Какую информацию о пользователях хранят телеграм‑боты, чем они опасны и как удалить?
Какие данные хранят о пользователях телеграм-боты? Как правильно удалить их из своего аккаунта? Как отличить настоящий бот от фейкового? В издании «Медиазона» отвечают на эти вопросы вместе с разработчиком партизанского телеграма и одним из участников объединения беларуских хакеров «Киберпартизаны».
Что такое телеграм-бот?
Под телеграм-ботом могут иметься в виду как классические боты, которыми мы привыкли пользоваться (например, боты обратной связи), так и юзер-боты. В первом случае телеграм выделяет боты в отдельную сущность наравне с каналами, чатами и пользователями. У таких ботов есть ограничения. Например, они не могут написать вам первыми или добавиться в группу.
Юзер-бот — это пользовательский аккаунт, поведение которого автоматизировано. Например, в комментариях можно увидеть таких ботов, которые что-нибудь рекламируют. При помощи таких ботов силовики могут автоматически собирать информацию из открытых групп. И даже из закрытых, если удастся в них попасть.
Ниже мы расскажем про классические боты.
Какую информацию собирают телеграм-боты?
По словам экспертов, после нажатия кнопки Start любой бот может получить доступ к ID пользователя, его имени и фамилии, никнейму, разделу «о себе» и языку, установленному в приложении. Бот автоматически получит доступ к фото профиля, если в настройках конфиденциальности юзер не скрыл его ото всех. Бот не имеет автоматического доступа к номеру телефона пользователя, но может его запросить. Если пользователь разрешит отправку, бот получит доступ к номеру.
Разработчик бота может решить, будет бот сохранять эти данные данные или нет. Если бот сохранит ID пользователя, разработчик сможет получить доступ к этим данным позже, даже если пользователь заблокирует бот. Правда, после блокировки бот не сможет узнать актуальные данные пользователя. То есть если после блокировки пользователь сменит свой никнейм, то бот будет видеть его старую версию.
— Любые сообщения, отправленные в бот, могут быть им сохранены. Даже если пользователь их удалит. Пользователь не может узнать, как бот распоряжается полученной информацией. То есть бот может как удалять полученные сообщения сразу после прочтения, так и хранить их, — объясняют эксперты.
Что такое ID в телеграме?
ID — это набор цифр, по сути номер вашего аккаунта. Изменить его невозможно, даже если пользователь сменит аватарку, имя или никнейм. Опасность в том, что если пользователь оставлял комментарии, потом их удалил и поменял имя и фото в аккаунте, его ID остается тем же, а значит человека можно вычислить.
Если вы хотите поменять ID — удалите старый аккаунт и зарегистрируйте новый.
Как мне отличить фейковый бот от настоящего?
Эксперты советуют писать только в те боты, ссылки на которые размещают официальные телеграм-каналы инициатив (убедитесь, что канал не фейковый) и внимательно проверять названия ботов. Например, есть разница в названиях @OSB_By_Pol и @OSB_By, но сразу ее можно не заметить. В первом случае — старое название настоящего бота организации BYPOL, а во втором — фейковый бот, созданный, судя по всему, силовиками.
— В партизанском телеграме правильный бот помечен галочкой верификации. А фейковые боты мы стараемся помечать значками фейка.
Очень важно перепроверять ссылки на боты. Даже если они были присланы человеком, которому вы доверяете.
Если я перешел по ссылке фейкового бота, значит меня уже сдеанонили?
Переход по ссылке бота в телеграм не означает вообще ничего, если не была нажата кнопка Start. Как только кнопка будет нажата, бот получит информацию о пользователе, о которой мы писали выше.
Если ссылка на бот была оставлена в комментариях, например, канала Nexta, то силовики могут предположить, что человек, запустивший бот (при условии перехода по ссылке и нажатии на кнопку Start), читает этот канал. Если аккаунт человека анонимный (зарегистрирован на иностранный номер, с ненастоящим именем, с соблюдением всех правил безопасности), то сам по себе запуск бота скорее всего не даст силовикам никакой полезной информации.
Есть специальные боты силовиков, которые могут вытянуть больше информации?
Боты не могут вытянуть больше той информации, о которой мы писали выше. То, что существуют боты, которые автоматически получают доступ к геолокации человека или к его личным перепискам — миф. При этом существуют и другие методы сбора информации о пользователе.
1. Силовики могут автоматически собирать информацию из комментариев в каналах и открытых чатах. Для этого существуют специальные «скринеры», которые отслеживают активность пользователя или чата в целом. Собирая такую базу, они могут сопоставлять ID, «утекшие» через фейковые боты, с комментаторами, а также проверять этот уникальный номер в телеграме при задержании.
2. Силовики при задержании могут войти в аккаунт человека через свое устройство. Тогда они получат доступ ко всему профилю, в том числе к вашему архиву, в котором могут храниться сообщения из закрытых чатов, из которых вы уже вышли.
Что делать, если я уже запускал телеграм-боты?
Специалисты по кибербезопасности говорят, что удалить информацию из ботов, если вы с ними контактировали, у вас уже не получится. Можно считать, что она остается там навсегда, как и любая информация, которую мы оставляем в интернете.
Есть два варианта того, как можно себя обезопасить.
Можно полностью уничтожить старый «засвеченный» телеграм-аккаунт, создать новый и пользоваться им. Эксперты рекомендуют создать как минимум два аккаунта: один чистый (чтобы его можно было показать по принуждению и не волноваться) и один «партизанский» (его использовать для непубличных дел, переписок и подписок).
Второй вариант — почистить «хвосты» своего аккаунта, хотя информация об аккаунте в боте все равно сохранится. Тем не менее, инструкция ниже поможет стереть боты, которые вы запускали, из истории поиска и ваших переписок.
Как почистить «хвосты» самостоятельно?
Боты, которыми вы когда-то пользовались, всегда указываются в поиске телеграма (окно вверху приложения). И если ввести в поисковую строку слово bot, то вы увидите всех ботов, которым когда-либо писали. Даже если вы заблокировали бот, то его можно найти по пути «Настройки > Конфиденциальность и безопасность > Заблокированные пользователи». Их же увидят и силовики в случае задержания.
Чтобы удалить всех ботов, сделайте следующее:
- Разблокируйте в черном списке всех ботов.
- Введите слово bot в строке поиска телеграм.
- Выберите бот, который нужно удалить. Нажмите три вертикальные точки и выберите «Очистить историю».
- Снова введите слово bot в строке поиска. Нажмите на тот же самый бот и выберите «Удалить чат».
Подождите сутки, в это время не ищите ботов в строке поиска. Если не получилось, пройдите все шаги еще раз и вновь подождите сутки.
Специалисты по кибербезопасности говорят, что этот вариант — полумера, и никаких гарантий он не дает. При чем на разных устройствах (Windows, macOS, Android и iOS) он работает по-разному. Лучше всего проделывать все эти манипуляции из Web-версии мессенджера или приложения на ПК.
Автор: Евгений Корнеевец
Джерело: Медиазона
Tweet