Запрос на авторизацию вашего аккаунта в телеграмме что это значит
Авторизация/Регистрация пользователя через Telegram
В данном топике хочу описать дополнительный, а для некоторых сервисов возможно и основной способ авторизации и регистрации пользователя через Telegram, подобно OAuth авторизации через социальные сети и web-сервисы.
Допустим, у Вас есть некий сервис, который предлагает пользователям вход через Telegram. На странице авторизации пользователю предлагается ввести его Username в Telegram. После ввода Username, на аккаунт пользователя приходит сообщение с кодом подтверждения, который он вводит на странице авторизации.
В первую очередь нам потребуется «живой» аккаунт в Telegram, то есть аккаунт который зарегистрирован на мобильный номер телефона. В данном случае боты не подходят для данной задачи, так как боты не могут писать сообщения первыми.
Теперь что касается серверной стороны.
На странице приложений Telegram есть не официальное приложение telegram-cli. Оно и будет выполнять функцию приложения которое будет взаимодействовать с сервером Telegram.
Для упрощения примера telegram-cli будем ставить в каталог /usr/local/src/:
cd /usr/local/src/
Ставим необходимые пакеты:
sudo apt-get install libreadline-dev libconfig-dev libssl-dev lua5.2 liblua5.2-dev libevent-dev libjansson-dev python-dev
Собираем telegram-cli:
./configure make
При первом запуске, приложение попросит ввести номер телефона нашего «живого» аккаунта. После ввода номера, будет выслан код подтверждения по смс или в приложение если данный аккаунт сейчас активен на другом устройстве. После подтверждения, в вашем домашнем каталоге будет создана директория «.telegram-cli» в которой будут хранится файлы конфигураций для указанного аккаунта.
Видим следующую картину: 
Выходим из приложения:
quit
Теперь нам необходим скрипт который будет взаимодействовать с telegram-cli.
По ключевым словам(telegram-cli php client) на GitHub было найдено готовое решение на PHP.
Создаем файл tg.php со следующим содержанием:
Запускаем скрипт:
php tg.php
Если все прошло успешно, пользователю будет отправлено сообщение с кодом.
На базе данного примера можно легко реализовать регистрацию/авторизацию пользователей через Telegram.
SMS-коды авторизации Telegram продолжают перехватывать
Примерно три месяца назад Павел Дуров предупредил пользователей, что авторизация по SMS в мессенджере Telegram скомпрометирована. «Судя по всему, спецслужбы РФ решили начать давить на операторов связи, чтобы те стали осуществлять перехват авторизационного SMS-кода. Обычно такое встречается только в рамках людоедских, не заботящихся о своей репутации режимах — средняя Азия, иногда Ближний Восток. Но внезапно случилось в России (если, конечно, отсечь коррупцию внутри МТС)», — сказал Павел Дуров и пообещал сделать рассылку для всех пользователей с советом включить двухфакторную авторизацию, так как операторы связи РФ как верификатор ненадёжны.
К сожалению, даже двухфакторная авторизация не является панацеей. Вчера один из пользователей Telegram Сергей Пархоменко подробно описал, как злоумышленникам удалось уничтожить его аккаунт, на котором была включена двухфакторная аутентификация.
Суть событий вкратце:
На телефон внезапно посыпались один за другим коды для доступа к аккаунту, которые я не запрашивал. Потом при попытке войти в свой аккаунт мне предложили сделать это так, как будто это происходит в первый раз. В открывшемся интерфейсе обнаружилось, что вся история переписки, все чаты, все контакты исчезли. Аккаунт оказался новым, как бы девственно чистым.
Среди открытых сессий обнаружилась одна — сделанная с постороннего компьютера (у меня нет ни одного PC).
Короче говоря, это означает, что взломать аккаунт и увести переписку злодеям не удалось, но удалось его уничтожить. Пришлось мне его грохнуть и открыть новый ещё раз, уже осознанно, пройдя через процедуру удаления и заведения эккаунта, — для надёжности.
Внизу скриншот с записью о «левой» открытой сессии — для любителей покопаться в IP-адресах. Привет обладателю этого адреса. Надеюсь, однажды вас всех будут судить.
После общения с техподдержкой Telegram Сергею Пархоменко сегодня удалось узнать некоторые подробности о взломе своего аккаунта Telegram.
Во-первых, злоумышленники действительно получили доступ к SMS-сообщениям жертвы через провайдера МТС.
Взломать аккаунт они не смогли, потому что не знали пароля. Но зато в Telegram существует уязвимость в безопасности, которая позволяет удалить аккаунт и открыть вместо него новый только по SMS, что и сделали злоумышленники (возможно, со злости).
Представители Telegram заверили, что закроют уязвимость в течение ближайших дней.
К сожалению, из-за высокого уровня безопасности Telegram восстановить данные в удалённом аккаунте невозможно.
Фрагмент SMS-переписки Максима Каца, которую злоумышленники целиком выложили в интернет
Приходят коды подтверждения телеграмм: что делать
Узнаем, почему приходят вам стали приходить коды подтверждения в телеграмм…
Вы обожаете чернуху в Телеграм, но вот незадача — стали приходить СМС с кодами.
Кто-то пытается получить доступ к вашему аккаунту телеграм или это пранк? Давайте разбираться.
В каких случаях телеграм отправляет коды подтверждения
Код подтверждения в телеграмме, всегда, приходит по конкретному запросу пользователя. Код может прийти в трех случаях:
Это единственные случаи, когда код отправляется самим телеграмом корректно и беспокоиться не нужно.
Что делать, когда приходят коды в СМС
Иногда код приходит без запроса пользователя. Помните: если приходят коды в СМС для подтверждения телеграмм — срочно поменяйте пароль на очень сложный
Если вы не пытались восстановить доступ к своему аккаунту, то ещё одна воможная причина — ошибочный ввод вашего телефона другим пользователем
Когда на телефон приходит код телеграм, который вы не запрашивали: проверьте почту. Там могут быть уведомления о попытке взлома аккаунта.
Активные сеансы + история входов
Скачайте и запустите веб-версию Telegram. Откройте настройки и кликните по кнопке «Активные сеансы».
На экране появятся логи активности вашего аккаунте. Проверьте их очень внимательно
Посмотрите: какие устройства использовались для входа в аккаунт / в какое время.
Резюме
Когда приходят коды подтверждения телеграмм — завершаем все сессии, срочно меняем пароль и активируем двухфакторную аутентификацию.
Почему двухфакторная авторизация в Telegram не работает
После недавних громких взломов Telegram-аккаунтов в России, основатель сервиса Павел Дуров сказал, что двухфакторная авторизация «позволяет защитить важную информацию».
Да, если двухфакторная авторизация в Telegram включена, то атакующий, угнавший ваш аккаунт, не получит историю ваших переписок — но от самого угона эта двухфакторная не защищает, хотя вроде как должна бы.
То есть если атакующий может получить вашу SMS с кодом для входа, то он гарантированно может угнать ваш аккаунт независимо от того, включена ли у вас двухфакторная авторизация или нет.
Под «угнать» я понимаю «может войти в приложение Telegram под вашим номером телефона» и писать от вашего имени сообщения вашим контактам.
Происходит это следующим образом:
1. Атакующий у себя в приложении указывает номер телефона жертвы и пытается войти в аккаунт. Тут он видит сообщение, что код отправлен не по SMS, а на приложение, зарегистрированное на этот номер, на другом устройстве:
2. В этот момент жертва получает системное уведомление у себя в приложении (или приложениях) Telegram:
3. Атакующий нажимает «Didn’t get the code?» и Telegram отправляет код через SMS:
4. Тут атакующий вводит код из SMS и узнает, что в настройках аккаунта включена двухфакторная авторизация и что ему нужно ввести пароль (в данном случае «10» это подсказка для пароля, выбранная при включении двухфакторной):
5. Далее атакующий притворяется, будто он забыл пароль — «Forgot password?». Тут атакующему сообщают, что код восстановления отправлен на электронную почту (если жертва при включении двухфакторной авторизации указала адрес электронной почты). Атакующий не видит адреса электронной почты — он видит лишь то, что после «собачки»:
6. В этот момент жертва получает код для сброса пароля на адрес электронный почты (если она указала адрес электронной почты при включении двухфакторной авторизации):
7. Атакующий нажимает «ok» и видит окошко, куда нужно ввести код для сброса пароля, который был отправлен на электронную почту. Тут атакующий говорит, что у него проблемы с доступом к своей почте — «Having trouble accessing your e-mail?». Тогда Telegram предлагает «reset your account»:
8. Атакующий нажимает «ok» и видит два варианта — или ввести пароль, или нажать «RESET MY ACCOUNT». Telegram объясняет, что при «переустановке» аккаунта потеряется вся переписка и файлы из всех чатов:
9. Атакующий нажимает «RESET MY ACCOUNT» и видит предупреждение, что это действие невозможно будет отменить и что при этом все сообщения и чаты будут удалены:
10. Атакующий нажимает «RESET» и Telegram просит указать имя для «переустановленного» аккаунта:
11. Собственно, все, атакующий успешно угнал аккаунт: он вошел под номером телефона жертвы и может писать от её имени сообщения:
12. Жертва при этом видит приложение таким, каким оно было сразу после установки. Приветственный экран рассказывает о Telegram и предлагает зарегистрироваться или войти в уже существующий аккаунт:
13. Когда атакующий пишет от имени жертвы кому-нибудь из контактов жертвы, этот контакт видит, что жертва только что присоединилась к Telegram (что подозрительно), а также новое сообщение (или сообщения) в новом чате от жертвы. Через 12–16 часов контакт также увидит, что в старых чатах вместо имени жертвы указано «Deleted Account»:
Если жертва имеет возможность получать SMS на этот номер телефона, она может войти в приложение Telegram на своём устройстве. Если атакующий на угнанном аккаунте не включил двухфакторную авторизацию, жертва может войти и в меню Settings => Privacy and Security => Active Sessions прекратить все остальные сессии (то есть сессии атакующего):
Если же атакующий на угнанном аккаунте включил двухфакторную авторизацию — жертва, в свою очередь, таким же образом может «угнать обратно» свой аккаунт.
Получается, что единственная польза от двухфакторной авторизации в Telegram — чтобы атакующий не получил переписку из обычных не секретных чатов (если угнать аккаунт без включенной двухфакторной, то атакующий получит всю историю переписок из несекретных чатов, из секретных чатов он и так и так ничего не получит). То есть Telegram с включённой двухфакторной авторизацией даёт приблизительно то же самое, что Signal и WhatsApp обеспечивают и так, без никакой двухфакторной авторизации.
Иными словами, двухфакторная авторизация в Telegram не совсем настоящая, Telegram все равно позволяет войти используя один лишь фактор — код из SMS.
Ситуация несколько анекдотичная: вот вам, юзеры, двухфакторная авторизация. Первый фактор — код из SMS (что у меня есть), второй фактор — пароль (что я знаю). Звучит супер, но когда юзер говорит — а я вот забыл пароль, Telegram говорит — ну ничего, бывает, заходи без пароля и пользуйся на здоровье 🙂
Это удалось выяснить экспериментальным путём в рамках немножко более масштабного исследования о Telegram, WhatsApp и Signal — «Как «защищённые» мессенджеры защищены от кражи SMS»
Group-IB рассказала о случаях взлома аккаунтов в Telegram при помощи перехвата SMS с кодом авторизации Статьи редакции
Таким способом злоумышленники могут получить доступ и к другим мессенджерам и сервисам без дополнительной защиты.
Злоумышленники могут получить доступ к переписке в Telegram, используя перехваченные SMS-коды, которые приходят пользователю при входе в аккаунт с нового устройства. Это выяснили специалисты по кибербезопасности российской Group-IB.
С проблемой несанкционированного доступа к переписке столкнулись несколько российских предпринимателей, они обратились в Group-IB за помощью, рассказали в компании. Пострадавшие пользовались устройствами на Android и iOS и были клиентами разных операторов связи.
Во всех случаях на устройствах пострадавших единственным фактором авторизации были SMS. Опасность в том, что таким образом злоумышленники могут получить доступ и к другим мессенджерам, социальным сетям, электронной почте, различным сервисам или приложениям мобильного банкинга, где для авторизации используются только SMS.
Во всех случаях, о которых известно Group-IB, злоумышленники входили в чужие аккаунты через мобильный интернет в Самаре. Компания нашла на хакерских форумах несколько объявлений о продаже доступа к разным мессенджерам. В одном из объявлений неизвестный обещает, что за 100 тысяч рублей покупатель через два-четыре дня сможет в режиме реального времени увидеть всю переписку человека в WhatsApp, Telegram или Viber.
Для защиты Group-IB рекомендует установить двухфакторную верификацию или пароль в дополнение к обязательной SMS в Telegram и других сервисах.