tl; dr: Ich untersuche die Möglichkeiten, Konten mit Telefonnummern im russischen Telegrammsegment abzugleichen.
Es gibt viele Menschen auf der Welt, die einen beliebigen Benutzer dekanonymisieren möchten. Dies können Kapitalisten sein, die Spam nicht meiden, spezielle Dienste, Betrüger und nur Stalker. Die Sozialdienste versuchen, zwischen dem Wunsch, durch den Import von Kontakten ein möglichst großes Publikum anzulocken, und den Beschränkungen des Zugangs zu solchen Informationen zu wechseln. Sie manövrieren auf unterschiedliche Weise, einige positionieren sich so sozial wie möglich, während andere die Privatsphäre mehr schätzen. Letztere werden zu Angriffsobjekten von Anhängern maximaler Privatsphäre.
Standardmäßig können Sie in Telegramm wie in weniger privaten Messenger ein Benutzerkonto erhalten, das seine Nummer kennt. Gleichzeitig kann der Inhaber der Nummer diese Möglichkeit nur für gegenseitige Kontakte einschränken, hierfür gibt es eine Sonderoption. Standardmäßig ist es deaktiviert, was bedeutet, dass wir ein vollständiges Telegramm von sorglosen und absichtlich öffentlichen Leuten haben. Die Funktion schien auf eine Belastung der Benutzerbasis zurückzuführen zu sein. Ich beschloss herauszufinden, wie viel es kosten würde, eine ähnliche Datenbank zu erstellen, und ob ich eine erstellen könnte.
Ich habe meine Interessen nur auf russische Benutzer beschränkt. Wie sich herausstellte, wird die Basis der Nummernkreise veröffentlichtRossvyaz, der meine Aufgabe weiter vereinfachte, indem er die Notwendigkeit beseitigte, Websites mit solchen Informationen zu verschrotten. Insgesamt erhielten die Betreiber am 7. September fast sechshundert Millionen Nummern, genauer gesagt genau 598035003.
Ich nahm ein paar SIM-Karten, "Telethon" (Python-Modul mit einer vollwertigen Implementierung von MTProto) und versuchte, eine solche Datenbank zu Hause zu erstellen.
Kontakte teilen und einer Gruppe hinzufügen
Erinnern Sie sich an die Geschichte des Dekans von Hongkong? Der Bot fügte der Gruppe Benutzer nach Telefonnummer hinzu und erhielt so ein mit dem Telefon verknüpftes Konto. Im selben Artikel kontaktierte ein ZDNet-Journalist einen Telegrammvertreter. Letzterer sagte, dass Massenimporte problematisch wären.
Wir haben vermutet, dass einige von der Regierung geförderte Angreifer diesen Fehler ausgenutzt haben, um gegen Demonstranten in Hongkong vorzugehen, und in einigen Fällen unmittelbare Gefahren für das Leben der Demonstranten posteten
Also beschloss ich, zuerst die Kontakte zu durchsuchen. Über die Benutzeroberfläche offizieller Telegramm-Clients können Sie nur die Benutzer freigeben, deren Nummer Sie auf die eine oder andere Weise sehen können. Mit "Telethon" können Sie jedoch Kontakte mit einer beliebigen Nummer teilen. Nach der API zu urteilen, sendet die Funktion der Freigabe eine Datei eines bestimmten Typs . Zur vorläufigen Überprüfung habe ich ein Skript entworfen , das den angegebenen Kontakt ohne weitere Fragen an mein Hauptkonto gesendet hat.
Um dies mit dem Skript zu überprüfen, habe ich ein "sauberes" Konto (im Folgenden als Bot bezeichnet) gestartet und drei Nummern an ein anderes Konto (im Folgenden als Empfänger bezeichnet) gesendet: Pasha, Dasha und mein eigenes. Jeder hat ein Telegramm. Pascha teilte sein Telefon mit allen. Dasha fügte den Empfänger ihren Kontakten hinzu. Ich habe meine Nummer zweimal hinzugefügt: zuerst durch Hinzufügen von Bot zu meinen Kontakten, dann habe ich den Bot gelöscht und mich selbst zu Bots Kontakten hinzugefügt.
Das Ergebnis kann aus dem Bild interpretiert werden: Kontakte werden normalerweise nur dann durcheinander gebracht, wenn das Telefon dem Bot zur Verfügung steht. Es ist noch schlimmer mit dem Zusatz zum Chat . Ich kann Bot nicht einmal Konten mit einem bekannten Telefon hinzufügen, wenn diese Funktion in den Einstellungen deaktiviert ist. Darüber hinaus können Bots schnell gesperrt werden, wenn Benutzer Spam melden. Also werde ich niemanden dekanieren, es ist Zeit, diese Idee zu vergessen.
Synchronisation
Das Synchronisieren von Kontakten führt, wie gesagt, möglicherweise zu Kontobeschränkungen. Aber wie sieht es aus? Ich habe ein anderes Skript geschrieben , das Zufallszahlen aus der Datenbank entnimmt und sie Kontakten hinzufügt. Danach analysiert das Skript die Kontakte, fügt die Kennungen der im Dienstplan gefundenen Konten wieder zur Datenbank hinzu, markiert den Rest mit Nullen und entfernt die Kontakte aus dem Dienstplan.
Dann habe ich 5.000 Zufallszahlen angegeben, Gerüchten zufolge sind dies die Grenzen, die in Telegram funktionieren. Ich habe in der Ausgabe keine Kennung gefunden, außer dem Bot selbst. Um mögliche Fehler im Code und im Trick des Telegramms zu beseitigen, füge ich die Dasha-Nummer manuell zu den Zufallszahlen hinzu, deaktiviere das Löschen von Kontakten aus dem Dienstplan, reduziere die Stichprobengröße auf 3000 Nummern und führe sie erneut aus. Dasha ist nicht im Dienstplan oder in der Datenbank. Ein Versuch, Dasha manuell hinzuzufügen, weist darauf hin, dass die Telegrammbeschränkungen funktioniert haben.
Fast alles scheint gut zu sein. Um sicherzugehen, habe ich mein Konto gelöscht und erneut registriert, die Anzahl der Telefone einschließlich Dasha auf 3000 reduziert und das Skript erneut ausgeführt. Das Ergebnis ist ähnlich. Es scheint, dass die Limits nicht das Konto betreffen, sondern die Telefonnummer, von der aus Kontakte synchronisiert werden. Alles scheint in Ordnung zu sein, und Telegramm bietet ein angemessenes Maß an Brute-Force-Schutz.
Oder nicht?
Im Internet werden mindestens zwei Dienste erwähnt, die angeblich eine Vielzahl von Nummern gescannt haben. Einer von ihnen habe ich überprüft, es funktioniert schlecht. Angenommen, der zweite lügt nicht und sie haben es wirklich geschafft. Nehmen wir sogar an, dass sie nicht alle 600 Millionen Nummern verarbeiten müssen und von irgendwoher 150 Millionen wirklich aktive Nummern kennen (etwas mehr als eine Nummer pro Kopf in der Russischen Föderation). Wie viel kostet es, alle in sechs Monaten zu scannen und dabei alle Einschränkungen des Messenger zu beachten? Und in drei Monaten? Und in einem Monat? Und an einem Tag?
Angenommen, Sie können am ersten Tag 5000 Kontakte von einer Nummer und an jedem folgenden Tag 100 weitere scannen . In sechs Monaten können Sie aus jeder Nummer 23.000 Kontakte aufzählen
(180*100+5000). Für die Suche benötigen Sie ungefähr 6.500 Nummern(150000000/23000)... Nicht viel, oder? Wenn jede SIM-Karte 150 Rubel kostet (was teuer ist!), Werden die Kosten für den Kauf weniger als eine Million Rubel betragen. Hebebetrag auch für kleine Unternehmen! Bei SIM-Karten müssen Sie nicht einmal viele Geräte aufbewahren. Sie melden sich an und führen das Skript einmal am Tag aus.
Aber lassen Sie uns bis zum Maximum zählen. Nehmen wir den gesamten Pool von 600 Millionen Zahlen und reduzieren den Zeitrahmen auf einen Monat. Es stellt sich heraus, dass Sie 75.000 SIM-Karten benötigen, was nur etwa das Zehnfache kostet.
(600000000/(5000+30*100)*150=11250000)... Sie müssen versuchen, möglichst viele SIM-Karten zu finden, aber Sie können deren Kosten in einem solchen Stapel senken. Möglicherweise können Sie Dienste verwenden, mit denen Sie ein Konto ab 3,5 Rubel pro Stück registrieren können, und die am meisten abgestoßenen können Trojaner verbreiten, um SMS zu stehlen. Dann wird es viel billiger. Die Entwicklung scheint nicht allzu kompliziert zu sein, und das Hosting von Kunden sollte auch keine große Sache sein. Möglicherweise müssen Sie viele Proxys verwenden, dies ist jedoch nicht sicher.
Ich konnte die Datenbank aufgrund von Telegrammbeschränkungen nicht erfassen, und das ist gut so. Daher gibt es eine bestimmte Eintrittsschwelle für solche Aktionen. Ich habe nutzlose Skripte in einen Git gesteckt... Mit einigen Ressourcen ist jedoch nichts extrem Schwieriges zu tun. Insbesondere wenn Sie die Interessen auf bestimmte Regionen beschränken, z. B. in der jüdischen autonomen Region, befinden sich weniger als eine Million Personen im Pool und in Baschkortostan 12,5 Millionen.
Ich schlug vor, dass das Telegrammteam den Benutzer über die Möglichkeit informiert, das Telefon zu verstecken. Und ich erinnere Sie daran, dass Anonymität in sozialen Diensten von Bedingungen abhängig ist. Wenn Sie nicht unter einen massiven Dekan fallen möchten, verstecken Sie Ihre Telefonnummer im Telegramm für alle außer Ihren Kontakten.
