Кодик кратко объясняет суть статьи
Telegram ввёл новые меры безопасности для защиты аккаунтов от краж, включая исправление уязвимости, позволявшей злоумышленникам перехватывать токен сессии через поддельные ссылки с официального домена. Ранее, заменяя часть URL, мошенники могли получить доступ к аккаунту. В ответ компания ввела «период охлаждения»: в течение 7 дней после входа в аккаунт пользователь не сможет передавать подарки, что даёт время на блокировку аккаунта через поддержку. Это также призвано защитить от краж цифровых коллекций и TON. В августе 2025 года был ограничен вывод TON из встроенного кошелька «Мои TON», чтобы предотвратить несанкционированный доступ к средствам. Решение стало реакцией на многочисленные жалобы пользователей и сообщения СМИ о случаях физического давления и краж сессий из-за слабой информационной безопасности.
Читайте в Telegram
|
Новый механизм борьбы с последствиями кражи аккаунтов вводит Telegram.
Одна из новых мер безопасности направлена на борьбу со случаями получения доступа к аккаунту: например, Telegram исправил баг, который позволял при рассылке мошеннических ссылок автоматически заходить в аккаунт.
В чём заключалась проблема: злоумышленник предлагал перейти из приложения на сайт с доменом мессенджера, после чего заменить в ссылке слово и перейти по ней. После этого злоумышленнику удавалось перехватить токен сессии. Дело в том, что токен сессии мог автоматически вшиваться в URL официального домена веб-версии мессенджера, и мог оставаться в ссылке какое-то время. Замена слова в ссылке фактически позволяла узнать тот самый токен.
Основной введённой мерой стало введение мессенджером периода «охлаждения» на некоторые действия в профиле: например, при заходе в аккаунт пользователь не сможет передавать подарки в течение следующих 7 дней. Это поможет пользователям успеть «заморозить» свой аккаунт через поддержку.
В чём заключалась проблема: по данным «Кода Дурова», пользователи несколько месяцев просили главу Telegram Павла Дурова защитить подарки в профилях от угона. СМИ неоднократно продолжали сообщать о случаях физического насилия ради кражи коллекций, но чаще пользователи (по большей части из-за отсутствия знаний об информационной безопасности) сталкивались с перехватом сессий авторизации в аккаунте.
В августе 2025 года Telegram внедрил меры безопасности, которые не позволят преступнику физически получить доступ к TON на аккаунте пользователя.
