МВД отжало у меня телеграмм, или о дыре в защите

Хабр не жалобная книга, однако мой опыт может быть полезен другим. Съездил в РБ, отсидел, потерял аккаунт в телеге.

Мои сессии через телефон и сессии мвдМои сессии через телефон и сессии мвд

Предисловие

Летом переехал в Польшу из синеокой, без уголовок и преследования, декабрь решил провести с родными и в конце ноября прибыл в РБ.
Спустя полторы недели, утром 8 декабря домой к моим родителям (где я и прописан) ворвался ОМОН и уголовный розыск МВД. Официальная причина — постановление на обыск прокурора. В рамках уголовного дела они искали «орудия и средства совершения преступлений». По факту обыск был только поверхностным, и главной причина прихода была текущая политика по запугиванию тех кто выполняли роли независимых наблюдателей на выборах 2020.

Получив доступ к телефону сотрудники МВД проверили телеграмм, и даже без облачного пароля, авторизовались на стороннем устройстве (как это они провернули — мне не известно) — использовали клиенты Kotatogram и tgdataterminal (как узнал впоследствии).
Уже спустя час будучи в РУВД я наблюдал скриншоты из моего аккаунта, однако помимо скриншотов из телефона (фотографий телефона с открытым чатом) я увидел скриншоты с клиента на компьютере.
Ознакомившись с делом перед судом я убедился что действительно скриншоты были сделаны с нескольких устройств — мой телефон и какой-то пк. Я получил 15 суток (7 за репост из экстремистких каналов, 8 за неповиновение в ходе обыска), телефон был конфискован.
Пока я сидел, в мой аккаунт совершались входы, читались сообщения.

После отбытия наказания вернулся в Польшу. Попытался вернуть аккаунт через смс, сменил облачный пароль и авторизовался. Увидев помимо сессии моего конфискованного телефона, неизвестные мне клиенты — попытался завершить другие сессии, однако телеграмм сообщил что это можно будет сделать лишь через несколько часов. Спустя несколько минут кто-то отключил мою сессию. Повторно авторизовавшись я только и успел увидеть, прежде чем меня отключили, что единственная активная сессия была через Kotatogram Desktop. Все последующие попытки завершились тем же — меня выбрасывало сразу же после попытки авторизации.

Получается у меня, единственного обладателя номера телефона (аккаунт не на белорусской симке) и облачного пароля (который был изменен мною при первой же авторизации) меньше прав чем у авторизованного кулхацкера из МВД тоталитарного государства с террористическим режимом. Но суть в том что я не могу никак вернуть свой аккаунт. Даже для удаления аккаунта необходимо быть авторизованным и получить код ВНУТРИ приложения.

Итог

Спустя двое суток ответа от поддержки телеграмма не получил, однако удалось удалить аккаунт — авторизовавшись заскринил сообщение с кодом (для удаления аккаунта). Хватило времени только на это прежде чем меня отключили.

Не хочу делать многозначительные выводы в духе «телега продалась», но я один из многих кто все ещё ждет двойное дно в телеграмме (привет 2020) и, столкнувшись с ещё одной дырой в защите, буду осторожнее в работе с этим месенджером.

Дополнено

Как подсказал в комментариях Groosha — сотрудники могли сбросить облачный пароль используя почту на том же устройстве (доступ к почте был восстановлен лишь спустя несколько часов, за которые следы вполне можно было подчистить).
Так ли было на самом деле мне неизвестно — информацией обладают только ребята одного ведомства и представители Telegram.

© Habrahabr.ru