Что можно узнать о человеке по телеграмму
Перейти к содержимому

Что можно узнать о человеке по телеграмму

  • автор:

Через Telegram можно узнать реальный адрес человека. И для этого не нужно быть хакером

Telegram позволяет за несколько минут вычислить точные координаты своих пользователей, использующих встроенный сервис «Люди рядом». Алгоритм обнаружения прост, что дает возможность следить за нужным человеком даже тем, у кого нет никаких навыков хакинга. Аналогичная брешь была обнаружена в японском мессенджере Line несколько лет назад, но разработчики очень оперативно устранили ее.

Слежка при помощи Telegram

В мессенджере Павла Дурова Telegram обнаружена уязвимость, позволяющая определять точное местонахождение любого пользователя. Об этом в начале января 2021 г. сообщил в своем блоге пользователь Ахмед Хасан (Ahmed Hassan), обнаруживший, что можно вычислить очень точные координаты тех, кто пользуется Telegram.

Уязвимость скрывается в сервисе «Люди рядом», встроенном в мессенджер. С его помощью можно находить пользователей Telegram, находящихся поблизости – их место дислокации определяется по GPS-координатам и отслеживается в реальном времени. Сам мессенджер не раскрывает координаты пользователей, а лишь указывает точное расстояние до них, но этого уже достаточно для вычисления их местоположения и даже адреса проживания, если они подключились к Telegram из дома.

Сервис «Люди рядом» был добавлен в Telegram в июне 2019 г. и первоначально носил название «Люди поблизости». В феврале 2020 г. он получил обновление до версии 2.0.

Как работает уязвимость

Для вычисления координат того или иного человека в Telegram, по словам Ахмеда Хасана, нужно использовать метод триангуляции. На первом этапе нужно три раза изменить собственное местоположение, фиксируя при этом расстояние до нужного пользователя и свои же GPS-координаты.

teleg601.jpg

Местоположение пользователя установлено

Затем нужно на карте местности начертить три окружности, центром которых будут собственные координаты, а радиусом – расстояние до объекта слежки, указанное в Telegram. Этих простых действий достаточно, чтобы определить, где он находится – он будет там, где все три окружности пересекутся на карте.

Важный момент: отследить таким способом можно тех людей, кто пользуется в Telegram функцией «Люди рядом». Она требует включенного GPS-модуля, и объектом слежки может оказаться каждый. Для предотвращения всех попыток отследить ваше место дислокации третьими лицами при помощи данной уязвимости нужно прекратить пользоваться сервисом «Люди рядом» и отозвать у Telegram разрешение на доступ к геолокации.

Следить могут за каждым

Отследить местоположение пользователя Telegram можно вне зависимости от того, в какой стране или в каком городе он проживает. Например, спустя несколько дней после публикации статьи Ахмеда Хасана и его тестов, проведенных в Нью-Йорке (США), исследователь Андрей Копелян опубликовал на своем сайте Debug Pro результат использования уязвимости мессенджера в Нур-Султане (Казахстан).

teleg602.png

Тест уязвимости в Нур-Султане

Он скачал из Google Play одно из приложений-трекеров, использующих GPS, выбрал в Telegram совершенно случайного пользователя, применил алгоритм с тремя окружностями, и через несколько минут у него на руках был точный адрес этого человека, вплоть до дома.

По словам Андрея Копеляна, Telegram позволяет полностью идентифицировать пользователя при использовании дополнительной информации. Так, человек, которого он выбрал для проверки метода слежки, оставил номер своего телефона в открытом доступе, а также опубликовал свою реальную фотографию. Исследователь отметил, что при использовании поисковых систем, того же Google, можно будет найти дополнительные сведения об этом человеке, например, его страницы в соцсетях.

Дурной пример заразителен

Возможность отследить человека через функцию «Люди рядом» (в английской версии – People Nearby), впервые появилась вовсе не в Telegram – изначально такой «сервис» предоставлял японский мессенджер Line. Аналогичную уязвимость одноименной функции в нем обнаружил все тот же Ахмед Хасан.

teleg603.jpg

Сервисом «Люди рядом» пользуются во всем мире

Хасан связался с разработчиками Line и указал им на обнаруженную проблему. Те оперативно отреагировали на замечание и закрыли брешь в приложении – оно по-прежнему позволяет общаться с людьми поблизости, но теперь к их местоположению прибавляется произвольно взятое число, чтобы отследить их было невозможно.

Создатели Line отблагодарили Ахмеда Хасана премией в размере $1000 и добавили его имя в список тех, кто помог сделать мессенджер лучше. На момент публикации материала не было известно, связались ли с ним разработчики Telegram.

«Дыры» в Telegram

Telegram, считающийся одним из самых безопасных мессенджеров, на самом деле содержит множество уязвимостей. Например, в августе 2019 г. в нем была обнаружена лазейка, позволявщая властям различных стран вычислять номера телефонов тех, кто участвует в тех или иных акциях протеста и числится в соответствующих группах в мессенджере. Проблему обнаружили эксперты из Гонконга, где на тот момент как раз проходили многотысячные протесты.

В августе 2020 г. выяснилось, что Telegram допускал создание поддельного профиля, маскирующегося под «Избранное», в которое пользователи часто помещают важную информацию, включая фотографии и пароли. Хакеры могли написать пользователю с такого поддельного аккаунта, после чего он начал бы хранить эти сведения в поддельном «Избранном», открывая тем самым доступ к ним третьим лицам. Разработчики оперативно устранили эту брешь.

В сентябре 2020 г. CNews рассказывал, что Telegram «сливал» номера телефонов своих пользователей, притом даже и тех, кто в нем не зарегистрирован. Это давало возможность хакерам и просто третьим лицам вытащить всю информацию из их профилей и в дальнейшем использовать ее для создания поддельных аккаунтов с целью мошенничества. Здесь стоит отметить, что аналогичная проблема была обнаружена также в мессенджерах Signal и WhatsApp, известных своей развитой системой безопасности.

И вас вычислят: в Telegram появился аналог нелегального сервиса «Глаз Бога»

В Telegram появился аналог нелегального сервиса «Глаз Бога», стоимость использования бота — от 25 до 200 рублей, рассказали «Известиям» специалисты по информационной безопасности. Программа позволяет искать всю актуальную информацию о человеке: где он живет, работает, сколько зарабатывает, когда менял документы, автомобиль, совершенные авиаперелеты и даже медицинские данные. В Роскомнадзоре предупредили, что пользователей подобных сервисов могут привлечь к административной ответственности за обработку персональных данных, а если сбор информации касается частной жизни, то и к уголовной. Кроме того, необходимо принимать меры по минимизации спроса на такие услуги, считают в ведомстве.

В свободном доступе

В мессенджере Telegram появился аналог нелегального сервиса «Глаз Бога», который позволяет узнать информацию о человеке, рассказали «Известиям» в компании R-Vision. Стоимость использования бота — от 25 до 200 рублей, сообщили специалисты по информационной безопасности.

телефон

Фото: Global Look Press/Svetlana Vozmilova
Справка «Известий»

Платформа по нелегальному поиску информации о людях «Глаз Бога» была создана российским программистом Евгением Антиповым в 2020 году. Тогда же были запущены канал в мессенджере и официальный сайт. В марте 2021-го Роскомнадзор заблокировал данный бот. В том же году был заблокирован и сайт.

Бот для поиска актуальных данных о людях был создан недавно участниками одного из даркнет-форумов. Сервис позволяет искать информацию по Ф.И.О., телефону, ИНН, e-mail, номеру автомобиля и так далее. С помощью него можно узнать информацию о месте работы, доходе, смене документов, марке автомобиле, местах работы, авиаперелетах и даже медицинских данных человека. — Пользователи подобных сервисов должны привлекаться к административной ответственности за обработку персональных данных с нарушением законодательства, а если сбор информации касается частной жизни, то и к уголовной — по ст. 137 УК РФ, — сказали «Известиям» в пресс-службе Роскомнадзора. Ежегодно в открытый доступ попадает всё больше персональных данных, которые уже давно стали объектом коммерческой деятельности, в каких-то случаях нелегальной. Поэтому тема так называемого пробива (поиска информации о человеке) достаточна актуальна, постоянно появляются всё новые площадки, предоставляющие подобные услуги, — сказал руководитель компонента Endpoint экосистемы R-Vision EVO Петр Куценко.

хакер

Фото: Global Look Press/dpa/Annette Riedl

Подобные боты аккумулируют информацию, уже попавшую в открытый доступ и которая была опубликована на теневых площадках, объяснил руководитель российского исследовательского центра «Лаборатории Касперского» Дмитрий Галов. Чаще всего она появляется вследствие кибератак или действий инсайдеров. К тому же пользователи порой сами «отдают» злоумышленникам свои данные, размещая их в открытых источниках, констатировал специалист.

Новая программа работает без подписки, заработок у ее владельцев может достигать более 3 млн рублей в месяц, оценил Петр Куценко.

Сливы общества: объем утечек данных за полгода превысил число жителей РФ
Почему увеличилось количество атак на отечественные компании

Опасные связи

Специалисты по информационной безопасности утверждают, что подобные решения злоумышленники могут использовать в методах социальной инженерии. — Таким образом им становится гораздо проще втираться в доверие к потенциальным жертвам, чтобы произвести мошеннические действия с возможными финансовыми потерями, — сказал Петр Куценко. Например, распознать ложный звонок якобы от сотрудников полиции становится намного сложнее, если мошенник знает всё про имущество человека или другую конфиденциальную информацию о нем, добавил эксперт. — Главная опасность подобных сервисов заключается в том, что они нивелируют ценность таких понятий, как персональные данные и частная жизнь. С учетом того, что они могут быть агрегаторами утечек, использующими десятки и сотни различных источников информации, такие системы позволяют быстро и в автоматическом режиме сформировать досье на человека, — сказал «Известиям» эксперт центра мониторинга внешних цифровых угроз Solar AURA компании «РТК-Солар» Александр Вураско.

кто

Фото: Global Look Press/dpa/Bernd von Jutrczenka

Так как новые утечки происходят практически ежедневно, копилка данных постоянно пополняется, отметил специалист. — Необходимо принимать меры по минимизации предложений и спроса на эти базы данных. Этого можно достичь введением уголовной ответственности в отношении лиц, не только осуществляющих незаконные действия по несанкционированному доступу к информационным системам, но и в отношении тех, кто покупает и перепродает указанные базы данных для последующего неправомерного использования. Такие изменения должны быть внесены в УК РФ. Работа в этом направлении уже ведется, — подчеркнули в Роскомнадзоре. Помимо признания преступлением взлома, перепродажи, пособничества в этом и незаконного распространения личных данных, необходимо усиливать специализированные разыскные мероприятия в отношении киберпреступников, разработать комплексные меры по защите российских сервисов и противодействию хакерским атакам, добавили в ведомстве.

Все, что можно узнать о вас в Telegram-ботах

Скандал вокруг сохранности персональных данных разразился в мае: в Telegram засветились каналы/боты (раз и два), в которых можно было приобрести персональные данные украинцев. Эти каналы и боты быстро закрыли, однако, проблема шире и дело этим не заканчивается.

Артем Старосек, CEO ресерч-компании ​Molfar​, в колонке для AIN.UA рассказывает о возможностях Telegram-ботов в поиске персональных данных.

Я изучил 12 ботов, в которых содержится информация о украинцах. Часть из них разрабатывается в Украине и работает только с открытыми данными, по части — собственники неизвестны, у третьих — оплата только в рублях или через русские пеймент-процессоры.

В большинстве сервисов буду проверять информацию о себе. На входе использую только ФИО.

Боты и что они показывают

@info_baza_bot (Info_baza)​ — ищет человека в Украине по ФИО, фото, номеру телефона, водительским правам либо email. База содержит 420 000 пользователей, 70 млн номеров и 20 млн украинских email-адресов.

Первые 7 результатов поиска — бесплатные. VIP-пакеты (стоимостью $15 — $50 в год) предоставляют безлимитный поиск. Также VIP-доступ можно получить, пригласив как минимум 50 друзей. Не думаю, что друзья будут рады по неосторожности попасть в эту базу данных. В платном пакете, за $10 доступны паспортные данные и ИНН.

Вбиваю ФИО и получаю дату рождения, почту, мобильный и городской телефоны, а также вариации, как я подписан в базах. Отчасти, те же функции у ​@get_kontakt_bot (get_contact) ​— поиск владельца по номеру телефона. Бот бесплатен, но принимает донаты на Qiwi, Paypal, WM, Yandex.Money.

@Smart_SearchBot (SmartSearchBot)​ — альтернатива info_baza. По почте отдает телефон, ФИО и дату рождения. Стоимость варьируется от $0,9 за сутки до $30 за год. Оплата только на Qiwi. Ищем дальше по найденной в Info_baza, gmail-почте и получаем еще одну старую почту и профиль «ВКонтакте».

@get_caller_bot (GetCaller) ​ — альтернатива @Info_baza и @SmartSearchBot. Ищет только по номеру телефона. На выходе: ФИО, дата рождения, почта и «ВКонтакте». Полезен расширенным количеством внешних баз: «Приватбанк», «Ощадбанк», Нова Пошта. В остальном, содержит информацию из ​ряда​ взломанных форумов, фриланс-досок и магазинов из РФ.

@Dosie_Bot («Досье»)​ — создатели «Досье» пошли дальше и по номеру телефона отдают ИНН и номер паспорта. В пакете «Максимальный» стоимость запроса варьируется от 9 до 15 грн, в зависимости от срока подписки. ​Оплата​ на виртуальную анонимную карту «Индустриалбанка» или «BTC».

@UAFind_bot (UAFindbot) ​— логическое дополнение бота «Досье». Ищет ФИО по ИНН или адресу и наоборот. 2 запроса бесплатно, дальше безлимит за 500 грн. Прием платежа в рублях через русский пеймент-процессор free-kassa.ru.

@mailsearchbot (Mailsearch_bot)​ — поиск по базам данных взломанных паролей. По почте отдает пароль, часть которого закрыта звездочками. Если вам этого мало, есть еще ​@Shiverbot​, который отдает пароль плейнтекстом.

@last4mailbot (Mail2Phone) ​— по почте показывает статус: есть ли аккаунт в «Одноклассниках» и «Сбербанке», или нет.

@VKUserInfo_bot ​— по ID «ВКонтакте» возвращает расширенную информацию о профиле.

@GetGmail_bot ​(GetGmail — OSINT email search) — по gmail-почте отдает Google ID, зная который, можно ​получить​ архив альбомов Google, а также редактирования и отзывы на Google-картах. Последнее укажет на геолокацию: странно, если человек представился жителем Брюгге, но оставляет отзывы о булочных в Кривом Рогу.

@telesint_bot (TeleSINT)​ — информация об участии пользователей Telegram в открытых и закрытых группах. Поиск — по нику.

В итоге, зная только ФИО человека на старте, финишируем с:

  • дата рождения;
  • телефоны;
  • почты;
  • номер паспорта;
  • ИНН;
  • недвижимость;
  • наличие ФОП;
  • пароли к почте;
  • профили «ВКонтакте» и «Одноклассники»;
  • геолокация и группы в Telegram.

Если лень запоминать и добавлять все бота, можно воспользоваться ботом @HowToFind_UA_bot (HowToFind Ukrainian Bot). В нем можно выбирать из списка информацию, которая известна, и бот покажет боты или ресурсы, которые помогут обработать информацию.

Автор: Артем Старосек, CEO ресерч-компании ​Molfar

Telegram позволяет узнавать координаты людей с точностью до метра

Привет, %username%!
В телеге давно есть опциональная фича find people nearby, которая показывает точное расстояние до людей поблизости. Если использовать GPS спуфинг и трилатерацию (не путать с триангуляцией), то можно узнавать координаты людей в любой точке планеты с точностью до метра.

Поскольку телега в течение 30 дней игнорировала сообщение об этой «фиче», автор выложил всё на github.

Алгоритм поиска конкретного человека довольно простой

  1. Узнаём примерное местоположение жертвы, например город.
  2. Случайным образом выбираем точку для обзора в этом городе. Телега позволяет менять свою локацию примерно 1 раз в 10 минут.
  3. Повторяем п.2 пока не найдем искомого человека.
  4. Запоминаем свои координаты и расстояние до человека.
  5. Выбираем еще пару точек в этой области, между которыми будет 5-6 км и повторяем п.4.
  6. Сохраняем всё в Excel и загружаем на https://www.gpsvisualizer.com/.
  7. Там где круги пересекаются и будет находиться ваша жертва

Этот процесс можно автоматизировать, чтобы просто следить за случайными людьми в некоторой области. Автор использовал довольно оригинальное решение с автоматизацией GUI клиента

Так же это может быть использовано для подглядывания за групповыми чатами, созданными под конкретную локацию.

  1. Не включайте эту опцию и друзьям запретите.
  2. Попросить разработчиков округлять расстояния до километра.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *