Говорят, что ссылки нового формата Telegram раскрывают геолокацию пользователей. Это плохо?

В конце августа Павел Дуров представил поддержку нового типа ссылок в Telegram — username.t.me. В Сети стали появляться сообщения о том, что их опасно использовать, так как они позволяют раскрывать местоположение пользователей.

«Код Дурова» объясняет, почему сейчас это надуманная проблема.

19 сентября пользователь «Хабра» опубликовал материал «Как ссылка нового формата Telegram способна раскрыть ваше местоположение правоохранительным органам». 20 сентября материалом поделился официальный Telegram-канал «Хабра».

Автор считает, что пользователи хотя бы раз проверяли или делились своим именем пользователя или каналом. Речь идёт о ссылках типа t.me/username. Такие ссылки в браузерах используются мессенджером в качестве редиректа на аккаунты и каналы в приложении Telegram:

Раньше при входе на такую ссылку, никто не мог догадаться, какое имя пользователя вы посещаете, ссылка была спрятана внутри трафика TLS 1.2, — пишет автор материала.

По его словам, всё было анонимно, и многие пользователи делились своими ссылками где угодно, но теперь при использовании нового типа ссылок username.t.me в расширении TLS Server_Name_Indication высвечивается имя пользователя:

Если вы хоть раз проходили по своей ссылке без VPN, то вы официально выдали свой IP-адрес правоохранительным органам. Согласно закону Яровой, оператор связи должен хранить интернет-трафик в течение 30 дней.

Но через 30 дней ситуация не улучшится, мы знаем, что правительство очень дорожит такой чувствительной информацией.

Что же делать? Просто никогда не пользоваться такими стандартами ссылок нигде, даже не кликать по незнакомым.

Почему всё не так ужасно?

Во-первых

Если следовать логике автора статьи, то пользователям вообще не стоит посещать какие-либо сайты по ссылкам. Очевидно, везде есть риск, что кто-либо, в том числе правоохранительные органы, может отследить их поведение.

IP-адреса, а следовательно и потенциальные геолокации могут быть скомпрометированы в любой момент. Чаще всего такое возможно из-за перехода по подозрительным ссылкам. Но ссылка на профиль в Telegram таковой не является.

Также важно понимать, что провайдеры в любой стране могут отслеживать, какие сайты посещаются пользователями. В свою очередь, правоохранительные органы имеют возможность запрашивать такую информацию.

Во-вторых

По ссылке может перейти кто угодно — далеко не факт, что это владелец аккаунта. Да и не все пользователи проверяют работоспособность ссылки на свой профиль. Это может показаться не совсем очевидным объяснением. Однако действительно очень трудно представить, чтобы люди тратили на это время.

Более того, в Telegram ссылка по умолчанию [t.me/username] осталась прежней. Соответственно, исходя из заявления автора материала на «Хабре», всё остаётся таким же безопасным, потому что этот формат всё равно останется самым используемым.

Нужно обратить внимание и на то, что насильного перехода на новый формат [username.t.me] со стороны мессенджера нет, а уничтожить формат по умолчанию [t.me/username] сегодня представляется невозможным и, мягко говоря, странным.

В-третьих

Зачастую пользователи, как и в различных сервисах, привязывают свой аккаунт в мессенджере к основному мобильному номеру телефона. Согласно российскому законодательству, услуги связи оказываются при условии заключения договора с оператором связи:

• салоны связи при покупке SIM-карты требуют паспорт, а при покупке SIM-карты онлайн обычно требуется электронная подпись в «Госключе» или Цифровой образ в Единой биометрической системе, а также подтверждение паспортных данных;
• правоохранительные органы в любой стране мира в теории могли бы сопоставить имя пользователя в аккаунте Telegram с потенциально принадлежащими ему номерами телефона (который предварительно можно поискать по имени и фамилии, указанных в аккаунте);
• такая процедура поимки пользователя, вероятно, была бы гораздо проще, нежели разбор ссылок и попытка обнаружить IP-адрес по ссылке, ведущей на аккаунт в мессенджере.

Что касается самого Telegram, то он придерживается соображений конфиденциальности и свободы слова — политика мессенджера заключается в том, что он может разглашать данные по требованию суда только о подозреваемых в терроризме. Это мессенджер сейчас подтверждает в Индийском Высоком суде Дели.