Это не баг, это фича!
Ничего себе история со страшно защищённым-перезащищённым "Телеграмом", для которого безопасность пользователей - превыше всего.
«Защищённый» мессенджер Telegram с шифрованием коммуникаций предположительно помогает сохранить анонимность пользователей — и поэтому широко используется участниками протестных акций в Гонконге. Но в последние дни среди них поднялась настоящая паника: по каналам распространяется сообщение, что у полиции есть способ определять телефонные номера пользователей Telegram.
Компания Telegram признала баг с утечкой конфиденциальных данных. Она также пояснила, что это не баг, а фича.
Схема предположительных действий полиции показана на скриншотах вверху:
- Полиция генерирует контакт-лист с тысячами телефонных номеров по порядку.
- Добавляется в группу протестующих.
- Telegram сообщает, какие пользователи из контакт-листа уже есть в группе
Эту схему можно легко автоматизировать для перебора большого количества телефонных номеров.
Активисты говорят, что таким способом можно узнать номера телефонов даже в том случае, если пользователь указал в настройках Telegram никому не показывать свой телефонный номер. (Отсюда.)
Сурово. Особенно любопытно то, что в "Телеграме" это багом никак не считают. То есть вы выставляете в "Никто" опцию показа вашего телефонного номера, но его через группу все равно можно увидеть.
И еще интересное замечание.
UPD. «Хочу напомнить, что Павел Дуров, ещё будучи главой ВКонтакте, в один хороший день принял решение запретить пользователям скрывать список своих друзей, дабы „повысить вовлечённость”, — пишет AlxDr. — Когда поднялась буча, сначала Павел задвинул моралистскую речь вида „цельной и морально зрелой личности нет необходимости стесняться своих знакомств”, а потом всё же под давлением общественности разрешил скрывать десяток (или около того) друзей на выбор. Это всё, что нам нужно знать о нынешнем предводителе Telegram и его понятиях о приватности, анонимности и заботе о пользователях. Telegram ничто не мешает сделать опциональную авторизацию по логину, без привязки номера телефона. Либо хотя бы возможность отвязать номер позже, после начальной регистрации, чтобы он не фигурировал вообще нигде. Кроме „интересов бизнеса”, конечно же».
