbot (Desktop) работает без каких либо ухищрений.
Вывод
За прошедшие полтора года в ивовой экосистеме ничего не поменялось, негодяи продолжают торговать, подсаживать, уходить от ответственности. Telegram остался мессенджером, который борется за свободу и безопасность своих бизнес ценностей, не запрещая пропаганду «сомнительных услуг» на своих мощностях.
Заявления Telegram о борьбе с вредоносным контентом это просто фарс. Ответственные лица со стороны соц.сети не заботятся о вещах упомянутых в данной статье, не реагирует на репорты пользователей, но при этом оправдываются перед комиссиями и судами когда за ними начинают приглядывать и наказывать за лукавство, о котором они и сами знают.
===========
Источник:
habr.com
===========
Похожие новости:
- [Мессенджеры] Telegram лёг в Европе
- [Законодательство в IT] Госдума одобрила штрафы за пропаганду легалайза
- [Информационная безопасность, Законодательство в IT, IT-компании] Twitter оштрафовали на 450 тысяч евро за нарушение GDPR спустя два года после утечки
- [Информационная безопасность, IT-компании] Как металлургический комбинат с помощью RPA расширил возможности закупок
- [Информационная безопасность, Локализация продуктов, Производство и разработка электроники] Russian microcontroller K1986BK025 based on the RISC-V processor core for smart electricity meters (перевод)
- [Информационная безопасность, GitHub] Данные авторизации взломанного «русскими хакерами» SolarWinds нашли на GitHub еще в 2019 году
- [Информационная безопасность, Open source, Git, GitHub, IT-компании] GitHub предупредил о переходе на токены и SSH-ключи при доступе к Git, пароли отменяются с 13 августа 2021 года
- [Информационная безопасность, Системное администрирование, IT-инфраструктура, Лайфхаки для гиков] Как не проиграть войну криптолокерам в 2021 году
- [История IT, Социальные сети и сообщества, IT-компании] Twitter за неделю закрыла два приложения — Periscope и Squad
- [Мессенджеры, Законодательство в IT, Копирайт, Социальные сети и сообщества] ЕС добавил «ВК» и Telegram в «список отслеживания пиратства»
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_messendzhery (Мессенджеры), #_zakonodatelstvo_v_it (Законодательство в IT), #_sotsialnye_seti_i_soobschestva (Социальные сети и сообщества), #_telegram, #_bug, #_zakonodatelstvo (законодательство), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_messendzhery (
Мессенджеры
), #_zakonodatelstvo_v_it (
Законодательство в IT
), #_sotsialnye_seti_i_soobschestva (
Социальные сети и сообщества
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 18-Июн 17:32
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 4 месяца |
|
В данной статье читателю не будут навязываться постулаты об экосистеме Telegram, или обсуждение хозяина мессенджера. Распишу пункты темно-серой зоны Telegram по своему опыту:
О своём опыте вы можете поделиться в комментариях к статье. Свободный наркотрафик В прошлом 2019 году, когда разработчики мессенджера Telegram ввели новую функцию: гео-чаты (кстати, которую легко подделать при помощи Fake GPS Location). Вот в то самое время барыги оживились и повылазили из темных глубин интернета. ИМХО подпортили репутацию самого мессенджера: повсюду создали наркогеографию. Несколько дней назад я отправил десятки репортов/жалоб команде Telegram на такие сообщества, а так же пожаловался волонтерам ТП в ожидании «расстрела», но расстрела не последовало, никто не удосужился «перезарядить винтовку», уничтожить подобные канал-чаты, никакой наглядной реакции (как обычно) со стороны правительственных сил Telegram-Dubai не последовало. ![]() Этот процитированный отрывок выше из моей конкурсной работы 2019 года. Со времен видимой и невидимой борьбы прошло ни много ни мало времени —1.5 года. Сейчас на носу 2021 новый год. Давайте посмотрим, как модераторы Telegram в режиме God 'mode провели свой «блицкриг»: сократительный огонь по беззаконниками. Если в поиске Telegram ввести название города, то как и раньше в результатах вы получите, в том числе, чаты/каналы с предложением незаконных товаров и услуг, часто которые встречаются в даркнете, потому что в цивилизованном web обычно таких паразитов вылавливают или банят, но только не в Telegram. ![]() декабрь 2020 год. Подобная политика Telegram распространяется не только на наркотрафик, но и на другие сомнительные услуги: ПроституцияSPLПерепродажа персональных данныхSPLФальшивкиSPLОткрытое пиратство В каналах и ботах Telegram можно бесплатно скачать музыку, фильмы, нелицензионный софт, аудио/книги на которые правообладатели не давали свое разрешение на «подобное» использование и распространение. Вчера на Хабре вышла по этому поводу новость «Европейская комиссия опубликовала новый список ресурсов, которые способствуют пиратству и могут получать от него выгоду. Он включает ресурсы, расположенные за пределами ЕС. Впервые в отчете фигурируют Telegram и «Вконтакте».
Из самого отчета, перевод. А) «Telegram утверждает, что они не терпят никакого вредоносного контента на своей платформе и удаляют в течение 24 часов, когда об этом сообщает Autorità per le Garanzie nelle Comunicazioni AGCOM или заинтересованные стороны по электронной почте. Б) «Telegram также указал, что их усилия по борьбе с вредоносным контентом на своей платформе были очень успешными в других областях» Правда? Пример реальной истории с которой я столкнулся, злоумышленник стал распространять пиратский контент (мое произведение) в сети Telegram. Согласно telegram.org/faq ![]() Я отправил подписанный отчет с доказательствами на dmca@telegram.org. Через 24 часа, как утверждается в отчете по Telegram, пиратский контент должны были прикрыть, а по факту я не получил ответа. Прошло уже более трех месяцев с момента репорта по DMCA, а я так и не получил какого-либо положительного или отрицательного решения от Telegram по своей проблеме. Иногда я «их» пингую, но безрезультатно. Подобный отчет был выслан и на другие платформы, куда пошел пиратский контент. Например, Gitlab проверил факты и удалил не только пиратские материалы за +- 48 часов, но и заблокировал учетку мошенника (теперь) без возможности восстановления. Удручающая bug «bounty» Некоторые из читателей, возможно, слышали о багах и уязвимостях в Telegram, на которые руководство мессенджера никак не реагировало или по своему трактовало/присуждало гостинцы исследователям, а кто-то из пользователей Хабра и сами находил в экосистеме Telegram баги и фичи. Для наглядности сравним описание программ bug bounty Telegram с каким-нибудь open source проектом, например, Veracrypt. ![]() hackerone.com/telegram?type=team Скудное описание в 50 слов, за какие дыры Telegram готов платить багхантерам «сколько, за что и в какой валюте». Описание всей программы bug «bounty» за несколько лет даже меньше, чем описание какого-нибудь очередного обновления мессенджера, например, описание обновления об анимированных стикерах в Tg. ![]() hackerone.com/ibb-veracrypt?type=team Вы также можете сравнить программу bug bounty Telegram с другими поощряющимися программами и убедиться сами в том, что первую составляли по эксцентричному принципу. О баге Пример недавнего бага, который я зарепортил на security@telegram.org, пополнив свой послужной список, но как и раньше ответа никакого не последовало. По моему мнению, с отчетом я поторопился, баг больше похож на «жульничество» со стороны Telegram, а не на уязвимость. Суть (пока Telegram не ответит на репорт это считается багом, а не фичей): любой пользователь может получить доступ к заблокированному (например, пиратскому) «удаленному» контенту в сети Telegram. Кейс: для примера возьмем канал на котором регулярно появляется пиратский контент. Вручную найдем такую плашку, которую оставляет Telegram «удаляя» этот самый контент. ![]() «This message couldn't be displayed on your device due to copyright infringement.» t.me/freedomf0x/6842 Данная плашка (через инструмент: поиск по каналу — не ищется), это такая своеобразная «защита двух коней» от мессенджера. Плашка означает, что на этом месте находился «вредоносный контент». Через app «удаленный» контент не доступен. Заходим в Desktop Telegram версию мессенджера, делаем экспорт истории чата/канала (ткнув галочку на «файлы» и сделав ограничения на загрузку файла в 2 Гб), выбираем дату (в данном примере с 21 марта 2020 года по 22 марта 2020 года). После успешного экспорта истории, в отчете html-страницы вместо плашки будет находиться тот самый пиратский контент. Подробный пример кейса на видео ниже. Извините, данный ресурс не поддреживается. :( Почему же это больше похоже на «жульничество»? Я думаю, что Telegram в курсе всей этой вакханалии, положение вещей на данный момент времени руководство просто устраивает: «Ну как бы мы защитили контент, ведь не каждый пользуется Desktop версией через которую „удаленный контент“ вытягивается без каких-либо проблем». Или вот другой пример. Вооружимся ботом @flibustafreebookbot с помощью которого можно скачивать книги. Данный бот был заблокирован Telegram-ом, но явная лазейка осталась и позволяет скачивать книги. Все что нужно сделать — это (переиграть систему): добавить бота в свой приватный чат и дать разрешение «администратора», после чего бот оживает и работает, как ни в чем не бывало. Кстати, этот пиратский бот стартует на Desktop-e без каких-либо ограничений, что противоречит самим ограничениям, которые на него распространила ТП с рут доступом. ![]() Справа налево: бот @flibustafreebookbot заблокирован (Android); бот @flibustafreebookbot (Android) работает после жульнического трюка; бот @flibustafreebookbot (Desktop) работает без каких либо ухищрений. Вывод За прошедшие полтора года в ивовой экосистеме ничего не поменялось, негодяи продолжают торговать, подсаживать, уходить от ответственности. Telegram остался мессенджером, который борется за свободу и безопасность своих бизнес ценностей, не запрещая пропаганду «сомнительных услуг» на своих мощностях. Заявления Telegram о борьбе с вредоносным контентом это просто фарс. Ответственные лица со стороны соц.сети не заботятся о вещах упомянутых в данной статье, не реагирует на репорты пользователей, но при этом оправдываются перед комиссиями и судами когда за ними начинают приглядывать и наказывать за лукавство, о котором они и сами знают. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_messendzhery ( Мессенджеры ), #_zakonodatelstvo_v_it ( Законодательство в IT ), #_sotsialnye_seti_i_soobschestva ( Социальные сети и сообщества ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 18-Июн 17:32
Часовой пояс: UTC + 5