Get Mystery Box with random crypto!

FALLA DI SICUREZZA: Dal file al creatore del file... è possibi | Sapevate che Telegram

FALLA DI SICUREZZA: Dal file al creatore del file... è possibile
In data odierna è stata scoperta una falla di sicurezza in Telegram, che permette di ottenere l'ID del creatore del file (da ora in poi per file intendiamo foto, video, GIF, sticker e documenti)

A cosa è dovuta questa falla?
Per prima cosa bisogna fare un passo indietro. Sapevate che Telegram etichetta ogni file con un file id?
Questo file id è unico e globale in tutto Telegram ed evita di dover occupare spazio doppio sui server in caso di inoltri (se notate, quando inoltrate un file, esso non viene ricaricato ma viene instantaneamente inviato) oltre ad offrire un validissimo strumento agli sviluppatori dei bot, in modo che non debbano ogni volta salvare il file e ricaricarlo, ma basta ri-inviare il file id e Telegram automaticamente lo "trasforma" nel file desiderato. Ogni volta che si invia un file l'ID utente del creatore del file (per foto/video/GIF/documenti è il primo che l'ha inviato, per gli sticker il creatore dello sticker pack) viene combinato con altre informazioni per formare il file id, che è una stringa criptata lunga 56 caratteri.
C'è chi è riuscito a trovare l'algoritmo per decriptarla e ricavare l'ID utente del creatore del file. L'ID utente è un numero di 8 cifre che identifica ogni utente su Telegram.

Tutto qui? Ma allora che problema c'è! E' solo un numero!
Basta confrontare l'ID utente preso con quelli conosciuti per ricavare nome, cognome e username (impostati), e ci sono moltissimi bot che fanno questo!
E pensaci, questo significa che possiamo ricavare i creatori di canali e sticker pack che magari vogliono restare anonimi: basta ricavare l'ID di un qualsiasi file inviato nel canale per risalire all'ID di chi lo ha postato!
E' una falla molto grave, e, rendendola pubblica, cerchiamo di svegliare il team di sviluppatori, in modo che la sistemino.

Ma noi utenti normali possiamo usufruire di questa funzione?
Sì, come già detto, abbiamo intenzione di attirare l'attenzione degli sviluppatori, rilasciando un bot che, inoltrandogli un file, restituisce il file id e l'id del creatore del file, cercando inoltre, quando possibile, di risolvere l'id per ricavare nome e username (se impostato). Il bot si chiama @FileTrackerBot ed è stato creato utilizzando le API PWRTelegram (@pwrtelegram by @danogentili) che vi consiglio di provare (se siete degli sviluppatori di bot).
Tramite quel bot siamo riusciti per giunta a ricavare gli username di alcuni sviluppatori di Telegram, che abbiamo già contattato, ma sembra che ci stiano ignorando...
Prossimo messaggio
telegram-store.com © 2016-2024
Non official site about Telegram
Tutti i diritti sono riservati. È vietata la copia e l'utilizzo di tutto il materiale; la citazione parziale è possibile solo con un collegamento ipertestuale al sito telegram-store.com.