Обнаружил уязвимость в социальной области мессенджера Telegram, связанную с публичным раскрытием имени/фамилии по известному номеру телефона. Так же нет никакой защиты от перебора, любой желающий может скриптом набить толстый список «ФИО-сотовый». Сообщил разработчикам через форму обратной связи 2 недели назад, пока без изменений, со мной никто не связывался, считаю пора вынести на публику.
Особенность бага заключается в том, что пользователи Telegram регистрируются по номеру сотового (его можно сменить позднее) и по нему же добавляют других в контакт-лист. При добавлении контакта ему можно присвоить любое имя, но после удаления можно увидеть имя и фамилию, которые пользователь задал сам (если они есть). Просто имя-фамилия это неинтересно. Можно найти человека по юзернейму (если он задан), но телефон останется неизвестным. Просто телефон тоже неинтересен, т.к. после добавления пользователя виден только его номер. Обычно добавляют разумеется знакомых. А эта схема позволяет перебирать номера и получать имена-фамилии. Никаких настроек приватности нет.
Порядок воспроизведения.
- добавить любой существующий номер в контакт-лист (можно взять отсюда: https://vk.com/topic-57208021_28594502)
- откроется чат с пользователем, заходим в свойства пользователя - будут указаны кастомные имя и фамилия (настоящие скрыты)
- удалить пользователя
- открытый чат остается, заходим в свойства пользователя - видны настоящие имя и фамилия
- пишем скрипт, набиваем базу и рассылаем смски «Уважаемый Вася Лошков, ваша банковская карта заблокирована, для разблокировки обратитесь по телефону...»
