Исследователи в области безопасности Коллин Андерсон (Collin Anderson) и Клаудио Гварниери (Claudio Guarnieri) рассказали агентству Reutersо том, что группе иранских хакеров удалось взломать более десяти аккаунтов популярного приложения для обмена мгновенными сообщениями Telegram, а также определить телефонные номера 15 миллионов иранских пользователей.

Исследователи сообщают, что хакеры получили доступ к приложению жертв с помощью SMS идентификации: при попытке зайти в учётную запись Telegram с другого устройства пользователь получает SMS с кодом доступа для входа. Также они считают, что телефонные операторы вполне могли перехватывать такое сообщение и передавать третьим лицам. Получив код доступа, хакеры могут войти в аккаунт с других устройств и следить за перепиской владельца учётной записи, объяснили Андерсон и Гуарньери.

Позже Павел Дуров рассказал, что номера телефонов 15 млн пользователей Telegram оказались в руках злоумышленников через перебор по API при проверке номера на существование пользователя. Эта уязвимость, по его словам, была закрыта в 2015 году.

«Это было порезано лимитами достаточно давно, в момент, когда начали перебор через API. Идентифицировали — заблокировали. Были развернуты инструменты автоматического мониторинга и предотвращения перебора». — Павел Дуров, основатель Telegram.

А еще позже команда Telegram объявила, что номера телефонов 15 млн пользователей, которые получили хакеры, не являются закрытой информацией — злоумышленники проверили, зарегистрированы ли конкретные номера иранских пользователей в мессенеджере. В результате удалось собрать лишь общедоступную информацию, а не получить доступ к аккаунтам.

В компании объяснили, что любой теоретически может проверить, зарегистрирован ли номер телефона в мессенджере, поскольку работа Telegram основана на телефонных контактах. Причем это касается и любого другого мессенджера, работающего с телефонными номерами — WhatsApp, Messenger и так далее. В компании также добавили, что такие массовые проверки телефонных номеров теперь невозможны — в 2016 году команда Telegram «ввела некоторые ограничения в API мессенджера.