Hasta hace poco, en ninguna parte, excepto al iniciar sesión en una cuenta, no se solicitaba una contraseña. Las cosas cambiaron cuando agregamos la capacidad de transferir un canal a otra cuenta y, hoy, transferir bots. No solo eso, para la transferencia, debe cumplir con los criterios, por ejemplo, tener 2FA habilitado y sentarse con él durante 7 días, no cambiar la contraseña, etc., por lo que también debe volver a ingresar la contraseña al transferir el estado del propietario del canal. ¡Y eso es genial!
Imagínese mi sorpresa cuando decidí cambiar el número de móvil en mi cuenta principal. Siga las acciones: entró en la configuración, hizo clic en editar, tocó el número, confirmó la intención, ingresó un nuevo número, ingresó el código que vino por SMS al nuevo número , eso es todo ...
Falta algo ... De alguna manera demasiado simple ... Oh, sí, pero ¿dónde está 2FA como en la transmisión de canal? ¡Lo tengo encendido! Está bien, ¡si no lo usé!
Y lo que resulta. La persona que obtuvo acceso a nuestro dispositivo colocando su dedo por la fuerza / usando su rostro pudo quitarle completamente su cuenta , sin la necesidad de conocer la contraseña y acceder a su número anterior.
Ahora nadie puede iniciar sesión en la cuenta.Después de cambiar el número, la persona cerró todas las sesiones en sus otros dispositivos, dejando solo la que se llevó. No puede iniciar sesión en su cuenta, ya que necesita un código de un SMS a un número que no conoce. El atacante no puede iniciar sesión desde otro dispositivo, ya que necesita una contraseña de 2FA, ¡pero tiene acceso a su cuenta! ¡No necesita más!
Obviamente, sería genial agregar una confirmación de contraseña al cambiar el número . El caso no solo con la selección forzada del teléfono, sino también el escenario "le dio una publicación a una persona para leer" también privará a todos de la cuenta. Cambiará el número y cerrará todas las sesiones, incluida la activa.
Telegram tiene mecanismos para eliminar cuentas cuando el operador móvil transfirió el número a otro propietario y el número resultó estar registrado con 2FA. Enfrenté esto personalmente. Tenía 7 días para cancelar todo el procedimiento. Para cancelarlo, debe ingresar el código del SMS de un número al que ya no tenía acceso. Otra opción era cambiar el número de teléfono por otro. Acabo de transferir todo de esa cuenta a otra ai ... se eliminó.
Está claro que pedir la confirmación de un número antiguo para cambiarlo por uno nuevo es una mala idea. Mata las soluciones a diferentes casos de problemas. Las sesiones activas y 2FA deberían ser una garantía, y generalmente necesita alejarse de los teléfonos vinculantes, pero hasta ahora no hay ningún lugar ... Bot API 5.0
acaba de ser actualizado! Muy jugoso, un agradecimiento especial por esto, pero además de esto, se sacó a la venta la posibilidad de transferir derechos de bots entre cuentas. E incluso a pesar de que todo el control es a través de BotFather'a (bot oficial), ¡ logra solicitar 2FA ! Este tipo de botón en línea no está documentado . Cuando se presiona, aparece una ventana con una contraseña.
Captura de pantalla de una ventana emergente en el proceso de transferencia de derechos
Después de ver todo tipo de casos, ver diferentes enfoques en Telegram, puede preguntarle a Pavel ( @durov ) sobre una sola cosa ... Usemos la confirmación 2FA no solo al ingresar y cambiar el propietario de un bot / canal, sino también al cambiar un número de teléfono y eliminar una cuenta .
Por supuesto, qué podemos decir sobre la posibilidad de eliminar una cuenta sin 2FA, cuando aún se puede eliminar cambiando el nombre de la cuenta a "Mensajes guardados".
Video con eliminación de cuenta al cambiar el nombre
Mi artículo más pequeño, por lo tanto, sin el habitual "gracias por leer hasta aquí".
PD: No utilizamos Face ID, escáneres de huellas digitales. No almacenamos contraseñas en nuestra cabeza. Genere aleatorios, almacene en administradores de contraseñas. Al menos algo, al menos de alguna manera. Nunca será ideal.
PSS Gracias a Oleg por eliminar dos cuentas del material de video de este artículo.