Уязвимость в сториз в телеграме или "После этого поста вы захотите попробовать сторисы" Все уже знают, что телеграм на днях запустил сторисы. С ними есть одна интересная особенность, про которую пока мало кто знает Сначала два простых факта: 1. Telegram показывает вам сторисы тех, кто есть у вас в контактах. Это понятно, оно так же работает и в инстаграме - там вы видите сторисы тех, на кого подписаны 2. Автор видит, кто посмотрел его сториз. Тоже ничего страшного, в инстаграме работает так же Но именно из-за сочетания этих факторов появляется интересная уязвимость — вы можете узнать, кто добавил вас в контакты. Для этого нужно запостить любую сториз, и наблюдать в реальном времени, кто ее посмотрит. Большинство из этих людей будут вашими знакомыми, но не только. Почему это имеет значение В отличие от подписок в инстаграме, список контактов в вашем телефоне — это ваша личная секретная информация. Часто люди добавляют туда тех, кем когда-то по каким-либо причинам интересовались. Вы можете встретить там своих тайных поклонников, эйчаров или сотрудника военкомата 🙂 Итак, как провести эксперимент: 1. Подписаться на мой канал @ciso_on_fire, чтобы не потерять пост на следующем шаге 2. Обновить Telegram 3. Купить премиум через бота @PremiumBot 4. Опубликовать любую сториз 5. Ждать, пока ваши тайные поклонники ее посмотрят При этом, важно: 1. Пробовать это скорее, пока разработчики не исправили проблему 2. Тем более, что сейчас сторисы только появились, и люди активно их смотрят. Когда первая волна интереса пройдет, количество зрителей может упасть, а количество авторов сториз вырастет, поэтому эффективность метода упадет 3. Во время эксперимента лучше воздержаться от просмотра чужих сториз. Потому что их авторы тоже увидят вас в списке зрителей, и оттуда в один клик попадут уже на вашу приманку, таким образом вы получите ложные срабатывания На моем примере. Работа безопасника включает в себя расследование инцидентов — взломов, утечек и тому подобных. Инциденты бывают разные, и для успеха расследования важно использовать все доступные и законные способы получения информации. Эта сфера называется Open-Source Intelligence (OSINT). Когда нужно найти информацию по какому-то номеру телефона, один из часто используемых трюков такой: мы добавляем номер себе в контакты, и смотрим, как выглядит этот контакт в разных мессенджерах и соцсетях. Для поиска в соцсетях лучше использовать чистый аккаунт и чистый телефон, и добавлять человека единственным контактом в телефонной книге. Иначе вы не поймете, кого именно вам соцсеть предлагает в рекомендациях — они там не подписаны. В мессенджерах же обычно мы добавляем номер просто себе в контакты. Так вот, обновив телеграм, я увидел сторисы сразу нескольких людей, по которым искал информацию за последние годы. А они увидели меня в своем списке зрителей 🙂 Как разработчики Telegram могут исправить проблему? 1. Самое хорошее решение — это показывать вам сторисы не всех контактов, а только тех, с которыми вы переписывались или взаимодействовали за последнее время. Я думаю, что именно это они сделают, потому что это поможет и самой фиче - я хочу видеть истории тех, с кем общаюсь, а они не всегда есть у меня в контактах 2. Самое корректное — это предупреждать юзера о том, что авторы сторисов увидят, что вы ее посмотрели. Это важный принцип в безопасности: юзер должен понимать поведение продукта касаемо любых вопросов privacy 3. Самый простой вариант — скрыть список просмотров. Так делать не нужно, это ухудшит user engagement 4. Еще один хороший вариант — это раскрывать в списке зрителей сторизов только тех, кто с вами общался, а всех остальных скрывать, показывать только их общее количество @ciso_on_fire