Три друга и эксплойт на $3-5 млн: история о том, как бесплатно получали и перепродавали Telegram Premium
Три друга и эксплойт на $3-5 млн: история о том, как бесплатно получали и перепродавали Telegram Premium

Три друга и эксплойт на $3-5 млн: история о том, как бесплатно получали и перепродавали Telegram Premium

1 ноября, 20224 минуты на чтение
22,2к
Подписывайтесь на [Код // Дурова] в Telegram[Код // Дурова] в Telegram

«У нас была пара сотен баксов, несколько часов свободного времени, подарочные карты App Store, iPhone с джейлбрейком и дикое желание сэкономить на подписке Telegram Premium…»

В середине августа компания из трёх московских школьников искала возможность сэкономить на стоимости Telegram Premium, которая казалась им высокой, и в итоге обнаружила уязвимость, благодаря которой подписку можно было получить вовсе бесплатно.

Один из друзей, называющий себя в Сети Martov, в момент покупки подарка на iPhone с джейлбрейком (и установленным твиком из Cydia — LocalIAPStore) нажал кнопку «отменить», и действие отменилось, но подарочная подписка активировалась.

Обнаружив этот баг, Martov и его друзья Munfizy и Филя решили его коммерчески эксплуатировать, а именно перепродавать полученные таким образом подписки. Всё, что для этого требовалось: iPhone с джейлбрейком и несколько подарочных карт App Store.

«Я случайно нажал отменить и подарил подписку. Я подумал, что можно на этом заработать», — Martov.

Так началась история «пиратских» подписок на Telegram Premium с большим дисконтом, которые значительное время распространялись на площадках по продаже различного онлайн-инвентаря.

Клиентов искать не пришлось

Изначально друзья решили работать вместе. Каждому требовалось купить по три iPhone, которые можно было подвергнуть джейлбрейку, а также по три подарочных карты App Store на $15, $25 и $45. Этого инструментария было достаточно, чтобы «дарить» подписки на 3, 6 и 12 месяцев соответственно.

Низкие первоначальные вложения позволили сразу продавать подписку с 50%-м дисконтом от официального прайса — за 450, 900 и 1400 рублей в зависимости от срока действия, рассказал «Коду Дурова» Munfizy. Причём, по его словам, клиентов даже искать не пришлось — сарафанное радио работало успешно, а количество продаж увеличивалось в геометрической прогрессии, покупать рекламу необходимости не было.

Тогда стало ясно, что работать вместе друзья больше не могут, и они разделились на две команды: Munfizy и Филя продолжили работать вместе, а Martov отправился «в свободное плавание».

Первое время им даже удавалось договариваться о единых ценах, обе команды активно расширялись, нанимая в свои ряды всё больше и больше сотрудников. С этого момента стало увеличиваться количество причастных к схеме людей, и из-за этого она постепенно начинала рушиться.

«Одиночные работники могли делать до 200 тысяч рублей в сутки. Это было сложно, но возможно. Необходимо было обслужить порядка 3 тысяч клиентов за раз. Вся наша сеть могла приносить примерно $5-6 тысяч в день», — Munfizy.

Скоро новоиспечённые работники, которые по большей части были друзьями и знакомыми первооткрывателей эксплоита, приходили к выводу, что могут работать в одиночку. Ведь формально их ничего не сдерживало от того, чтобы сделать собственную воронку продаж и перестать делиться частью заработанного с «боссами».

«Количество «компаний», предоставляющих услуги продажи подписки в Telegram, начало стремительно расти. Мы начинали с двух, сейчас их более 25, и все они работают по нашей инструкции. Кто-то её купил, а кто-то получил вообще бесплатно — по дружбе», — Munfizy.

Вместе с тем «Коду Дурова» на условиях анонимности удалось пообщаться с создателем площадки по продаже различного онлайн-инвентаря, в список товаров которой входил и Telegram Premium. Он признался, что доступ к нему предоставлял «поставщик» за процент от дохода. Затем «поставщик» предложил ему купить схему за 500 тысяч рублей, но спикер отказался.

«К слову, ему было лет пятнадцать, и сам он эту схему украл»,  — добавил источник.

Крах воздушного замка

Увеличение количества продавцов «пиратских» Telegram Premium привело к хаосу — каждый хотел быть более привлекательным для клиентов, поэтому снижал цену. Таким образом, стоимость Telegram Premium на чёрном рынке снизилась почти в 10 раз — до 35 рублей за 3 месяца, 70 рублей за 6 месяцев и до 150 руб за год. В итоге годовая «пиратская» подписка стала стоить в два раза ниже месячной, но купленной официально. Это стало одной из причин ссоры между первооткрывателями бага, результатом которой стала первая продажа схемы. Одному из них удалось продать её за $5 тысяч.

При этом Martov сообщил «Коду Дурова», что не продавал инструкцию до последнего. По его словам, он сделал это лишь на прошлой неделе — покупателями выступили два пользователя из Китая, заплатившие $500 и $700. Однако количество клиентов у них было небольшое, поэтому говорить о резком наплыве «воздушных» Premium-подписчиков из Китая не приходится.

«Я считаю, что убытки Telegram могут составлять от $3 млн до $5 млн. Только нашим двум командам удалось активировать подписок более чем на 150 тысяч аккаунтов», —  Munfizy.

По наблюдениям «Кода Дурова», лишь в канале Фили, в котором он делился позитивными отзывами на проданные подписки, более 1200 публикаций. При этом Munfizy подчеркнул, что цифра в 150 тысяч пользователей была лишь началом, и он предполагает, что таких пользователей могло быть намного больше.

Один из трёх первооткрывателей на условиях анонимности раскрыл свой доход от эксплуатации бага. Ему удалось заработать около $80 тысяч, что подтверждают предоставленные «Коду Дурова» выписки с личного счёта.

На вопрос о том, почему друзья не сообщили о баге команде Telegram и не получили за это вознаграждение, один из них ответил:

«Насчёт оплаты за обнаружение багов я не знал. Точнее не знал, что для них отведён определённый бот. Почему не сразу? Ну… Банальный заработок, так как после отсутствия ответа от поддержки, которая даже не перенаправила меня к другим специалистам, я начал сомневаться в нормальной оплате от Telegram», — сообщил собеседник.

Снова в школу

Критическое снижение цен на «пиратские» подписки, жестокая конкуренция и вечные споры между первооткрывателями уязвимости привели к тому, что Munfizy решил опубликовать схему публично, а также передать её команде Telegram с пояснением, как исправить баг. Что и было сделано вечером 29 октября.

Утром 30 октября уязвимость в мессенджере была закрыта, а вся «империя» по продаже подписок получила метки «SCAM», начиная от пользовательских аккаунтов, заканчивая ботами и каналами. Вечером 31 октября Telegram начал массово отменять купленные таким способом подписки.

В разговоре с «Кодом Дурова» источник, близкий к Telegram, подтвердил факт того, что уязвимость существовала и была закрыта. По словам источника, команде Telegram удалось найти метод идентификации пользователей с такой подпиской, поэтому для них Telegram Premium будет отменён.

Вскоре Munfizy начали поступать угрозы личного характера. Злоумышленники начали шантажировать парня тем, что опубликуют его личные данные так же, как он — инструкцию. Но сам Munfizy надеется на несерьёзность этих угроз.

Данная страница содержит «вставки» с других сайтов, скрипты которых могут собирать ваши личные данные для аналитики и своих внутренних потребностей. Редакция рекомендует использовать браузеры с блокировкой трекеров для просмотра таких страниц. Подробнее →
1 ноября, 2022
Подписывайтесь на [Код // Дурова] в Telegram[Код // Дурова] в Telegram

Выбор редакции