Разоблачитель «Товарища майора»: «Я дал им мобильный телефон. За это получил большой трафик себе на сайт»

На днях журналистам «Медузы» удалось раскрыть личность автора анонимного телеграм-канала «Товарищ майор», который слил персональные данные нескольких тысяч человек, участвовавших в недавних протестах в Москве. С разоблачением расследователям помогла программа-деанонимизатор Insider Telegram. «Реальное время» выяснило, для кого открыты возможности этого продукта, по какому принципу он работает, насколько это законно и что делать пользователям мессенджера.

Доступ только для силовиков, властей и «Медузы»

За день до одного из недавних московских митингов в телеграм-канале «Товарищ майор» был опубликован файл с персональными данными более трех тысяч человек. Телефоны, имена, адреса, даты рождения, номера паспортов — все это оказалось в открытом доступе. Стоит заметить, что большая часть информации, опубликованной в базе, относилась к участникам недавних протестных акций в Москве.

На минувшей неделе «Товарища майора» настигло возмездие — журналисты издания «Медуза» раскрыли личность автора анонимного телеграм-канала. Предположительно, им является SMM-специалист из Москвы Виталий Тайсаев.

В обнаружении виновника слива журналистам помогла программа Insider Telegram, разработанная АНО «Центр исследований легитимности и политического протеста». Судя по всему, на рынке появился новый деанонимизатор (это подтверждает описание софта на сайте Центра), причем создала его та же команда, из-под пера которой ранее уже выходил «Демон Лапласа» (система круглосуточного мониторинга и сбора данных из соцсетей), а также «Криптоскан» (программа, также деанонимизирующая пользователей Telegram).

— Сейчас в базе программы — больше 10 миллионов номеров, — объяснял принцип действия программы руководитель центра Евгений Венедиктов. — Мы просто проверяем на наличие в Telegram все телефоны подряд: берем, допустим, все номера, которые начинаются с +7911 — и от нулей до девяток прогоняем всю эту номерную емкость. Вы ведь автоматически видите у себя в Telegram контакты тех пользователей, которые внесены в вашу телефонную книжку в смартфоне? Ну а мы просто вносим в свою очень толстую «телефонную книжку» всех пользователей страны.

«Реальное время» решило протестировать возможности Insider Telegram, однако, обратившись к Евгению Венедиктову, получило однозначный ответ: «Доступ только для силовиков и властей. Извините». На логичный вопрос о том, к кому из этих двух групп относятся журналисты «Медузы», собеседник нашего издания сообщил следующее: «Они просто дали мне конкретный юзернейм и попросили сделать так, чтобы я дал им мобильный телефон. За это они сделали гиперссылку, и я получил большой трафик себе на сайт. То есть это был коммерческий обмен». В целом ничего удивительного.

Просто новая версия «Криптоскана»?

По словам экс-директора особых направлений одной из структур Telegram Антона Розенберга, история Insider Telegram на самом деле не нова — ровно год назад «Известия» рассказывали о разработке того же «Центра исследований легитимности и политического протеста». Тогда она, правда, называлась «Криптоскан», но в остальном функционал был тем же самым: по юзернейму выдавался номер телефона, к которому привязан аккаунт. Однако ранее принцип работы описывался иным образом: якобы была найдена уязвимость в API Telegram, с помощью которой по запросам с указанием аккаунта номер телефона возвращался напрямую.

— Я тогда предположил, что такой явной уязвимости не было, а в действительности принцип работы сводился к составлению базы на основе перебора всех возможных телефонных номеров, которых на самом деле не так много. В комментарии, данном руководителем центра Евгением Венедиктовым «Медузе» в этот раз, именно это и подтверждается. При этом еще год назад он говорил, что этот инструмент уже используется для поиска пользователей по запросу МВД и ФСБ. Если же государство еще и помогало в разработке, то процесс перебора мог быть существенно сокращен, — комментирует Антон Розенберг.

Также собеседник нашего издания вспоминает, что этот способ обсуждался в Сети и ранее.

— Когда я пришел работать в Telegram в 2016-м, я обнаружил и иные способы перебирать телефонные номера практически без ограничений. Найденные уязвимости я тогда закрыл и занялся системным решением проблемы. К сожалению, вскоре мне пришлось покинуть команду мессенджера. Передавать дела братья Дуровы меня не просили, так что занимался ли кто-то еще данными вопросами впоследствии, мне неизвестно. Однако в любом случае полностью решить данную проблему невозможно, пока сохраняется функционал, показывающий всех пользователей мессенджера по номерам из вашей записной книжки. А отказываться от него Дуров вряд ли будет, так как для него приоритетной остается задача увеличения пользовательской базы и вовлеченности пользователей, а не безопасности или приватности. Так что если с помощью уже имеющейся базы вы по аккаунту определите номер телефона, который был там когда-то в прошлом, проверить его актуальность не составит труда: достаточно добавить этот номер в свою записную книжку и посмотреть, к какому аккаунту он привязан сейчас. Что и было сделано корреспондентами «Медузы», — высказался эксперт.

Стоит заметить, что в случае с раскрытием личности анонимов важен вопрос точности результатов, которые обнаруживает программа.

— Поскольку база данных уже есть, повлиять на ее содержимое разработчики Telegram уже не могут. Однако неизвестно, как часто данные в ней актуализируются. Если номер привязан к аккаунту давно и не менялся — вполне вероятно, что в базе он найдется. Проверить актуальность найденного номера, как я уже сказал, можно со стопроцентной точностью. Если же регулярно менять номера на новые — система, скорее всего, выдаст какой-то из предыдущих телефонных номеров. Можно будет проверить, что он не актуален, однако все равно останется информация о том, что владелец данного номера по крайней мере в прошлом был связан с данным аккаунтом. А дальше все зависит от того, кто и какие будет задавать вопросы или предъявлять претензии к владельцу номера и поверит ли в ответы вида «я продал канал/передал доступ вместе с сим-картой», — считает Антон Розенберг.

Конфиденциальность или безопасность?

По словам руководителя проектов московской коллегии адвокатов «Яковлев и партнеры» Андрея Набережного, в последнее время наблюдается серьезный запрос на раскрытие реальных лиц пользователей, которые ведут переписку или каналы в любых мессенджерах. Отношение к этому явлению у нашего собеседника — неоднозначное.

— С одной стороны, государство выражает вполне понятную позицию — оно хочет отслеживать авторов в благих общественных целях. С другой стороны, на мой взгляд, нарушается право на конфиденциальность, на анонимную публикацию. Но, опять же, сообщение сообщению — рознь. Поэтому в каких-то случаях раскрытие реального лица, которое ведет телеграм-канал, будет обоснованным, — считает эксперт.

Законность принципа работы программы также оценил экс-директор особых направлений мессенджера Telegram.

— Проблема пока затрагивает преимущественно российских (возможно, и украинских) пользователей. По крайней мере, о переборе телефонных номеров других стран я не слышал. Так что возникает вопрос, будет ли кто-то жаловаться, и если да, то куда. Российское правосудие вряд ли что-то может сделать с Telegram, так как мессенджер позиционирует себя как нероссийский (без уточнения иной юрисдикции), а в России и так уже официально должен быть заблокирован. В чем-то похожая история была с «ВКонтакте» и сервисом SearchFace, позволявшим искать людей по фотографиям. Социальная сеть тогда грозилась подать в суд на разработчиков поисковика, тот сначала убрал из результатов поиска ссылки на профили, однако затем был перезапущен под именем FindClone, чем закончилось противостояние, я не знаю. Но вряд ли Павел Дуров поступит аналогичным образом и будет отстаивать данные пользователей в суде, — считает Антон Розенберг.

Помимо этого, эксперт дал несколько советов пользователям мессенджера в контексте появления на рынке нового деанонимизатора. Во-первых, не стоит рассчитывать, что ваш номер телефона никто не узнает. То же самое относится и к переписке в мессенджере — не стоит писать там нечто, из-за чего вы можете впоследствии пострадать. И уж тем более не стоит использовать Telegram в противозаконных целях. Стоит исходить из того, что все ваши действия рано или поздно могут стать публичными.

Лина Саримова
ТехнологииITОбществоВласть

Новости партнеров