что такое баг в телеграмме
Новый баг в Telegram Desktop позволяет прочитать последнее сообщение
Недавно я обнаружил в Telegram очень интересный баг. Он позволяет читать удалённые сообщения. И как сторонник и фанат культовых продуктов — тут же отправил сообщение о баге саппорту Telegram. Со спокойной совестью демонстрировал коллегам на работе, найденный баг. «Хочешь восстановлю твоё последнее сообщение в Telegram?» — говорил я и принимался за дело, наблюдая удивленные лица коллег.
Впрочем не будем медлить и перейдем к делу
Версия Telegram Desktop 1.6.3(последняя возможная на сегодня)
Шаги для воспроизведения
Все сообщения удалены и чат полностью пуст.
Появилось наше «секретное сообщение», которое было удалено.
Дальнейший ход моих мыслей
Первым делом, хотелось понять — это сторона сервера или сторона клиента. Поэтому аналогичным образом я попытался воспроизвести багу на клиенте Telegram под Android. К сожалению, на сотовом бага не воспроизвелась и оптимизм уже поубавился. Стало понятно, что перед нами скорее всего косметический фикс: напутали с индексами и из локального кэша достается чуть больше записей.
Так как Telegram Desktop является open source и лежит на github. Я нашёл свою версию Telegram, открыл код и попытался понять что к чему. Код оказался достаточно тривиальным и понятным. Всё начинается с подвешивания обработчика для команды. Он всего лишь показывает диалоговое окошечко с параметрами для удаления и дальше идёт очистка чата. Лично я визуально глазом ни за что не зацепился и вроде всё работает правильно. Нужно развернуть environment, отладить и сразу станет понятно, что к чему.
На текущей момент и на момент публикации данной статьи — данная бага не исправлена, поэтому вы можете удивлять ею коллег и друзей. Можете показать своей девушке, чтобы она не делала глупостей.
Если вам понравится данная статья и будет много комментариев, я обязательно напишу следующую статью: «Как я исправил баг в Telegram». А так же расскажу подробно, как развернуть environment для desktop версии Telegram. Спасибо за внимание!
Update
Как изменилась жизнь после публикации на Хабре
Как обычно встаю и смотрю новости в google. Вижу на первых страницах свою ФИО и понимаю, что что-то не так. Народ воспроизводит тоже эту багу и форсит данный message(полный текст статьи). Это очень приятно, спасибо!
Смотрим Android app
В личку многие попросили посмотреть Android app. Не могу отказать коллегам и устанавливаем Android приложения Telegram. Особо я не вникал, но и тут достаточно ошибок. Например, вот.
Шаги воспроизведения
1) Очищаю историю с «Victor»
2) «Victor» пишет сообщение
Ожидания
Приходит notify через сервер google и сообщение отображается в ListView.
Реальность
Notify приходит, но ListView не отображает изменения. Стоит пометка «История очищена».
20 неизвестных функций Telegram. Мы не знали примерно половину
Telegram не является самым популярным мессенджером в стране. Но опыт подсказывает, что именно им чаще других пользуются в профессиональных целях. Он отличается трепетным отношением к конфиденциальности и сохранности данных. Это важно.
Сам настолько давно отдаю предпочтение Telegram, что даже страшно становится. Но куда больше меня пугает обилие возможностей, о которых я даже не слышал. Данный материал расскажет про самые интересные из них.
1. Можно задать время для отправки конкретного сообщения
Как это сделать: введите необходимое сообщение и зажмите кнопку отправки на секунду-две, а потом выберите дату и время доставки.
Крайне полезная фишка с неочевидной реализацией: большинство находит ее случайно или по аналогичной наводке.
Подобной отложкой крайне удобно пользоваться, чтобы напомнить собеседнику о вопросе, который был задан в неудобное время, или задать его в удобное.
2. Хэштеги можно использовать для организации «Избранного»
Как это сделать: добавьте к важной информации в соответствующем диалоге необходимый хэштег через #.
При активном использовании диалога «Избранное» для хранения данных любого типа обойтись без гибкой структуры получится вряд ли. Организовать ее и помогут хэштеги, которыми можно отметить сообщения, привязанные к конкретному проекту или случаю.
3. Аудиосообщения можно слушать через разговорный динамик
Как это сделать: включите аудиосообщение и прислоните iPhone к уху, как когда ведете диалог через голосовую связь.
В стандарте они транслируются через динамик громкой связи, поэтому становятся достоянием общественности. Тем не менее, этого достаточно просто избежать.
4. Меню дополнительных действий можно вызвать очень быстро
Как это сделать: достаточно быстро нажать на любое сообщение дважды.
Обычно данное меню с дополнительными действиями для работы с сообщениями вызывают их длительным удержанием. Это куда дольше и не так удобно, как использовать двойной тап.
5. Любой диалог можно отметить в качестве непрочитанного
Как это сделать: зажмите любой диалог из общего перечня и выберите возможность «Пометить как новое».
Многие не открывают важные сообщения в диалогах и используют уведомления о новых входящих, чтобы не забыть про задачу или не пропустить важный ответ. Вероятно, они не знают, что любой прочитанный чат можно отметить в качество нового.
6. Для разных чатов можно назначить автоматические папки
Как это сделать: перейдите в раздел «Настройки», разверните меню «Папки с чатами», нажмите на кнопку «Создать» возле необходимого варианта из пункта «Рекомендованные папки».
Да, разбивка диалогов на папки, которая появилась в Telegram не так давно, стала настоящим открытием для активных пользователей мессенджера.
Тем не менее, немногие из них обратили внимание, что приложение также дает возможность автоматически сортировать чаты. Для этого оно предлагает рекомендованные папки. К примеру, «Личные» для диалогов тет-а-тет, а также «Новые».
7. Есть возможность изменить настройки счетчика на значке
Как это сделать: перейдите в раздел «Настройки», разверните меню «Уведомления и звуки», переведите в активное положение переключатель «Каналы» или «Число сообщений» из пункта «Счетчик на иконке».
Цифра на значке приложения Telegram на домашнем экране iPhone может показывать абсолютно разные значения. В стандарте на ней красуется число чатов и каналов с новыми сообщениями, но вы можете вывести сюда и общее число входящих.
8. Для работы со звонками можно задать отдельный раздел
Как это сделать: перейдите в раздел «Настройки», разверните меню «Недавние звонки», переведите в активное положение переключатель «Вкладка «Звонки»».
Если активно используете Telegram для голосовых вызовов и видеосвязи, можете добавить в приложение отдельный раздел с последними звонками.
9. Рекомендации чатов для меню «Поделиться» можно настроить
Как это сделать: перейдите в раздел «Настройки», разверните меню «Данные и память», определите пункт «Меню «Поделиться»», выберите необходимые варианты из «Предложенных чатов».
В меню «Поделиться» в последних версиях iOS появились умные рекомендации Siri, которые помогут быстрее направить необходимую информацию в нужное направление.
В Telegram можно выбрать, какие именно чаты будут указываться в данном меню, а какие необходимо скрыть из любых соображений.
10. Используемую мессенджером память можно быстро очистить
Как это сделать: перейдите в раздел «Настройки», разверните меню «Данные и память», определите пункт «Использование памяти», воспользуйтесь кнопкой «Очистить кэш Telegram».
До недавней чистки мой Telegram занимал больше 7 ГБ в памяти iPhone. Хорошо, что даже для такого объема у меня достаточно свободного места в хранилище. Если ваше подошло к концу, теперь вы знаете, как быстро избавиться от кеша.
11. Все данные из «Избранного» можно очень быстро очистить
Как это сделать: зажмите диалог «Избранное», определите вариант «Удалить» в быстром меню, выберите пункт «Очистить историю».
Если вы используете диалог «Избранное» только лишь в роли временного хранилища для данных, его придется регулярно чистить. Достаточно лишь попробовать удалить данный чат, и Telegram предложит в качестве альтернативы его очистку.
12. Вы можете самостоятельно создать новую тему оформления
Как это сделать: перейдите в раздел «Настройки», разверните меню «Оформление», нажмите на «+» в правом верхнем углу экрана, воспользуйтесь кнопкой «Создать новую тему», задайте имя и выберите необходимые цвета.
Про темы оформления Telegram знают многие. Тем не менее, далеко не все обратили внимание на заветную кнопку, которая даст возможность настроить цвета интерфейса вручную. Теперь и вы знаете про это.
13. Создать новые стикеры для Telegram — вообще не проблема
Как это сделать: перейдите в раздел «Настройки», разверните меню «Стикеры», нажмите на ссылку бота @stickers мелким шрифтом в нижней части интерфейса.
Для создания новых стикеров для Telegram используется специальный бот. Именно он поможет организовать пак, загрузить изображения и даже проследить активность их использования, если отправить подборку в открытый доступ.
14. Свой номер мобильного телефона можно очень просто скрыть
Как это сделать: перейдите в раздел «Настройки», разверните меню «Конфиденциальность», определите пункт «Номер телефона», выберите вариант, кто сможет видеть ваш номер.
Telegram использует ваш номер телефона для идентификации конкретного аккаунта. Если вы не хотите, чтобы он стал достоянием общественности, можете скрыть его от всех пользователей или определенной их части.
15. Важные переговоры можно вести через секретные диалоги
Как это сделать: нажмите на кнопку создания нового диалога в верхнем правом углу главного меню Telegram, выберите возможность «Создать секретный чат» и определите его участников.
У секретных чатов есть несколько особенностей: более продвинутая схема шифрования сообщений, отсутствие следов на серверах сервиса, возможность удаления данных по таймеру, а также запрет на пересылку информации.
16. Вход в Telegram можно защитить кодом, Face ID и Touch ID
Как это сделать: перейдите в раздел «Настройки», разверните меню «Конфиденциальность», определите пункт «Код-пароль и Face ID».
К примеру, если защитить Telegram с помощью Face ID, вход в него не будет отнимать сильно больше времени. Тем не менее, в приложение не смогут попасть недоброжелатели.
17. Для надежной защиты аккаунта можно задать облачный пароль
Как это сделать: перейдите в раздел «Настройки», разверните меню «Конфиденциальность», определите пункт «Облачный пароль».
«Облачный пароль» потребуется ввести, чтобы привязать к текущей учетной записи дополнительный гаджет. Это защитит ее от недоброжелателей.
18. В Telegram спрятано тайное меню для опытных пользователей
Как это сделать: быстро нажмите на значок раздела «Настройки» десять раз.
Именно в этом меню появляются тумблеры для включения экспериментальных возможностей до релиза. К примеру, здесь была и возможность включения видеозвонков, пока они не стали достоянием всего сообщества.
19. Вы можете использовать пару аккаунтов в одном приложении
Как это сделать: перейдите в раздел «Настройки» и воспользуйтесь возможностью «Добавить аккаунт».
Да, кстати, немногие знают, что одно приложение Telegram можно использовать сразу для нескольких аккаунтов. Это особенно важно, если ваша профессиональная деятельность завязана на общении с клиентами. Дополнительная учетка поможет отделить личные диалоги от рабочих.
20. Если Telegram больше не нужен, можно удалить свой аккаунт
Как это сделать: перейдите по данной ссылке, введите номер телефона, к которому привязан аккаунт Telegram, и следуйте инструкциям на экране.
В «Настройках» Telegram можно установить время, спустя которое учетная запись мессенджера со всеми данными будет удалена автоматически. Если это нужно сделать быстрее, теперь вы знаете, как это сделать.
Николай Грицаенко
Кандидат наук в рваных джинсах. Пишу докторскую на Mac, не выпускаю из рук iPhone, рассказываю про технологии и жизнь.
Я распаковал Apple Watch Series 6 и новые монобраслеты. Первые впечатления
Новые монобраслеты совместимы со старыми Apple Watch, но есть момент
Хожу две недели с новым Samsung Galaxy Fold 3. Противоречивые впечатления, прямо как две половинки
Как обычный iPhone стал сильнее отличаться от модели Pro. Теперь это совсем разные смартфоны
Что можно узнать о владельце Wi-Fi-сети, подключившись к ней. Например, его пароль
Сколько Apple платит своим сотрудникам в 2021 году. Отобрали 6 должностей
6 фильмов новинок и абсолютных хитов в разных жанрах. Всем смотреть
20 фишек Telegram, которыми многие не пользуются, а зря. Например, умные папки
20 неизвестных фишек Заметок в iOS. Меняем цвет текста, создаём таблицы
Сейчас сделаем ваши фото на iPhone заметно лучше. Вот 10 хитростей для этого
🙈 Комментарии 54
редкая статья на ресурсе по делу
Спасибо, теперь знаю, что неизвестных функций нет 🙂
ps. 20 неизвестных функций автомобиля:
1. Мотор…
Не упомянутой осталась фишка, которая меня удивила больше всего в своё время) можно редактировать уже отправленное сообщение. Или это так банально, что не достойно упоминания?)
Как можно отправлять в чат сообщение по графику? Например, каждый день в 19 вечера? Есть такой бот?
api. telegram. org/botXXX:YYYYYYYYYYY/sendMessage
при жедании на комьюетере Планировщиком заданий в винде/кроном в никсах можно задать выдачу по времени. А ещё удобнее на роутере – например, на тех же Asus/Xiaomi с OpenWRT|LEDE/Padavan/ddwrt/tomato/… Mikrotik/RouterOS можно чуть ли не в три клика сделать.
Ещё бы не генерировались автоматически сообщения при подключении нового пользователя, цены бы ему не было.
@dmtr.klmnk, спасибо, не знал
Если отправлять отложенное сообщение в Избранном, то текст меню меняется на “Напомнить”.
На скрине в первом пункте у меня два варианта: отправить позже и отправить, когда будете в сети.
А как же лучшее и самое быстрое создание GIF))
Ещё можно выделять часть текста из всего отправленного Сообщения. Почему этого ещё не сделали в стандартных Сообщениях в ios – странно.
>>> 10. Используемую мессенджером память можно быстро очистить
Стоит дополнить этот пункт указанием на возможность очищать не аесь кэш Телеграма целиком, а только кэш отдельных чатов или каналов.
При этом можно даже выбрать какие типы данных удалить из кэша чата или канала.
«7. Есть возможность изменить настройки счетчика на значке. В стандарте на ней красуется число чатов и каналов с новыми сообщениями, но вы можете вывести сюда и общее число входящих».
В стандарте, как раз-таки, красуется и всегда красовалось число входящих, а не чатов и каналов. Что на iPhone, что на Android, что на Десктопе.
“19. Вы можете использовать пару аккаунтов в одном приложении. Как это сделать: перейдите в раздел «Настройки» и воспользуйтесь возможностью «Добавить аккаунт»”.
Пропущен шаг: нажать в правом верхнем углу “Изм.”. По крайней мере, когда добавляешь первый дополнительный аккаунт.
“В «Настройках» Telegram можно установить время, спустя которое учетная запись мессенджера со всеми данными будет удалена автоматически. Если это нужно сделать быстрее, теперь вы знаете, как это сделать”.
Нет, не знаем. Так как не указано, где конкретно в «Настройках» («Конфиденциальность»).
И, конечно же, я бы ещё добавил пункт с напоминаниями. В Telegram это делается очень быстро и удобно. Заметил за собой, что чаще всего теперь предпочитаю именно этот способ другим решениям в виде отдельных приложений. Для этого достаточно в чате “Избранное” зажать кнопку отправки сообщения. А потом в том же чате можно просматривать запланированные напоминания.
Баги телеграмма
Совсем недавно заметил одну очень странную фишку в телеграмме, после удаления частной группы в телеграмме сохраняется вся история сообщений, хотя во всплывающем окне четко указано что история будет удалена, как для владельца так и для остальных участников, то есть вы могли состоять в какой-то группе, писать там сообщения, а после ее удаления она пропадёт в вашем списке чатов, но при поиске сообщения которые были написаны в ту группу отображаются, так же можно прочитать всю историю сообщений, но для этого необходимо зайти через веб версию
Это не баг, это фича 😉
Конфиденциальность пользователей Telegram снова нарушена. Представители мессенджера требуют не раскрывать подробностей
D/I/ Как подметили в комментах: «Грамотная эскалация на высшие уровни менеджмента должна эту проблему решать.» lamkaant.
В конце февраля 2021 года выходит обновленный релиз клиента Telegram с заголовком: ‘Автоудаление, виджеты и временные ссылки для приглашений’.
На красивой, художественной обложке к пресс-релизу новой верси Tg-мессенджера пользователи видят корзину с таймером и уничтоженными данными, а также лицезреют главных героев из культового хакерского сериала Мистер Робот. Но действительно ли все так круто с зачисткой следов как и в сериале?
Мистер Робот. Зачистка.
Telegram подготовил для пользователей что-то из security-области, а эти дотошные исследователи тут же навострили ручки.
Подробная вербализация одной щекотливой ‘bug bounty’ описана по тексту ниже.
Автоматическое удаление сообщений
Уже несколько лет пользователи Telegram могут бесследно удалять сообщения для всех участников беседы. В секретных чатах с 2013 года также есть таймер самоуничтожения, который позволяет не удалять сообщения вручную.
С сегодняшнего дня автоматическое удаление сообщений для всех участников доступно в любом чате. В этом режиме сообщения исчезают через 24 часа или 7 дней после отправки.
Так же информация о sec-функции упомянута тремя пунктами в официальном changelog-e Tg.
* Установите автоматическое удаление сообщений для всех через 24 часа или 7 дней после отправки.
* Управляйте настройками автоудаления в любом из ваших чатов, а также в группах и каналах, в которых вы являетесь администратором.
* Чтобы включить автоматическое удаление, щелкните правой кнопкой мыши чат в списке чатов> Очистить историю> Включить автоматическое удаление.
Сам тест на проверку очень прост: устанавливаем таймер автоудаления на 24ч. (в личке или групповых чатах); обмениваемся картинками. Ждем сутки. Проверяем путь /Storage/Emulated/0/Telegram/Telegram Image, картинки автоудалились. Отменяем автоудаление и снова ставим таймер на 24ч и повторяем первоначальные действия. Обычно автоудаление не срабатывает на 2..4 раз. Как только картинки остались в кэше (вышел баг с автоудалением сообщений), можно таймер на чате оставить в покое, все последующие дни будет очищаться только окно сообщений в мессенджере, а картинки будут оставаться в кэше (зачастую у получателей и отправителя, а не только у от отправителя сообщений).
Протестированный на разных гаджетах Android 7-10 (Xiaomi; Samsung; Asus), найденный баг обесценивал функционал: автоудаление сообщений для пользователей, позволяя в будущем эксплуатировать уязвимость в своих личных и безобидных интересах.
Зная о негативном отношении компании Telegram к исследователям (в т.ч. на своем предыдущем опыте), а также найдя интересную информацию в СМИ, что за аналогичный баг Telegram выплатил исследователю 2,5к зеленых шуршунчиков, и в последствии: уязвимости был присвоен CVE-2019-16248 с высоким базовым рейтингом опасности 7.5 пунктов:
The «delete for» feature in Telegram before 5.11 on Android does not delete shared media files from the Telegram Images directory. In other words, there is a potentially misleading UI indication that a sender can remove a recipient’s copy of a previously sent image (analogous to supported functionality in which a sender can remove a recipient’s copy of a previously sent message),
я принял решение снова поработать с Telegram. Согласно программе bug bounty на Hackerone
5.03.21 я отправил отчет по уязвимости на security@telegram.org. К моему удивлению
7.03.21 я получил ответ (далее по тексту пунктуация и орфография сообщений полностью сохранены):
Thank you for your email. We will send you an update soon.
All the best, Telegram Support
месяца тишины (вышло очередное обновление мессенджера, в котором уязвимость “автоудаление сообщений” все еще не была исправлена), и я снова напомнил Telegram о своем письме.
3.04.21 получил следующий ответ:
Thank you for your email and sorry for the long wait. We will reply soon.
All the best, Telegram Support
Никакого в ближайшее время обновления я не получал (увидел, что Tg мессенджер снова обновился и проблема всё еще сохраняется) и спустя месяц снова напомнил Tg о своем релевантном отчете 2-х месячной давности.
9.05.21 получил ответ, примерно-который я уже получал:
We are sorry for the long wait. We will send you an update soon.
All the best, Telegram Support
Подумав, что переписку ведет бот и до разработчиков мессенджера мне не удастся дописаться, отправил в ответном письме, что если они не против, то я выйду со статьей об уязвимости в СМИ. Такое письмо возымело эффект и через несколько часов
14.05.21 получил ответ:
We don’t have automatic responses here. Please wait, we will send you an update soon.
All the best, Telegram Support
Я согласился подождать, обычное дело. Через полтора месяца Tg снова обновился до новой версии и снова уязвимость не была исправлена. Я написал в Tg, что уязвимость в новой версии мессенджера все еще не исправлена и
29.06.21 получил ответ:
I’m sorry for the delay. Thanks for the details.
You can send the logs to Saved Messages, open the file and make sure that it does not contain any sensitive information.
All the best, Alex Telegram Support
7.07.21 Я создаю приватный, групповой чат и приглашаю для тестирования бага и наглядности представителя Tg присоединиться к нему.
8.07.21 получаю ответ:
Thanks for the details. There are two different files on your screenshots: they have different names and sizes, and they have been sent in two separate chats.
All the best, Telegram Support
В этот же день в чат заходит представитель Tg (в будущем изменив свое имя с ‘support’ на ‘Николай’) и предлагает в дальнейшем решать вопрос с багом на русском языке.
Тестируем мессенджер по моему плану, по его плану. Наглядно показываю, что проблема не выдуманная, когда сообщения-картинки не автоудаляются у 2/3 участников группового чата в рандомном порядке и не автоудаляются в личных чатах. Спустя
месяц тестирования мессенджера на разных клиентах/версий Android-Telegram (официальных и сторонних: Tg FOSS, Tg GP) Николай признает существование проблемы, и казалось бы развязка уже близка и косвенно затронута тема награды.
Тестирование разных клиентов Tg под Android (FOSS; GP) в групповом чате и личке.
Обещанную в течение недели beta-версию Tg с исправлением так и не прислали, но позже
23.08.21 попросили еще немного подождать. Цитирую:
Билды beta-версий Tg выходят каждый день.
«Упс! Что-то пошло не так»
Оставалось решить вопрос с наградой и поставить галочку в своем послужном списке.
5.09.21 с security@telegram.org приходит письмо:
Thank you for vert long wait. We would like to award you with a bounty of EUR 1,000 for your findings. Could you share the following info for the agreement please?
1. Your bank account details:
* account number or IBAN for payments in Euro
2. Your full address including the postal code.
В ответном письме уточняю: могу ли я получить оплату на PayPal например? Получил ответ, что нет, нужен банковский мой счет в евро и персональные данные.
В ответном письме предоставил Telegram свои персональные данные и свой банковский счет в евро для зачисления награждения в 1к евро.
17.09.21 я получил письмо с security@telegram.org на русском языке:
Спасибо! Подпишите, пожалуйста, договор на двух последних страницах и пришлите, пожалуйста, весь документ как PDF. Можно использовать DocuSign, если неудобно печатать.
Обычно при обнаружении уязвимостей исследователи и разработчики руководствуются в программах подобных bug bounty пунктом о разумных сроках по ответственному раскрытию информации, чтобы у разработчиков было время на исправление, а у исследователя его слава. Например, когда я репортил уязвимость в Яндекс, срок молчания составлял 90 дней. А после окончания срока я всё равно уточнял у Яндекса о том, могу ли я раскрыть тех.детали в СМИ? И тогда сотрудники транснациональной корпорации мягко свели мою просьбу на ‘нет’. И в СМИ (тогда 2020 году) я не опубликовался, сохранив общение с командой Яндекса на позитивной ноте. В течении следующего 2021 года зарепортил еще одну уязвимость по Яндексу и без проблем получил вознаграждение, а также оставил за собой моральное право на публикацию материалов согласно положению об охоте за ошибками.
Но вот иногда компании с хорошей репутацией пытаются вести свои игры.
Изучив присланный на email договор представителем Telegram, обратил внимание на то, что Telegram требует не раскрывать никаких деталей сотрудничества/тех.подробностей по умолчанию без своего письменного одобрения, в т.ч. чеки, банковские выписки и публикации в СМИ с упоминанием имени компании и тд. Договор у Telegram (в моем случае) оказался расписан аж на 8 страницах (приложен в конце статьи), а сама публичная программа мягко говоря сокращена.
Описание всей программы bug bounty (правила, что можно, и как нужно. ).
Договор я не подписал, а в ответном письме отправил вопросы по нему (цитата):
Здравствуйте представители и разработчики Telegram!
Некоторые вопросы по договору:
в договоре п1.2. “Confidential Information” сообщается, что к конфиденциальной информации относятся (в том числе и):: техническая информация; и даже уровни сборов и комиссий. И согласно п9.1. «Консультант не должен ни в течение срока действия настоящего Соглашения, ни в любое другое время после его расторжения: 9.1.1. разглашать или передавать любую Конфиденциальную информацию любому лицу, компании, юридическому лицу или другой организации 9.3. Консультант не должен ссылаться на Компанию или любую Компанию Группы в каком-либо пресс-релизе, реклама или материалы без предварительного письменного согласия Компании.»
По умолчанию получается, что Telegram «против» практически любого раскрытия информации без специального письменного запроса. Кроме того при получении гонорара я обязан отчитаться в налоговый орган и предоставить чек, в котором будет отражено получении гонорара (и этот чек также попадает под конфиденциальные данные, что является странным). Можем ли мы в договоре изменить сроки в п9.1 на разумные сроки о неразглашении каких-либо деталей?
Если все же об оказанных услугах/исследованиях не стоит нигде и никогда публично распространяться в СМИ и тд., (в любом случае) можете ли вы пересмотреть добросовестный, финансовый гонорар относительно аналогичной уязвимости, за которую исследователь получил вознаграждение в разы выше, чем предлагается в мою пользу по договору и учитывая мои настойчивые старания по усилению конфиденциальности мессенджера?
Выше был последний ping с представителями компании Telegram, после которого те перестали выходить на связь, оборвав общение.
Конфиденциальность пользователей Telegram снова осталась под угрозой. Пользователи надеются/надеялись на заявленный security-функционал: автоудаление сообщений (картинок), который не работал, как задумано на Android устройствах до версии v8+ (на других платформах баг не проверял) и который вводил их в заблуждение.
Помог разработчикам устранить уязвимость с автоудалением сообщений в мессенджере в период полугода: с 5 марта по 5 сентября 2021 года. Для тех, кто хочет прогнать bug, могут скачать Tg FOSS v7.7 или v7.8.
В официальных пресс-релизах новых версий Telegram не упоминалось ни разу о существовании и решении проблемы с автоудалением сообщений. https://desktop.telegram.org/changelog https://telegram.org/blog
Так как все мои чаты настроены на автоудаление сообщений, иногда эксплуатировал баг, чтобы восстановить данные, которые пользователи считали уничтоженными имея веру в Telegram и даже не знали о проблемах, и в будущем не могли повлиять на их ликвидацию, например, с помощью ручной очистки чата.
Обещанную награду от Telegram ни в 1000 евро ни какую другую я не получил.
Неизвестно: сколько уязвимостей остается/останется ‘замятых’ из-за требований Telegram:: не распространяться и косвенно о проблемах мессенджера публично без письменного одобрения со стороны Telegram. Но при этом П. Дуров в СМИ призывает своих пользователей не верить на слово исследователям, а доверять только оф.информации компании, которая иногда чувствительная и скрывается/контролируется юридическими договорами заключенными с исследователями.
Мы рекомендуем пользователям не полагаться на СМИ и дожидаться официальных объявлений Telegram.
Мы не хотим платить журналистам и исследователям, чтобы они рассказывали о Telegram.
Прилагаю договор, который мог бы быть заключен между мной и Telegram, но был отвергнут (в нем изменены только мои персональные данные: ФИО и адрес).
Прилагаю, самое первое (от 5.03.21 года) и последнее (от 28.09.21 года) видео с воспроизведением проблемы в Tg: автоудалением/ручной очисткой чатов.
Дуров вернул стену 😉
Но мы то знаем правду 🙂
В соцсети собираются пускать только под настоящим именем, по паспорту.
Заксобрание Ленинградской области разработало законопроект «О правовом регулировании деятельности социальных сетей». Он предполагает строгий порядок допуска и идентификации пользователей, которых обяжут создавать страницы только под своим настоящим именем. При регистрации придется предоставить паспортные данные. Детям до 14 лет вход в соцсети запретят вовсе. Внесение проекта в Госдуму запланировано на 5 апреля.
Согласно законопроекту «О правовом регулировании деятельности социальных сетей и о внесении изменений в отдельные законодательные акты» (его текст есть в распоряжении «Известий») пользователем соцсети может быть только лицо, достигшее возраста 14 лет. При регистрации владелец сервиса обязан проверить паспортные данные у российских и иностранных граждан. За нарушение этого правила юрлицу — владельцу сайта грозит штраф от 100 тыс. до 300 тыс. рублей. Если пользователь не сообщил об изменении данных или умышленно указал недостоверную информацию, ему грозит штраф от 1 тыс. до 3 тыс. рублей.
Создавать страницу можно только одну и только под настоящим именем и фамилией, иначе последует штраф: владельцу сайта — до 300 тыс. рублей, пользователю — до 5 тыс. Пользователям, не достигшим 18 лет, запрещается вступать в сообщества, где размещена запрещенная для детей информация. В противном случае родителям придется заплатить штраф до 2 тыс. рублей. Продажа несовершеннолетним любых товаров через соцсети тоже будет караться законом. Кроме того, документ предполагает запрет на рекламу «оккультно-магического характера и курительных смесей».
Запрещается информировать граждан о несанкционированных собраниях и митингах, распространять информацию о несогласованных мероприятиях и публиковать переписку с другими пользователями без их согласия.
Нельзя распространять любую информацию (текст, фото, видео), пропагандирующую национальную и иную нетерпимость, употребление алкогольной и табачной продукции, нетрадиционные сексуальные отношения и прочее — если сообщение не сопровождается «явным осуждением указанных материалов».
Один из авторов документа — депутат заксобрания Ленобласти Владимир Петров пояснил, что закон должен вступить в силу с 1 января 2018 года. У соцсетей будет время, чтобы привести пользовательские соглашения в соответствие с ним, удалить тех, кому еще не исполнилось 14 лет, а с остальных собрать паспортные данные, чтобы при необходимости изменить имена аккаунтов.
— Сейчас сложная ситуация: соцсети — это многомиллионные виртуальные общества, влияющие на реальную жизнь страны. Актуальность документа подтверждена недавними громкими событиями — от несанкционированных политических выступлений до террористической опасности, — пояснил Владимир Петров. — Ради общественной безопасности необходимо ввести принцип поголовной верификации пользователей, это можно сделать только с момента получения гражданином паспорта — с 14 лет. Никто не пытается ввести цензуру или ограничить свободу слова. Верификация и строгий контроль за подлинностью имен лишь усилит цену собственного мнения и виртуального общения.
Никто не пытается ввести цензуру или ограничить свободу слова. Верификация и строгий контроль за подлинностью имен лишь усилит цену собственного мнения и виртуального общения.
Кроме того, предположил депутат, привязка аккаунта к паспорту поможет решить проблему манипуляции общественным мнением в сети, уничтожит всевозможные «сообщества троллей» и пранкеров.
— В западных соцсетях заметна аналогичная тенденция — их администрации заинтересованы в защите пользователей от негативной и пагубной информации. Они стремятся к максимальному предоставлению личной информации. Уверен, что многие страны пойдут по данному пути, — отметил Владимир Петров.
В пояснительной записке к законопроекту говорится, что публикация фотографий и видео с употреблением алкоголя и запрещенных веществ, «по мнению подростка, делает его авторитетнее в глазах окружающих». К каким последствиям это может привести, показывает нашумевшее дело Дианы Шурыгиной, пострадавшей от своих пьяных сверстников.
— Надо признать: интернет уже перестал быть забавной игрушкой, где пересылают смешные картинки про котиков, — сказал «Известиям» депутат Госдумы Виталий Милонов. — Это виртуальное отражение государства. Злоумышленники нередко используют интернет и соцсети в своих целях — благо почва позволяет. Чем меньше будет безответственной анонимности, тем лучше — нельзя отдавать эту сферу на откуп растлителям, террористам и преступникам. Если документ поступит на рассмотрение Госдумы, то, думаю, с рядом поправок и после широкого обсуждения с отраслью он имеет высокие шансы на одобрение палаты.
Советник президента Герман Клименко заявил, что законопроект пока еще «крайне сырой».
— Я не юрист, но определение социальной сети выглядит очень расплывчато и под него подпадают все ресурсы с коммуникацией между зарегистрированными посетителями. Но что делать с незарегистрированными? Регистрация под своим именем без псевдонимов также порождает много вопросов, — прокомментировал Герман Клименко. — Мне кажется, что законопроект имело бы смысл предварительно обсудить с индустрией. Площадок, обладающих профессиональной и юридической компетенциями, достаточно: Институт развития интернета, Российская ассоциация электронных коммуникаций, Региональный общественный центр интернет-технологий. Иначе можем получить эффект «пакета Яровой», когда из-за неточно сформулированных требований по объему хранения трафика начался информационный шторм.
С Германом Клименко солидарны представители Mail.ru Group (владеет соцсетями «ВКонтакте» и «Одноклассники»). По их мнению, инициатива «на первый взгляд недостаточно проработана».
— Если законопроект будет внесен на обсуждение, у нас будет возможность с ним ознакомиться, — прокомментировали в пресс-службе Mail.ru Group.
Директор по внешним коммуникациям Rambler & Co (владеет блог-платформой Livejournal) Матвей Алексеев сообщил, что в подобном законопроекте нет необходимости.
— Сейчас и так всё прекрасно регулируется. У нас есть СОРМ (система оперативно-разыскных мероприятий в телекоммуникациях. — «Известия»), есть Уголовный и Гражданский кодексы, — напомнил Матвей Алексеев. — Если проект станет законом, это будет ударом по отечественным проектам и соцсетям. При этом в документе нет ограничений на пользование иностранными соцсетями и блог-платформами.
Принятие законопроекта может ударить по бизнесу, считает Матвей Алексеев. Многие компании используют соцсети для продвижения товаров и услуг.
Еще одна инициатива из законопроекта — полный запрет на использование соцсетей в рабочее время для работников бюджетной сферы. В пояснительной записке указывается, что соцсети «поработили офисных работников»: потери рабочего времени огромны, а работодатели не могут с этим бороться.
Произошло это, возможно, на фоне этого события:
Путин заявил о конце «расхристанной квазисвободы» в интернете
Президент уверен, что в интернете не должно быть ничего запрещенного законом, но при введении ограничений считает нужным консультироваться с обществом
Путин отметил, что власть должна «купировать угрозы», связанные с чрезмерной свободой в интернете, указав на опасность «автоматических вбросов». Но в то же время признал, что существующих в настоящее время ограничений «достаточно» и существующая система ограничений «функционирует нормально».
Президент напомнил, что многие требуют ужесточения ограничений на распространение информации в интернете. Однако в решении этого власть, по словам Путина, должна исходить не из уверенности в том, что она «лучше всех все знает», но из состояния общества.
«Такие чувствительные вещи мы должны вырабатывать вместе с вами, — обратился президент к участникам медиафорума. — Постепенно общество взрослеет, к людям приходит понимание, что такое хорошо, что такое плохо, на что мы можем пойти сегодня, а что избыточно».