Всеобщий деанон: что известно о программе по поиску людей в Telegram?

IT-специалисты российского Центра исследований легитимности и политического протеста создали сервис «Криптоскан», который может деанонимизировать пользователей Telegram, об этом 9 августа сообщили «Известия». Авторы утверждают, что, зная никнейм, можно определить номер телефона человека в мессенджере. Разработчики сервиса говорят, что он должен помочь МВД и ФСБ в их работе. «Шторм» рассказывает об интерфейсе «Криптоскана» и методах, которые могли использовать программисты.

В распоряжении редакции оказалась презентация «Криптоскана». В ролике говорится, что в зависимости от запроса в программе можно найти никнеймы людей, их настоящие имена, а также номера телефонов. Эти данные выдаются в виде таблицы.

Сейчас, по словам разработчиков, собирается база кладменов, чтобы затем предоставить ее правоохранительным органам. Тестовый запуск системы состоится в ближайшее время. Однако это лишь визуальная составляющая сервиса — авторы ролика не говорят о том, где собираются данные о пользователях и каким образом это происходит. 

Как это работает?

«Известия» описывают принцип работы сервиса: программа направляет запрос, содержащий юзернейм, в Telegram, и приложение выдает недостающие данные пользователя — ID и номер телефона, фамилию и имя.

По словам руководителя Центра исследований легитимности и политического протеста Евгения Венедиктова, IT-специалисты нашли уязвимость в интерфейсе мессенджера Павла Дурова: «Мы проанализировали API (часть программного интерфейса приложения) и выяснили, что в мессенджере есть уязвимость, позволяющая раскрывать номера мобильных пользователей», — рассказал «Известиям» Венедиктов.

«Известия» также сообщили, что сервис действительно работает. «Криптоскан» якобы раскрыл данные одного из журналистов издания: «Номер телефона совпал, а вот имя и фамилия — нет. Впрочем, пользователь может придумать себе псевдоним, поэтому достоверность этих данных не так важна», — говорится в статье.

В свою очередь, провернуть аналогичную операцию с корреспондентом «Шторма» Венедиктов отказался. «Почему я должен предоставлять такого рода услуги?» — ответил он и прервал беседу.

Версия — база телефонов с рынка

После публикации «Известий» началось активное обсуждение сервиса Евгения Венедиктова. Многие эксперты относятся к «Криптоскану» скептически.

Специалисты в области IT-индустрии рассказали «Шторму», что в теории получить скрытые данные пользователя можно. API имеет набор команд, при помощи которых пользователи получают открытую информацию: фото, имя и фамилию, никнейм. «Возможно, программисты смогли угадать переменную, которая не указана в официальном API Telegram. К примеру, добавив к запросу переменную phone_number, они получили номер. Хотя Telegram должен автоматически блокировать нежелательные запросы», — пояснил «Шторму» один из разработчиков, пожелавший не называть своего имени.

Основатель стартапа Combot Федор Скуратов в своем Telegram-канале написал, что методу Венедиктова четыре года. Он основан на ручном подборе номеров и сопоставлении их с юзернеймами пользователей. Эксперт отметил, что на рынке есть базы по 10-20 миллионов номеров, но делать это вручную муторно. Скуратов также говорит о том, что получить номер телефона можно, если просто пожаловаться на пользователя. В этом случае телефон высветиться в API самому жалобщику.

Другие разработки

Кроме «Криптоскана» Центр исследований легитимности и политического протеста известен другим сервисом — «Демон Лапласа». Это, как пишут на сайте центра, — автоматизированная система круглосуточного мониторинга и сбора данных из интернета, позволяющая получать и анализировать широкий спектр информации из социальных сетей Facebook и VKontakte, Twitter, онлайн-СМИ, а также из персональных блогов «Живого журнала» и мессенджера Telegram.

Согласно данным «СПАРК-Интерфакс», этот софт в 2017 году приобрело управление делами правительства Нижегородской области. Стоимость контракта составила один миллион рублей.