tl; dr:ロシアのテレグラムセグメントでアカウントと電話番号を照合する可能性を模索しています。
世界には、任意のユーザーの匿名化を可能にしたいという人がたくさんいます。これらは、スパム、特別なサービス、詐欺師、そして単にストーカーを避けない資本家である可能性があります。ソーシャルサービスは、連絡先のインポートを通じて可能な限り多くの視聴者を引き付けたいという願望と、そのような情報へのアクセスの制限との間を行き来しようとしています。彼らはさまざまな方法で行動し、可能な限り社会的に自分自身を位置付ける人もいれば、プライバシーをより重視する人もいます。後者は、最大限のプライバシーを支持する人々からの攻撃の標的になります。
デフォルトでは、Telegramでは、プライベートメッセンジャーが少ない場合と同様に、彼の番号を知っているユーザーアカウントを取得できます。同時に、番号の所有者は、相互の連絡のためにのみこの機会を制限することができます。これには特別なオプションがあります。デフォルトではオフになっています。つまり、不注意で意図的に公開されている人の完全なテレグラムがあります。この機能は、ユーザーベースの消耗によるものと思われます。同様のデータベースを作成するのにどれくらいの費用がかかるか、そしてデータベースを作成できるかどうかを理解することにしました。
私は自分の興味をロシアのユーザーだけに限定しました。結局のところ、番号範囲のベースは公開されていますRossvyazは、そのような情報でサイトを廃棄する必要をなくすことで、私のタスクをさらに簡素化しました。合計で、9月7日に、オペレーターにはほぼ6億の番号、つまり正確に598035003が与えられました。
私はいくつかのSIMカード `telethon`(完全なMTProto実装を備えたPythonモジュール)を取り、自宅でそのようなベースを作成しようとしました。
連絡先の共有とグループへの追加
香港の学部長の話を 覚えていますか?ボットはユーザーを電話番号でグループに追加し、それによって電話にリンクされたアカウントを受け取りました。同じ記事で、ZDNetジャーナリストがテレグラムの担当者に連絡しました。後者は、大量輸入には問題が伴うだろうと述べた。
一部の政府支援の攻撃者がこのバグを悪用し、香港の抗議者を標的にするために使用し、場合によっては抗議者の生命に差し迫った危険をもたらしたと思われます。
それで、私は最初に連絡先を調べてみることにしました。公式のTelegramクライアントのインターフェースを使用すると、何らかの方法で番号を確認できるユーザーのみを共有できます。ただし、 `telethon`を使用すると、任意の数の連絡先を共有できます。そのAPIから判断すると、共有の機能は特定のタイプのファイルを送信することです。予備検証のために、指定された連絡先を質問なしでメインアカウントに送信するスクリプトをスケッチしました。
スクリプトを確認するために、「クリーンな」アカウント(以下、ボットと呼びます)を開き、別のアカウント(以下、受信者と呼びます)に、パシャ、ダーシャ、および自分の3つの番号を送信しました。誰もがテレグラムを持っています。パシャは自分の電話をみんなと共有しました。ダーシャは受信者を連絡先に追加しました。番号を2回追加しました。最初に連絡先にボットを追加し、次にボットを削除してボットの連絡先に自分を追加しました。
結果は写真から解釈できます。連絡先は通常、ボットが電話を利用できる場合にのみスクランブルされます。チャットに追加するとさらに悪化します。設定でこの機能をオフにした場合、既知の電話のアカウントをBotに追加することもできません。さらに、ユーザーがスパムの報告を開始した場合、ボットはすぐに禁止される可能性があります。だから私は誰も非難しません、それはこの考えを忘れる時です。
同期
私が言ったように、連絡先を同期すると、アカウントの制限につながる可能性があります。しかし、それはどのように見えますか?データベースからランダムな番号を取得して連絡先に追加する別のスクリプトを作成しました。その後、スクリプトは連絡先を解析し、名簿で見つかったアカウントのIDをデータベースに追加し、残りをゼロでマークして、名簿から連絡先を削除します。
それから私は噂によると、5,000のランダムな数字を実行しました、これらはテレグラムで機能する制限です。ボット自体を除いて、出力に識別子が見つかりませんでした。ここで、テレグラムのコードとトリックで発生する可能性のあるエラーを排除するために、Dashaの番号をランダムな番号に手動で追加し、名簿からの連絡先の削除を無効にし、サンプルサイズを3000の番号に減らして、再度実行します。ダーシャは名簿にもデータベースにもありません。テレグラム制限が機能したことを示すダーシャヒントを手動で追加しようとしました。
ほとんどすべてが良いようです。念のため、アカウントを削除して再度登録し、ダーシャを含めて電話の数を3000に減らし、スクリプトを再度実行しました。結果は同様です。制限はアカウントには影響しないようですが、連絡先が同期される電話番号です。すべてが順調であるように思われ、Telegramは適度なレベルのブルートフォース保護を提供します。
か否か?
広範囲の数をスキャンしたとされる少なくとも2つのサービスがインターネット上で言及されています。私がチェックしたそれらの1つ、それはうまく機能しません。2番目のものが嘘をついておらず、本当に成功したとします。6億の数字すべてを処理する必要がなく、どこかから1億5000万の実際にアクティブな数字(ロシア連邦では1人あたり1つ強の数字)を知っていると仮定しましょう。メッセンジャーのすべての制限を遵守して、6か月で全員をスキャンするのにどれくらいの費用がかかりますか?そして3ヶ月で?そして一ヶ月で?そして一日で?初日に
1つの番号から5000の連絡先をスキャンし、その後の各日にさらに100の連絡先をスキャンできるとします。6か月で、各番号から23,000件の連絡先を列挙できます
(180*100+5000)。検索するには、約6,500件の番号が必要になります。(150000000/23000)..。そんなにないですよね?各SIMカードの価格が150ルーブル(高額です!)の場合、それらの購入コストは100万ルーブル未満になります。中小企業でもリフティング量! SIMカードの場合、多くの機器を保持する必要はなく、ログインして1日1回スクリプトを実行します。
しかし、最大限に数えましょう。 6億個の数字のプール全体を取り上げて、期間を1か月に短縮しましょう。 75,000枚のSIMカードが必要であることが判明しました。これは約10倍の費用しかかかりません。
(600000000/(5000+30*100)*150=11250000)..。 SIMカードをできるだけ多く見つけようとする必要がありますが、そのようなバッチでコストを削減できます。潜在的には、3.5ルーブルからアカウントを登録できるサービスを使用できます。最も敗北した場合は、トロイの木馬を拡散してSMSを盗むことができます。その後、それははるかに安くなります。開発はそれほど複雑ではないように思われ、クライアントのホスティングも大したことではありません。多くのプロキシを使用する必要があるかもしれませんが、これは確実ではありません。
テレグラムの制限のためにデータベースを収集できませんでした。それは良いことです。これは、そのようなアクションには特定のエントリしきい値があることを意味します。役に立たないスクリプトをgitに入れました..。しかし、いくつかのリソースで行うのは非常に難しいことではありません。特に、特定の地域に関心を限定する場合、たとえば、ユダヤ人自治区では、プール内の数は100万未満であり、バシュコルトスタンでは1,250万です。テレグラムチームが電話を隠す可能性についてユーザーに通知すること
を提案しました。また、ソーシャルサービスの匿名性は条件付きであることを思い出してください。大規模な学部長になりたくない場合は、連絡先以外のすべての人のテレグラム電話番号を非表示にします。
