Разбор: Житель Перми с новой сим-картой получил доступ к чужому Telegram-аккаунту

В Сети начали появляться сообщения о «нулевой безопасности» Telegram со ссылкой на публикацию Константина Фоминых, который в своём Facebook рассказал о том, как получил доступ к аккаунту постороннего человека в Telegram. Разбираемся в ситуации.

Итак, Константин Фоминых является заместителем директора Инжинирингового центра новых технологий. Он рассказал о том, что на работе ему выдали новую сим-карту «Билайна» для служебного телефона. Далее он вставил её в «абсолютно чистый телефон и решил активировать Telegram». Приложение при активации попросило его ввести номер телефона, а после выслало код активации:

После этого случилось страшное! Мне в телефон загрузилась полная частная переписка бывшего владельца симкарты!!! За 4 (четыре) последних года. Храните свои симки! Не пишите, что попало в Telegram, — пишет Фоминых.

Он отметил, что ситуация для него не совсем понятная. Дело в том, что период между покупкой сим-карты и последними действиями бывшего владельца аккаунта (и, соответственно, номера телефона) меньше 10 дней:

Билайн продал нам сим-карту, которая в его базе ещё две недели назад числилась за частным лицом. По какой-то причине номер вернулся в коммерческий оборот Билайна. Может быть владелец перешёл к другому оператору, а номер за собой не стал сохранять. А вот то, что в Телеграме такая «приватность» это печально..

Кто же виноват? Telegram, «Билайн» или бывший владелец номера?

Начнём с Telegram.

Первое, что может прийти в голову — обвинить Telegram в полном отсутствии защиты личных данных и переписки. Тем не менее, мессенджер не имеет возможностей следить за тем, что владелец аккаунта сменил свой основной номер. Это можно аргументировать тем, что в один телефон пользователь может вставить вторую сим-карту и авторизироваться в мессенджере под соответствующим номером на втором аккаунте. Благо, Telegram позволяет пользоваться несколькими учётными записями.

Единственное, что мог бы сделать мессенджер — это узнать у пользователя либо об актуальности действующего номера, к которому привязан аккаунт, либо при обнаружении новой сим-карты ненавязчиво спросить, к примеру, хочет ли пользователь поменять привязанный к учётной записи номер на новый. Но такие действия, как изменение привязанного номера — забота исключительно лишь самого пользователя.

Речь о том, что мессенджер и так предлагает указать период, по прошествии которого аккаунт и все данные в нём будут удалены. В теории это может обезопасить пользователя, который перестал по каким-то причинам пользоваться Telegram. Но давайте зададимся вопросом: а как часто в мире люди меняют номера и в этот же момент перестают пользоваться сервисами, привязанными к старым сим-картам?

Насколько крупная ответственность в этой ситуации лежит на операторе?

Когда оператор завершает действие договора с абонентом — он продаёт номер. Обычно продажа происходит через несколько месяцев после последнего списания средств со счёта. Иногда абонент может сам расторгнуть договор и перейти, например, на другого оператора. В такой схеме ответственность может лежать ещё и на законодательных нормах. В идеальном варианте операторы могли бы всем абонентам позволить оставлять за собой текущий номер, но пользоваться услугами уже другого оператора.

В текущей ситуации операторы снимают с себя ответственность и рекомендуют самостоятельно решать вопросы актуализации информации для обеспечения сохранности личной переписки. «Код Дурова» взял комментарии у представителей «Билайна»:

Данные переписки хранятся на серверах Telegram, а не в сим-карте. Мы рекомендуем при смене номера обращаться в поддержку мессенджера для того, чтобы обезопасить свои данные.

Виноват всё-таки бывший владелец номера?

Очевидно, да. Лучшая надёжная защита — бдительность самого пользователя. Вполне логично предположить, что ни один сервис не несёт ответственности за то, что пользователь не привязал учётную запись к действующему номеру. То же российское законодательство предполагает получение номера по паспорту, а это значит, что вполне глупо расставаться со старым номером и в это же время забывать о необходимости обновить актуальные данные.

Некоторые эксперты уверяют, что в большей степени ответственность должна лежать на сервисах и операторах. Но можно привести к примеру и социальную сеть ВКонтакте. По стечению определённого времени соцсеть сама запрашивает у пользователя актуальность телефонного номера и адреса электронного ящика, когда он посещает, например, веб-версию сайта. Что же ещё должны сервисы предпринимать в защиту пользователей в таких случаях?