Срача о том что можно юзать телегу просто тьма. Давайте рассмотрим все факты ЗА и против использования его в рабочих целях. Потому что безопасный месседжер не всегда анонимен (и безопасен )
С самого начала посмотрим в Privacy Policy телеги. Что мы там увидим первым делом:
- сервис будет использовать Ваш номер телефона для авторизации это уже не самый лучший вариант анонимного общения. Привязка к номеру телефона чревата тем что:
--- как минимум заполучив доступ к вашей (вирту-/ре-)альной симке учётку могут просто удалить и вы лишитесь всех своих данных. Да, даже если будет 2FA все равно у телеги есть опция удалить ваш аккаунт и создать его с нуля. Если вам не важны данные которыми вы будете обмениваться то зачем Вам телега?
--- 2-3 года назад телега позволяла добавлять тысячи номеров в телефонную книгу, если не больше и если ваш номер туда попал быстрее чем появились политики конфиденциальности (чтобы скрыть номер) то есть все шансы что Вас уже палит какой-то бот или левому Абдулахмиджу и Гааны пришло сообщение что "Карты/Сканы/ВУ/Шишки/Бошки теперь в Telegram!" и ваш номер
------ если вы попали под действие бота то он будет логгировать все Ваши юзернеймы, ники, фото. Ведь юзернейм это лишь видимая стороно идентификации телеграм аккаунта, есть ещё ID. Его без левых клиентов аля NekoX, в обычном клиенте вы не увидите. За Вами могут следить в какие группы вы вступаете (тем самым паля смены данных если с Вами не была начата перписка!). Ведь ранее тоже был баг что не начиная переписку делая черновик Вы могли следить за юзером как он меняет свои данные, хотя он и не видел ничего. За эту тему как палить по ID момжно тереть вечно, достаточно глянуть API телеги.
- сервис будет хранить Ваши медиа, сообщения и список контактов
--- ошибочно то утверждение что телеграм хранит Ваши сообщения зашифрованными. НЕТ. Он имеет ЗАШИФРОВАННЫЕ СЕРВЕРА, но не сообщения. Ведь давайте думать логично: если бы данные были зашифрованны то как при входе с другого устройства вы получаете все медиа и сообщения без ввода ключа шифрования? Если не вы его вводите то его имеет телегам и так же как с вашим присутствием так и без Вас он может получить доступ к данным. Но если же считать то что ва ввыодите номер телефона и ТГ имеет похожую таблицу (чисто практический семпл):
uid (phone)|data (encrypted)
То тогда выходит что паролем к расшифровке есть ваш номер телефона, ведь вы вводите только его. Херовое шифрование так-то в любом случае)
--- исключением есть только секретные чаты
- телеграм хранит метаданные
--- IP, список устройств (iPhone 11, etc), какие приложения телеграма вы юзали, историю юзернеймов, прочее (не указанно). Уже не круто, в любом случае эта информация не есть зашифрованна. Как минимум ничего об этом не было сказанно.
- Telegram NDA
--- самое говняное что есть. NDA (Non-disclosure agreement) - это договор о не разглашении. Каждая найденная уязвимость с долей в 99% будет выплачена с NDA. Т-е та что Вы о ней не узнаете. К примеру кто-то получил доступ к сообщениям/меиафайлам/серверу - ему дадут бабки и заставят молчать. Примеры того что телега все скрывает: "Баг с сессиями" и Хабр. Не круто ведь, да? Если искать то есть ещё минимум 7 подобных статей где пытались скрыть что есть провалы. Обратите внимание что особо с апдейтами не спешат, как и отвечать)
- FOSS или не FOSS?
--- многие утверждают что телега имеет открытый исходный код, но это правда ровно на половину. Открытым есть только - клиент, а сервер - закрыт. Т-е что там на серверной части известно только Пашке. Их офф Telegram Github. Сам клиент телеги имеет FireBase (доставка сообщений) и вроде как в фоне он не работает если нет Google Services. Говняно, хотя не только телега так. Как мы можем доверять этому если не знаем что там на сервере?
- имеет модерацию
--- т-к его юзают 400 миллионов людей по всему миру, понятно что там не все добряки. И соответственно чтобы их не таскали по судах они должны удалять некоторый контент. Соответственно если они умеют удалять, то и имеют доступ к сообщениям. Т-е не только модерацией, а и анализируют (некоторый контент ранее удалялся автоматически, как и юзеры с некоторыми именами). Собственнно, это и не скрывают ("We may also use automated algorithms to analyze messages in cloud chats to stop spam and phishing").
- Transparency
--- все таки они говорят что будут информировать если будут выдавать данные. Но как там дела с NDA от государства?
- настройки по умолчанию
--- как бы то не было, телега не настроена на приватное общение. В первую очередь как и любой месседжер он будет направлен на то чтобы удовлетворять большинство обычных юзеров, а не нас
Основной довод всех кто юзает телегу: "никого ведь ещё не поймали" просто вспомним ANOM. Вам не достаточно что Ваши сообщения анализируют, они хранятся в открытом виде, а сервис в котором вы ведете переписку всячески пытается всунуть NDA везде? Хмм. Думаю тогда вы из разряда мамкиных-хакеров которые пишут рекомендации юзать Whonix + Jabber, а сами сидят на дырявой Win7 и юзают телегу.
Я могу навести свежий пример как пытались поймать благодаря телеге моего знакомого:
номер зареган на реальное лицо (на товарища, так примерно делают 30% всех юзеров, юзают реальный номер). Представители некоторого отдела пришли к тому товарищу, т-к с телеграм аккаунта на который была привязка к его номеру вели канал с продажей фейковых ДЛ. Хмм, инетресно как они пришли к тому товарищу? Благо он был пустышка, но сообщли тому кого искали что такое вот случилось. В телегу пробовали войти, но стояла 2FA. Просто снесли акк. Как я писал ранее, номер могли просто добавить в контакты и так вот пробить.
Да можно делать телегу на фейк номер (но тогда шансы того что номер перебарыжат будь-то оператор или онлайн-сим сервис и просрать переписки), да можно юзать тор (и забыть о быстрой загрузке медиа, чатов) чтобы не спалить свой айпи сервису (хотя первый запуск шлет без прокси, только кастом клиент). Стоит ли оно того? Ведь таинство переписки доступно только в секретных чатах которых нет на десктопе. Каждый решает для себя в какую 3@лупу ему входить.
Это конец моей статейки. Но я более чем уверен что те кто юзают телегу имеют её и на моб (70% точно) и юзают либо андроид в стоке (либо там хуева туча GAPS, ведь "хочу плотить телефоном в магазине"), либо имеет айфон. В мобильном устройстве тоже есть херова туча телеметрии. Напишу в след статейке. Так что либо не строим из себя кул хацкеров, либо становимся на путь праведный.
Советую обратить внимание на: Signal/Session, Briar, Bery, CWTCH.
С самого начала посмотрим в Privacy Policy телеги. Что мы там увидим первым делом:
- сервис будет использовать Ваш номер телефона для авторизации это уже не самый лучший вариант анонимного общения. Привязка к номеру телефона чревата тем что:
--- как минимум заполучив доступ к вашей (вирту-/ре-)альной симке учётку могут просто удалить и вы лишитесь всех своих данных. Да, даже если будет 2FA все равно у телеги есть опция удалить ваш аккаунт и создать его с нуля. Если вам не важны данные которыми вы будете обмениваться то зачем Вам телега?
--- 2-3 года назад телега позволяла добавлять тысячи номеров в телефонную книгу, если не больше и если ваш номер туда попал быстрее чем появились политики конфиденциальности (чтобы скрыть номер) то есть все шансы что Вас уже палит какой-то бот или левому Абдулахмиджу и Гааны пришло сообщение что "Карты/Сканы/ВУ/Шишки/Бошки теперь в Telegram!" и ваш номер
------ если вы попали под действие бота то он будет логгировать все Ваши юзернеймы, ники, фото. Ведь юзернейм это лишь видимая стороно идентификации телеграм аккаунта, есть ещё ID. Его без левых клиентов аля NekoX, в обычном клиенте вы не увидите. За Вами могут следить в какие группы вы вступаете (тем самым паля смены данных если с Вами не была начата перписка!). Ведь ранее тоже был баг что не начиная переписку делая черновик Вы могли следить за юзером как он меняет свои данные, хотя он и не видел ничего. За эту тему как палить по ID момжно тереть вечно, достаточно глянуть API телеги.
- сервис будет хранить Ваши медиа, сообщения и список контактов
--- ошибочно то утверждение что телеграм хранит Ваши сообщения зашифрованными. НЕТ. Он имеет ЗАШИФРОВАННЫЕ СЕРВЕРА, но не сообщения. Ведь давайте думать логично: если бы данные были зашифрованны то как при входе с другого устройства вы получаете все медиа и сообщения без ввода ключа шифрования? Если не вы его вводите то его имеет телегам и так же как с вашим присутствием так и без Вас он может получить доступ к данным. Но если же считать то что ва ввыодите номер телефона и ТГ имеет похожую таблицу (чисто практический семпл):
uid (phone)|data (encrypted)
То тогда выходит что паролем к расшифровке есть ваш номер телефона, ведь вы вводите только его. Херовое шифрование так-то в любом случае)
--- исключением есть только секретные чаты
- телеграм хранит метаданные
--- IP, список устройств (iPhone 11, etc), какие приложения телеграма вы юзали, историю юзернеймов, прочее (не указанно). Уже не круто, в любом случае эта информация не есть зашифрованна. Как минимум ничего об этом не было сказанно.
- Telegram NDA
--- самое говняное что есть. NDA (Non-disclosure agreement) - это договор о не разглашении. Каждая найденная уязвимость с долей в 99% будет выплачена с NDA. Т-е та что Вы о ней не узнаете. К примеру кто-то получил доступ к сообщениям/меиафайлам/серверу - ему дадут бабки и заставят молчать. Примеры того что телега все скрывает: "Баг с сессиями" и Хабр. Не круто ведь, да? Если искать то есть ещё минимум 7 подобных статей где пытались скрыть что есть провалы. Обратите внимание что особо с апдейтами не спешат, как и отвечать)
- FOSS или не FOSS?
--- многие утверждают что телега имеет открытый исходный код, но это правда ровно на половину. Открытым есть только - клиент, а сервер - закрыт. Т-е что там на серверной части известно только Пашке. Их офф Telegram Github. Сам клиент телеги имеет FireBase (доставка сообщений) и вроде как в фоне он не работает если нет Google Services. Говняно, хотя не только телега так. Как мы можем доверять этому если не знаем что там на сервере?
- имеет модерацию
--- т-к его юзают 400 миллионов людей по всему миру, понятно что там не все добряки. И соответственно чтобы их не таскали по судах они должны удалять некоторый контент. Соответственно если они умеют удалять, то и имеют доступ к сообщениям. Т-е не только модерацией, а и анализируют (некоторый контент ранее удалялся автоматически, как и юзеры с некоторыми именами). Собственнно, это и не скрывают ("We may also use automated algorithms to analyze messages in cloud chats to stop spam and phishing").
- Transparency
--- все таки они говорят что будут информировать если будут выдавать данные. Но как там дела с NDA от государства?
- настройки по умолчанию
--- как бы то не было, телега не настроена на приватное общение. В первую очередь как и любой месседжер он будет направлен на то чтобы удовлетворять большинство обычных юзеров, а не нас
Основной довод всех кто юзает телегу: "никого ведь ещё не поймали" просто вспомним ANOM. Вам не достаточно что Ваши сообщения анализируют, они хранятся в открытом виде, а сервис в котором вы ведете переписку всячески пытается всунуть NDA везде? Хмм. Думаю тогда вы из разряда мамкиных-хакеров которые пишут рекомендации юзать Whonix + Jabber, а сами сидят на дырявой Win7 и юзают телегу.
Я могу навести свежий пример как пытались поймать благодаря телеге моего знакомого:
номер зареган на реальное лицо (на товарища, так примерно делают 30% всех юзеров, юзают реальный номер). Представители некоторого отдела пришли к тому товарищу, т-к с телеграм аккаунта на который была привязка к его номеру вели канал с продажей фейковых ДЛ. Хмм, инетресно как они пришли к тому товарищу? Благо он был пустышка, но сообщли тому кого искали что такое вот случилось. В телегу пробовали войти, но стояла 2FA. Просто снесли акк. Как я писал ранее, номер могли просто добавить в контакты и так вот пробить.
Да можно делать телегу на фейк номер (но тогда шансы того что номер перебарыжат будь-то оператор или онлайн-сим сервис и просрать переписки), да можно юзать тор (и забыть о быстрой загрузке медиа, чатов) чтобы не спалить свой айпи сервису (хотя первый запуск шлет без прокси, только кастом клиент). Стоит ли оно того? Ведь таинство переписки доступно только в секретных чатах которых нет на десктопе. Каждый решает для себя в какую 3@лупу ему входить.
Это конец моей статейки. Но я более чем уверен что те кто юзают телегу имеют её и на моб (70% точно) и юзают либо андроид в стоке (либо там хуева туча GAPS, ведь "хочу плотить телефоном в магазине"), либо имеет айфон. В мобильном устройстве тоже есть херова туча телеметрии. Напишу в след статейке. Так что либо не строим из себя кул хацкеров, либо становимся на путь праведный.
Советую обратить внимание на: Signal/Session, Briar, Bery, CWTCH.