Темно-серая зона экосистемы Telegram

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!

В данной статье читателю не будут навязываться постулаты об экосистеме Telegram, или обсуждение хозяина мессенджера. Распишу пункты темно-серой зоны Telegram по своему опыту:

  1. свободный наркотрафик;
  2. открытое пиратство;
  3. удручающая bug «bounty».

О своём опыте вы можете поделиться в комментариях к статье.

Свободный наркотрафик


В прошлом 2019 году, когда разработчики мессенджера Telegram ввели новую функцию: гео-чаты (кстати, которую легко подделать при помощи Fake GPS Location). Вот в то самое время барыги оживились и повылазили из темных глубин интернета. ИМХО подпортили репутацию самого мессенджера: повсюду создали наркогеографию.

Несколько дней назад я отправил десятки репортов/жалоб команде Telegram на такие сообщества, а так же пожаловался волонтерам ТП в ожидании «расстрела», но расстрела не последовало, никто не удосужился «перезарядить винтовку», уничтожить подобные канал-чаты, никакой наглядной реакции (как обычно) со стороны правительственных сил Telegram-Dubai не последовало.
image
Этот процитированный отрывок выше из моей конкурсной работы 2019 года.

Со времен видимой и невидимой борьбы прошло ни много ни мало времени —1.5 года. Сейчас на носу 2021 новый год. Давайте посмотрим, как модераторы Telegram в режиме God 'mode провели свой «блицкриг»: сократительный огонь по беззаконниками.

Если в поиске Telegram ввести название города, то как и раньше в результатах вы получите, в том числе, чаты/каналы с предложением незаконных товаров и услуг, часто которые встречаются в даркнете, потому что в цивилизованном web обычно таких паразитов вылавливают или банят, но только не в Telegram.


декабрь 2020 год.

Подобная политика Telegram распространяется не только на наркотрафик, но и на другие сомнительные услуги:

Проституция


Перепродажа персональных данных


Фальшивки



Открытое пиратство


В каналах и ботах Telegram можно бесплатно скачать музыку, фильмы, нелицензионный софт, аудио/книги на которые правообладатели не давали свое разрешение на «подобное» использование и распространение.
Вчера на Хабре вышла по этому поводу новость
«Европейская комиссия опубликовала новый список ресурсов, которые способствуют пиратству и могут получать от него выгоду. Он включает ресурсы, расположенные за пределами ЕС. Впервые в отчете фигурируют Telegram и «Вконтакте».

Из самого отчета, перевод.
А) «Telegram утверждает, что они не терпят никакого вредоносного контента на своей платформе и удаляют в течение 24 часов, когда об этом сообщает Autorità per le Garanzie nelle Comunicazioni AGCOM или заинтересованные стороны по электронной почте.
Б) «Telegram также указал, что их усилия по борьбе с вредоносным контентом на своей платформе были очень успешными в других областях»


Правда?
Пример, злоумышленник стал распространять пиратский контент (мое произведение) в сети Telegram. Согласно telegram.org/faq



Я отправил подписанный отчет с доказательствами на dmca@telegram.org. Через 24 часа, как утверждается в отчете по Telegram, пиратский контент должны были прикрыть, а по факту я не получил ответа. Прошло уже более трех месяцев с момента репорта по DMCA, а я так и не получил какого-либо положительного или отрицательного решения от Telegram по своей проблеме. Иногда я «их» пингую, но безрезультатно.
Подобный отчет был выслан и на другие платформы, куда пошел пиратский контент. Например Gitlab проверил факты и удалил не только пиратские материалы за +- 48 часов, но и заблокировал учетку мошенника (теперь) без возможности восстановления.

Удручающая bug «bounty»


Некоторые из читателей, возможно, слышали о багах и уязвимостях в Telegram, на которые руководство мессенджера никак не реагировало или по своему трактовало/присуждало гостинцы исследователям, а кто-то из пользователей Хабра и сами находил в экосистеме Telegram баги и фичи.
Для наглядности сравним описание программ bug bounty Telegram с каким-нибудь open source проектом, например Veracrypt.

hackerone.com/telegram?type=team

Скудное описание в 50 слов, за какие дыры Telegram готов платить багхантерам «сколько, за что и в какой валюте». Описание всей программы bug «bounty» за несколько лет даже меньше, чем описание какого-нибудь очередного обновления мессенджера, например, описание обновления об анимированных стикерах в Tg.


hackerone.com/ibb-veracrypt?type=team

Вы также можете сравнить программу bug bounty Telegram с другими поощряющимися программами и убедиться сами в том, что первую составляли по эксцентричному принципу.

О баге


Пример недавнего бага, который я зарепортил на security@telegram.org,
пополнив свой послужной список, но как и раньше ответа никакого не последовало. По моему мнению, с отчетом я поторопился, баг больше похож на «жульничество» со стороны Telegram, а не на уязвимость.

Суть (пока Telegram не ответит на репорт это считается багом, а не фичей): любой пользователь может получить доступ к заблокированному (например, пиратскому) «удаленному» контенту в сети Telegram.

Кейс: для примера возьмем канал на котором регулярно появляется пиратский контент. Вручную найдем такую плашку, которую оставляет Telegram «удаляя» этот самый контент.


«This message couldn't be displayed on your device due to copyright infringement.»
t.me/freedomf0x/6842

Данная плашка (через инструмент: поиск по каналу — не ищется), это такая своеобразная «защита двух коней» от мессенджера. Плашка означает, что на этом месте находился «вредоносный контент». Через app «удаленный» контент не доступен.
Заходим в Desktop Telegram версию мессенджера, делаем экспорт истории чата/канала (ткнув галочку на «файлы» и сделав ограничения на загрузку файла в 2 Гб), выбираем дату (в данном примере с 21 марта 2020 года по 22 марта 2020 года). После успешного экспорта истории, в отчете html-страницы вместо плашки будет находиться тот самый пиратский контент.
Подробный пример кейса на видео ниже.


Почему же это больше похоже на «жульничество»? Я думаю, что Telegram в курсе всей этой вакханалии, положение вещей на данный момент времени руководство просто устраивает: «Ну как бы мы защитили контент, ведь не каждый пользуется Desktop версией через которую „удаленный контент“ вытягивается без каких-либо проблем».

Или вот другой пример.
Вооружимся ботом @flibustafreebookbot с помощью которого можно скачивать книги. Данный бот был заблокирован Telegram-ом, но явная лазейка осталась и позволяет скачивать книги. Все что нужно сделать — это (переиграть систему): добавить бота в свой приватный чат и дать разрешение «администратора», после чего бот оживает и работает, как ни в чем не бывало. Кстати, этот пиратский бот стартует на Desktop-e без каких-либо ограничений, что противоречит самим ограничениям, которые на него распространила ТП с рут доступом.


Справа налево: бот @flibustafreebookbot заблокирован (Android); бот @flibustafreebookbot (Android) работает после жульнического трюка; бот @flibustafreebookbot (Desktop) работает без каких либо ухищрений.

Вывод


За прошедшие полтора года в ивовой экосистеме ничего не поменялось, негодяи продолжают торговать, подсаживать, уходить от ответственности. Telegram остался мессенджером, который борется за свободу и безопасность своих бизнес ценностей, не запрещая пропаганду «сомнительных услуг» на своих мощностях.
Заявления Telegram о борьбе с вредоносным контентом это просто фарс. Ответственные лица со стороны соц.сети не заботятся о вещах упомянутых в данной статье, не реагирует на репорты пользователей, но при этом оправдываются перед комиссиями и судами когда за ними начинают приглядывать и наказывать за лукавство, о котором они и сами знают.
Источник: https://habr.com/ru/post/533418/


Интересные статьи

Интересные статьи

Я давно знаком с Битрикс24, ещё дольше с 1С-Битрикс и, конечно же, неоднократно имел дела с интернет-магазинами которые работают на нём. Да, конечно это дорого, долго, местами неуклюже...
Всем привет! Не так давно на работе в рамках тестирования нового бизнес-процесса мне понадобилась возможность авторизации под разными пользователями. Переход в соответствующий р...
Сегодня из подручных материалов мы соберём в Яндекс.Облаке Telegram-бот с использованием Yandex Cloud Functions (или Яндекс-функции — для краткости) и Yandex Object Storage (или Объектное хра...
На Хабре тысячи статей про то, как сделать Телеграм бота под разные языки программирования и платформы. Тема далеко не новая. Но Telegraff – лучший фреймворк для реализации Телеграм ботов и я ...
Есть статьи о недостатках Битрикса, которые написаны программистами. Недостатки, описанные в них рядовому пользователю безразличны, ведь он не собирается ничего программировать.