Уважаемые пользователи форума, убедительно просим вас переходить в телеграмм продавца, исключительно по предоставленной ссылке. Проверяйте продавца, отправив сообщение на электронную почту, чтобы убедиться в том, что вы общаетесь действительно с ним.

Уязвимость в Telegram позволяет получить доступ к приватным чатам

Тема в разделе "Новости мирового кардинга", создана пользователем ///AMG, 1 апр 2018.

  1. ///AMG

    ///AMG Moderator Модератор форума

    Сообщения:
    798
    Симпатии:
    0
    Исследователь обнаружил в Telegram и Telegraph несколько серьезных уязвимостей.

    Исследователь безопасности, известный на «Хабрахабр» как w9w, обнаружил в мессенджере Telegram ряд серьезных уязвимостей. По словам исследователя, защищенный мессенджер не такой защищенный, как принято считать. Так, мошенники могут использовать ссылки t.me для заманивания пользователей на фишинговые сайты, конфиденциальность приватных чатов оставляет желать лучшего, а публикации в сервисе Telegraph могут редактировать посторонние.

    Как отметил исследователь, «на t.me присутствуют явные проблемы с запретом индексации конфиденциального контента». Коды Telegram-ботов появляются в результатах поиска поисковых систем из-за отсутствия в robots соответствующих запретов. Злоумышленник может воспользоваться этим для получения данных пользователей. Помимо электронных адресов, являющихся публичной информацией, таким образом хакер способен также получить доступ в приватные чаты и каналы.

    Вторая обнаруженная исследователем уязвимость – Open Redirect. «Уязвимость позволяет сделать прямой редирект из t.me на любой фишинговый сайт, скачивание трояна, вредоносный js (например, js майнер или использование последнего 0-day в процессорах intel) и др.», - пишет исследователь. С ее помощью злоумышленник может отредактировать чужую статью в Telegraph, имея в своем распоряжении лишь номер страницы page_id.

    Третьей уязвимостью оказалась межсайтовая подделка запросов (CSRF). Токен находится в исходнике статьи, например, статье telegra.ph/Durov-01-22 принадлежит id 7f0d501375c9e2acbd1ef.

    Исследователь сообщил разработчикам Telegram о своих находках в рамках программы выплаты вознаграждения за обнаруженные уязвимости. За первую из них он получил €50, за Open Redirect – €100, а за CSRF в Telegraph – €1400.
  2. cvetochniy

    cvetochniy New Member

    Сообщения:
    4
    Симпатии:
    0
    затариваемся почтовыми голубями,почаны
  3. medina

    medina New Member

    Сообщения:
    4
    Симпатии:
    0
    Ну по первой совсем очевидно все, индексацию давно все обсуждали. Она и 50 евро не стоит
  4. anotheryou

    anotheryou New Member

    Сообщения:
    4
    Симпатии:
    0
    Есть и более защищенные мессенджеры, но они не такие удобные
  5. Чума

    Чума Member

    Сообщения:
    277
    Симпатии:
    0
    Да дело не в том насколько эта ебала защищена, а в том, какие данные она от тебя хочет. Если клиент жабы ты можешь запустить на сервере в средиземье, а сервак хмпп поднять в Панаме и никакой инфы протоколу от тебя не нужно. То тут и номер будь добр указывать существующий и вся инфа хранится у них на серверах, да и при реге даже телега начинает ебать мозг. Да на вексе меньше от клиента требуют какой-либо инфы, чем в телеге. Совсем недавно понгадобилось сменить почту в акке векса без кейайси. Так ваще нихуя не запросили инфу обо мне, просто попросили доказать что именно мне акк принадлежит (доступа к почте у меня не было).

Поделиться этой страницей