ОН ВАМ НЕ «ПАШОК»

На канале мы постоянно говорим об безопасности и анонимности, но многие до сих пор верят в сказку о «безопасном» Telegram. Сегодня мы эту сказку развеем. Сразу оговоримся: мы не собираемся демонизировать Telegram или кричать «все пропало». Наша позиция проста — безопасность начинается с тебя. Самый защищённый мессенджер в мире не спасёт дурака, который светит свой номер в открытых чатах и пишет о делах в обычных переписках. Но и закрывать глаза на объективные проблемы Telegram было бы глупо.

Базовые проблемы

Номер телефона

Telegram требует от тебя реальный номер для регистрации. Твой номер привязан к паспорту. Оператор связи знает, где ты, когда ты онлайн, с какими вышками связывается твой телефон. Это значит, что даже если Telegram не сливает твои данные напрямую (что уже вопрос), сам факт регистрации по номеру делает тебя уязвимым.¹

Да, можно использовать виртуальные номера или левые симки. Но это костыль, а не решение. Telegram изначально строился не как анонимный инструмент, а как удобный мессенджер для массового пользователя.¹

Централизация

Telegram — это не федеративная сеть вроде Matrix или Jabber, где каждый может поднять свой сервер. Это единая закрытая система, где все серверы контролирует одна компания. Если завтра Дуров решит (или его заставят) изменить политику модерации, передавать данные, закрыть доступ к каким-то функциям — ты ничего не сможешь сделать. В Matrix или Jabber ты можешь развернуть свой сервер, контролировать инфраструктуру, выбирать, с кем федерироваться. В Telegram такой свободы нет. Ты полностью зависишь от политики компании.¹

Экспорт данных

Даже если твои сообщения зашифрованы (спойлер: в обычных чатах они не зашифрованы совсем), Telegram хранит о тебе дохрена всего. Узнать об этом можно через экспорт данных.²

Это функция, которая позволяет скачать всю информацию из твоего аккаунта в виде файлов. Заходишь в десктопной версии в настройки → «Продвинутые настройки» → «Экспорт данных из Telegram». Через какое-то время получаешь архив и открываешь файл export_results.html в браузере. Кроме, очевидно, данных об аккаунте и личных чатов, ты найдешь и «скрытые» данные, которые ты не видишь в аккаунте, но которые вылезут в экспорте:²

• Список каналов, от которых ты отписался — даже если это было год назад

• Список покинутых чатов (супергрупп) — навсегда

• Твои сообщения из покинутых открытых чатов — если не удалил перед выходом

• Каналы, на которых ты был админом — с датой создания и всеми постами

• История IP-адресов, с которых ты заходил

• Список сохранённых стикеров за последние 12 месяцев

И ты не можешь удалить эту информацию. Единственный способ — удалить аккаунт целиком.²

Этим активно пользуются менты: при задержании или после SIM-swap атаки заходят в твой Telegram и делают экспорт данных. Получают список каналов, на которые ты был подписан — готовая карта твоих интересов. Покинутые чаты с твоими сообщениями — доказательная база. Частые контакты — круг твоего общения. Историю IP-адресов — откуда ты заходил.²

Технические косяки

Кастомный протокол MTProto

MTProto — кастомный протокол шифрования для Telegram, разработанный братом Павла Дурова, Николаем.³ Сама идея создавать велосипед, не решая конкретную проблему — дурной тон в криптографии. Но у MTProto есть и ряд реальных проблем.³

Для начала — исходный код и алгоритм шифрования закрыты. Так как MTProto — не программа, а протокол, у него есть реализации с открытым кодом. Но это не значит, что принцип шифрования публичен.³

Auth_key_id

Протокол MTProto передаёт незашифрованный идентификатор устройства — auth_key_id — с каждым твоим сообщением. Этот id генерируется для каждого устройства и не меняется, независимо от того, откуда ты заходишь. Любой, кто может перехватить твой трафик (провайдер, СОРМ, админ WiFI в кафе), видит этот идентификатор и может:³

• Отслеживать твоё устройство по всему миру

• Связывать твою активность с местоположением

• Идентифицировать твои контакты по метаданным

• Делать всё это в режиме реального времени, без взлома шифрования

В секретных чатах ситуация получше: временные ключи генерируются каждые 24 часа, но смена идентификаторов происходит с того же IP-адреса. Это, хоть и не без труда, позволяет связать старый и новый auth_key_id между собой.⁶

Telegram — единственный популярный мессенджер с таким странным механизмом.

Отсутствие сквозного шифрования

Обычные чаты в Telegram не используют сквозное шифрование (E2EE). Твои сообщения шифруются только до прибытия на сервер. На серверах Telegram они лежат в расшифрованном виде. По сути, сотрудники компании (или кто угодно, с доступом к серверам) могут их прочитать.

Дуров утверждает, что так удобнее — можно синхронизировать сообщения между устройствами. Это правда, но Signal, Jabber, Matrix решили эту проблему, пускай и жертвуя скоростью.

Отсутствие E2EE с точки зрения безопасности означает, что ты должен доверять серверу. Секретные чаты в Телеге используют E2EE, но работают только между двумя устройствами и не синхронизуются. В итоге почти никто ими не пользуется.

«Формально безопасен»

В 2020-м исследователи из Университета Удине (Италия) на бумаге доказали надёжность MTProto 2.0 по части аутентификации, целостности, конфиденциальности и всего такого.⁴

НО (и это главное) исследователи сделали несколько жирных оговорок.

Во-первых, они прямо заявили: серверу доверять нельзя.⁴ ⁵ Весь трафик, включая шифрованный, идёт через него, и именно сервер выбирает параметры для шифрования. Это принципиально отличается от Signal и Matrix, где сквозное шифрование работает так, что даже скомпрометированный сервер не может прочитать сообщения — там ты не обязан доверять серверу.

Во-вторых, это делает возможным атаку «человек-посередине» (MITM). Конечно если юзеры ленятся сверять отпечатки ключей в секретных чатах.⁴

И вишенка на торте: сами же исследователи признали, что их доказательство было проведено в «символической» модели. А чтобы считать протокол окончательно безопасным, нужна проверка в более строгой, «вычислительной» модели, которую никто так и не сделал.⁴ ⁵

Проще говоря: MTProto формально работает, но только если ты слепо доверяешь серверу.

Исходный код

Telegram позиционирует себя как открытый мессенджер. Дуров критикует Signal за задержку релизов с воспроизводимыми сборками (когда приложение можно собрать из исходного кода) и WhatsApp за закрытый код, но есть две проблемы:⁷

• Первая: исходный код самого Telegram публикуется с огромной задержкой после выхода новой версии. Сторонние разработчики иногда неделями ждут обновления. Что крутится в этой версии между релизом и публикацией кода — неизвестно.⁷

• Вторая: исходный код серверной части никогда не был опубликован. Telegram обещал открыть код серверов ещё в 2013 году — прошло больше десяти лет, обещание так и не выполнено. Тем временем Signal открыл код серверной части.⁷ ⁸

Дуров объясняет это тем, что три года назад некий «авторитарный режим» пытался получить серверный код для создания своего локального аналога Telegram. «Я не хотел давать диктаторам средства для угнетения», — заявил он.²⁹

Звучит благородно, но на деле это бред. Посмотри на мессенджер MAX — его спокойно сделали без исходного кода Telegram, и теперь активно проталкивают в массы как «национальную альтернативу». VK с поддержкой Минцифры и «Ростех» спокойно реализовали свой мессенджер.⁷

Более того, энтузиасты, хоть и медленно, но своими силами пилят полноценную открытую серверную часть Telegram в проекте Teamgram.⁹ А при поддержке государства такая задача решается вообще без проблем.

Так что отговорка Дурова — это просто отговорка. Отсутствие открытого кода серверов означает, что мы не знаем, что там происходит. Signal полностью открыл серверную часть. Telegram — нет.⁷

Политические связи

Откуда деньги, Дуров?

Telegram не приносил прибыли первые 11 лет своего существования. В 2024 году Дуров сам заявил: «За первые семь лет я финансировал Telegram через продажу акций своих предыдущих компаний. Когда эти деньги закончились, я занял у друзей, чтобы держать компанию на плаву». ²⁹

Интересный вопрос: а кто эти «друзья», которые финансируют убыточный мессенджер более десяти лет? И вот тут появляется любопытный факт: в 2011 году Telegram получил 75 миллионов долларов от Российского фонда прямых инвестиций (РФПИ). Это государственный суверенный фонд, через который РФ инвестирует в стратегические активы. И это не единственные 75 миллионов — представитель РФПИ позже заявлял, что фонд также инвестировал 150 миллионов долларов в компанию Digital Sky Technologies, которая контролировала долю в ВКонтакте и других проектах Дурова.¹¹

При этом Дуров активно обвиняет Signal в связях с правительством США, указывая на финансирование от Open Technology Fund. Двойные стандарты налицо.²⁹

Инфраструктура от ФСБ

В июне 2025 года «Важные истории» и OCCRP опубликовали масштабное расследование о связях инфраструктуры Telegram с компаниями, работающими с российскими спецслужбами.¹⁰

Ключевые факты:

• Более 10,000 IP-адресов Telegram управляются компанией Global Network Management (GNM), владелец которой — Владимир Веденеев — имел эксклюзивный доступ к серверам Telegram и действовал как неофициальный финдиректор компании

• Ещё 5,000 IP-адресов получены от петербургской компании Electrontelecom — прямого подрядчика ФСБ, который устанавливает системы слежки для офисов спецслужб

• Компания Веденеева в 2022 году внедряла системы DPI по запросу Роскомнадзора

• Среди клиентов — ГлавНИВЦ, аналитический центр, который работает с силовыми структурами

«Важные истории» получили внутренние документы Electrontelecom за 2024 год: один из важнейших заказчиков компании — ФСБ. Компания оказывает ФСБ услуги по монтажу и обслуживанию «комплекса передачи специальной информации, используемого для проведения оперативно-разыскных мероприятий».¹⁰

Это означает, что за серверную инфраструктуру Telegram отвечают те, кто в то же время обслуживают секретные комплексы ФСБ для слежки за гражданами. Добавим сюда протекающий auth_key_id и получим идеальные условия для глобальной слежки.¹⁰

Telegram категорически отрицает обвинения, но не объяснил, почему инфраструктура завязана именно на эти компании и почему Веденеев имел такой уровень доступа.¹⁰

Дела о госизмене: откуда данные?

Правозащитный проект «Первый отдел» сообщил, что ФСБ возбуждает уголовные дела против россиян, которые писали в боты украинских Telegram-каналов. К моменту арестов ФСБ уже располагало полными записями частной переписки. ¹¹

Глава проекта заявил: «В нескольких случаях метод получения данных не поддаётся обычной технической логике. Это предполагает либо использование неизвестных кибершпионских техник, либо молчаливое сотрудничество Telegram».¹¹

Старый друг

Совсем недавно, в декабре 2025-го, Financial Times выпустила расследование о Яне Марсалеке. Это бывший топ-менеджер европейского «убийцы PayPal» Wirecard, а ныне — самый разыскиваемый преступник Европы и агент ГРУ, бежавший в Россию.

Как выяснилось, ещё в 2018 году, когда Марсалек уже давно был COO Wirecard (и уже работал на российскую разведку), Павел Дуров лично привлекал его к инвестициям в молодой проект TON. Бывают ли такие знакомства случайными? Инвестиция не удалась из-за заперта Комиссии по ценным бумагам и биржам США на выпуск криптовалюты GRAM (предшественник TON). Тем не менее этот прецедент говорит многое о вопросе спонсорства Telegram.³⁰

Историческая перспектива

Все помнят, как в 2018-2021 Дуров публично отказался передавать ключи шифрования ФСБ. Роскомнадзор пытается заблокировать мессенджер, но безуспешно. Дуров строит имидж борца за свободу слова.¹¹

Не берусь утверждать, но учитывая приведённые выше факты — выглядит как театр, на который мы все, чего уж греха таить, тогда купились. Всё потому, что мы упускаем то, что произошло после:

- Сентябрь 2021: Telegram блокирует бот «Умного голосования» по требованию российских властей¹²

• Февраль 2022: Telegram начинает переговоры с властями Германии. МВД и Минюст ФРГ проводят видеоконференцию с Дуровым и тремя представителями компании для налаживания сотрудничества. Создан прямой закрытый канал для передачи информации силовикам¹³

• Март 2022: Верховный суд Бразилии приказывает заблокировать Telegram по всей стране за неоднократное игнорирование судебных решений, включая требования о предоставлении данных пользователей. Блокировка была отменена через два дня после того, как Telegram начал сотрудничать¹⁴

• Март 2022: Зампред комитета Госдумы заявляет: «ФСБ вместе с Дуровым пришли к компромиссу... Telegram установил оборудование для отслеживания опасных субъектов»¹⁵

• Июнь 2022: Der Spiegel публикует расследование — Telegram передаёт Федеральному ведомству уголовной полиции Германии (BKA) персональные данные пользователей, подозреваемых в терроризме и педофилии. Заблокировано более 80 каналов и 90 чатов праворадикального толка. Telegram передаёт данные о более чем 3000 каналов и групп немецким силовикам¹⁶

• Октябрь 2022: Итальянская полиция проводит масштабную операцию против пиратства. Telegram передаёт персональные данные администраторов. Получено разрешение на закрытие 545 каналов, распространявших защищённый авторским правом контент. Обыски прошли у восьми администраторов в пяти регионах¹⁷

• Ноябрь 2022: Telegram передал персональные данные индийских пиратов полиции¹⁹

• Август 2024: Арест Дурова во Франции по обвинениям в пособничестве преступлениям (распространение детской порнографии, торговля наркотиками, мошенничество, отмывание денег) и отказе сотрудничать с правоохранительными органами. Дуров освобождён под залог 5 млн евро с запретом покидать Францию²⁰

• Сентябрь 2024: Telegram кардинально меняет политику конфиденциальности. Теперь мессенджер может передавать IP-адреса и номера телефонов не только подозреваемых в терроризме, но и при любых преступлениях, нарушающих правила платформы²¹

• Сентябрь 2024: Telegram запускает бот @transparency для публикации отчётов о запросах властей²²

• Октябрь-декабрь 2024: Резкий скачок в выполнении запросов силовиков по всему миру. Европейские правоохранители заявляют: «Это день и ночь. Теперь Telegram активно сотрудничает»²³

• 2024 год (полностью): Индия — 14,641 запрос (23,535 пользователей), США — 900 запросов (2,253 пользователя), Германия — 945 запросов (2,237 пользователей), Бразилия — 302 запроса, Франция — 220 запросов (686 пользователей), Бельгия — 223 запроса, Испания — 213 запросов (518 пользователей), Великобритания — 142 запроса (293 пользователя)²²

• Q1 2025: Telegram выдал данные о 22,777 пользователях — почти в 4 раза больше, чем за тот же период 2024 года (5,826 пользователей). Индия — 9,197 запросов (9,941 пользователь), Германия — 1,311 запросов (3,777 пользователей), Франция — 668 запросов (1,425 пользователей), США — 576 запросов (1,664 пользователя)²⁵

• Июль 2025: Telegram начинает процесс официальной регистрации в России по закону «о приземлении» — открытие представительства, регистрация в Роскомнадзоре²⁸

• Октябрь 2025: Дуров публикует пост к своему дню рождения. В нём он пафосно критикует Европу за цензуру, закончив словами о том, что у него «мало времени» (на «спасение свободы слова»)

Что в итоге

Этот пост — не призыв сломя голову сносить Телегу. Это повод трезво оценить риски и задуматься о своей безопасности. Предупреждён — значит вооружён.

Используй Telegram для белых дел и бытовухи — для этого он подходит отлично.

Но если речь идёт о работе, правила меняются. Привыкай к секретным чатам, регай аккаунт на левую симку с надёжным облачным паролем (2FA), и не стесняйся пускать трафик через прокси, VPN или Tor.

И помни главное: ни один мессенджер не сделает тебя неуязвимым. Твоя безопасность — это только твоя работа.

Для вопросов и охуительных историй: @prime_feedbot

OLinks — ССЫЛКИ В КАСАНИЕ

OLinks Prime (РЕЗЕРВ)

Источники:

1 https://tginfo.me/esafety-analysis-en

2 https://baj.media/be/karysnae/kakie-dannye-o-byvshih-podpiskah-i-chatah-hranit-telegram/

3 https://alimy.github.io/post/dev_202011271711/

4 https://arxiv.org/abs/2012.03141v1

5 https://www.atraining.ru/telegram-mtproto-2-0-security-questions/

6 https://kiledjian.com/2024/08/31/a-closer-look-at-telegrams.html

7 https://habr.com/en/news/855512/