Что о нас известно Telegram-ботам?
Недавно белорусский сегмент интернета наводнился сообщениями о Telegram-боте силовиков под названием «Магнит». Читая отдельные новости складывается впечатление, что после запуска бота на аккаунте можно ставить чёрную метку, ведь теперь все ваши данные известны боту: имя, переписки, номера телефонов и прочие данные, которые мы бы не хотели распространять. Однако, не стоит поддаваться хайпу и преувеличивать возможности Telegram-ботов. Постараемся кратко объяснить, какие данные могут получить боты и зачем может быть нужен бот «Магнит».
Первым делом хотелось бы отметить, что Telegram-боты видят ровно те же данные, что и любой другой пользователь. Ни больше, ни меньше.
Предлагаем вам ответы на самые популярные вопросы:
Бот может узнать мои реальные имя и фамилию?
Бот видит только те данные, которые вы сами от себе предоставили. Если вы подписаны ненастоящими данными, то они и будут известны боту.
Бот сможет узнать мой номер телефона?
Нет, если вы скрыли его. Чтобы его скрыть - перейдите в «Настройки - Конфиденциальность - Номер телефона - Кто видит мой номер телефона?» и выставьте значения Никто. Однако, некоторые боты могут попросить вас поделиться номером телефона. Они могут предложить, например, нажать на кнопку регистрации, в которой может быть скрыт метод отправки номера телефона. Будьте внимательны, ведь в таком случае вы действительно отправите свой номер боту. Вот как это выглядит:
При нажатии на эту кнопку Telegram вас уведомит о том, что бот хочет получить от вас номер телефона. Нажимайте на отмену и удаляйте переписку с ботом, если вы ему не доверяете.
Может ли бот узнать мой ip-адрес?
И да, и нет. В обычной ситуации бот не имеет доступа к вашему IP-адресу. До тех пор, пока вы переписываетесь с ботом внутри самого бота. Однако, есть несколько ситуаций, когда вы можете отправить боту свой реальный IP-адрес.
1) Переход в веб-приложение внутри бота. Некоторые Telegram-боты имеют функционал веб-приложений. Это очень удобно, например, для интернет-магазинов, когда функционала ботов не хватает для удобного отображения товаров. При переходе в такие приложения бот может узнать ваш ip-адрес, но Telegram вас заранее уведомит об этом. Такие боты могут маскировать текст кнопок под что угодно: получить купон на скиду, проверить чужой аккаунт и так далее. Но при нажатии на них вы получите следующий текст:
Ни в коем случае не переходите по таким ссылкам, если не доверяете боту!
2) Переход по ссылкам, которые отправляют боты. Боты при общении с вами могут предложить вам перейти на сторонний сайт, например, для оплаты товара. При этом, они генерируют уникальную ссылку, при переходе по которой сайт соотнесёт IP посетителя ссылки с вашим Telegram-аккаунтом. Кроме того, в текст ссылки может быть зашита другая ссылка, которая может ввести вас в заблуждение. Вот пример: https://t.me/durov. Может показаться, что ссылка ведёт на официальный канал Павла Дурова, но мы в ней спрятали ссылку, которая ведёт на сайт google.com. При нажатии на такую ссылку Telegram уведомит о том, что вы переходите по ссылке на сторонний сайт. Но если в ссылке спрятать url ссылки на, допустим, другой Telegram-бот, то никакого предупреждения не будет. Так, в тексте ссылки может быть бот, которому вы доверяете, а вести на совершенно другой бот, будьте внимательны!
Может ли бот узнать мой ID?
Да, он может узнать ваш ID. Кто угодно может узнать ваш ID, перейдя в ваш профиль. Эту информацию никак не скрыть, потому что ID необходим для нормальной работы Telegram, ведь нему привязано множество программных методов функционала мессенджера. Единственное, для чего он нужен - точное определение одного единственного пользователя среди сотен миллионов других пользователей. Это как идентификатор товара в интернет-магазине - он определяет уникальность товара среди всех других товаров. Кроме того, при работе с ID есть множество ограничений. Вы всегда можете получить ID пользователя через его профиль, но профиль пользователя по его ID найти удаётся далеко не всегда.
Может ли бот узнать, в каких Telegram-чатах я общаюсь?
Нет, сам по себе бот не может узнать эту информацию. Но это может сделать сеть так называемых юзерботов, которые сканируют участников групп и записывают их в свою базу данных. Как не попасть в базу данных таких ботов? Если вы состоите в группе, где не скрыт список участников, то никак. Вы в любом случае попадёте в базу, если будете состоять в группе в момент, когда юзерботы будут сканировать конкретную группу, а сканируют они очень часто. Если вы состоите в группе, где скрыт список участников, то не пишите в ней ничего и не оставляйте лайки на сообщения, так юзербот не сможет узнать, что вы в ней состоите. Просьба к администраторам сообществ - удаляйте сообщения о вступлении пользователя в группу. Это оставляет след о том, что пользователь когда-то был в вашей группе.
Может ли бот узнать, в каких Telegram-каналах я состою?
Нет. Этого не может сделать никто, кроме администраторов каналов. Списки участников каналов не доступны никому кроме них. Единственное, что может вас выдать - комментарии под записями на канале. Будьте осторожны и старайтесь ничего не писать в комментариях к записям.
Может ли бот узнать список моих контактов/мои личные переписки?
Нет, никому, кроме вас, эта информация недоступна. Пока вы сами не отправите какой-либо контакт боту, он эту информацию не узнает.
Вывод:
Как видите, возможности Telegram-ботов сильно ограничены и никакой утечки ваших данных после запуска бота не произойдёт.
А зачем вообще устанавливать бот «Магнит», если он ничего не может обо мне узнать?
Возможно, он нужен для автоматизации действий силовиков. При запуске он может отправлять данные на свои сервера и собирать «базу нарушителей». Так, если в будущем этот ID где-то засветится, правоохранительным органам будет проще выйти на владельца аккаунта. Сфера применения данного бота невелика. Всю информацию можно получить и без бота «Магнит» как с готовыми сторонними решениями, так и без них. А для написания подобного решения программисту необходимо час-два времени.
Что мне делать, если мне установили этот бот?
Прежде всего, не паниковать. Удалять аккаунт или нет - решать вам. Следить за вами через бота не получится, можете удалить его, если переживаете. Однако, помните, что смена номера телефона не поможет, так как у вас останется старый ID, а он гарантирует, что аккаунтом владеете именно вы, так как никто другой при последующей регистрации получить этот ID уже не сможет.
Материал написан для канала OSINT Беларусь. При публикации статьи на других каналах просим указывать нас в качестве первоисточника.