Ваш браузер устарел, поэтому сайт может отображаться некорректно. Обновите ваш браузер для повышения уровня безопасности, скорости и комфорта использования этого сайта.
Обновить браузер

Как три школьника Дурова обманули: история об эксплойте в Telegram на миллионы долларов

Рассказываем о самом громком ограблении последней недели.

2 ноября 2022

Несколько месяцев назад Павел Дуров представил платную Premium-подписку для Telegram. Рассказывать о ней вновь сейчас не будем. Если эта новость прошла мимо тебя, просто прочитай наш специальный материал. Сегодня мы хотим рассказать о трех школьниках, которые обнаружили в мессенджере уязвимость и смогли на этом заработать.  

Как сообщает издание «Код Дурова», первым ошибку заметил парень под ником Martov. Он попытался активировать подписку на iPhone с джейлбрейком, но случайно нажал кнопку «Отменить». Несмотря на то что деньги не списались, подписка была подключена. Поделившись находкой с друзьями, школьник понял, что на этом можно хорошо заработать.

Чтобы начать работать, парням потребовалось три взломанных iPhone, а также подарочные карты App Store на $15, $25 и $45. Этих сумм хватало на 3, 6 и 12 месяцев подписки соответственно. Изначально они продавали платные функции с 50%-м дисконтом от официального прайса — за 450, 900 и 1400 рублей в зависимости от срока действия.

Как отмечал один из друзей (Munfizy), им даже не пришлось тратиться на рекламу. Клиенты приходили сами благодаря сарафанному радио. Тогда же парни поняли, что настала пора работать по отдельности. Martov ушел в свободное плавание, а Munfizy и Филя (третий школьник) продолжили в паре.

Постепенно школьники начали набирать новых сотрудников, которые помогали им обрабатывать заказы.

Одиночные работники могли делать до 200 тысяч рублей в сутки. Это было сложно, но возможно. Необходимо было обслужить порядка 3 тысяч клиентов зараз. Вся наша сеть могла приносить примерно 5-6 тысяч долларов в день.

Новоиспеченные работники постепенно отказывались переводить деньги своим «боссам» и начинали свой бизнес. Количество таких «команд» выросло с двух до нескольких десятков. Каждый продавец старался завлечь клиентов, постоянно снижая цену. Это привело к тому, что в один момент подписка на три месяца стоила 35 рублей, на шесть — 70 рублей и годовая — 150 рублей.

Martov признался, что до последнего не хотел продавать схему. Однако парень все же сделал это на прошлой неделе двум пользователям из Китая, которые заплатили 500 и 700 долларов.

Я считаю, что убытки Telegram могут составлять от 3 млн до 5 млн долларов. Только нашим двум командам удалось активировать подписок более чем на 150 тысяч аккаунтов.

Один из трех первооткрывателей бага раскрыл, что ему удалось заработать порядка 80 тысяч долларов.

29 октября Munfizy решил опубликовать схему публично, а также передал ее команде Telegram. Ошибка была исправлена уже 30 октября, а 31-го числа Telegram начал массово отменять купленные таким способом подписки.

Как три школьника Дурова обманули: история об эксплойте в Telegram на миллионы долларов

Чтобы окончательно разобраться в этой теме, мы обратились к IT-специалисту Сергею Вакулину и задали ему несколько вопросов.

Насколько реально обнаружение схожих уязвимостей в будущем?

Уязвимости были и будут существовать. И они сохранятся во всех системах на долгое время. Вы даже можете не узнать об уязвимости, но она будет. Код пишут люди, а люди имеют свойство ошибаться — умышленно или не умышленно. Из-за данных ошибок возникают лазейки в системах. Будут ли они через 20-30 лет — предсказать сложно в силу того, что через 20-30 лет весь код будет писать искусственный интеллект, а люди будут лишь его контролировать.

Почему трюк удавался только с джейлбрейком?

Джейлбрек предоставляет больше возможностей на iPhone. Представьте, как можно работать создателям приложений, игр, делать что-то, когда нет возможности протестировать любые условия. Джейлбрек — это что-то схожее с «режимом разработчика» на Android.

По вашему мнению, сколько денег на самом деле мог потерять Telegram?

Я не экономист и не аналитик, чтобы посчитать точную сумму. Но могу предположить, что если бы уязвимость эксплуатировалась долгое время и это бы не афишировалось, то Telegram потерял бы внушительную сумму.
(По разным оценкам, Telegram потерял от 1 до 1,5 миллиона долларов за три месяца. — Прим. ред.)

Мы также отправились на форумы, чтобы почитать сообщения от тех, кто успел оплатить услугу.

«Те кто брали через баг с айфоном, получают такие отписки. Сам брал у человека, который, оказывается, тоже у кого-то брал. И так по иерархии все накрылось».

«Тоже только что прилетела отмена. Брал у Совенка».

«Не завидую сейчас продавцам на „Плати“ (Plati.ru.  — прим. ред.) с продажами более 1к штук. Удачи им с возвратом средств».

«Прикольно тем, кто год сразу купил и по нормальной цене. У меня тоже слетела. Ну, товарищи продаваны, кто там писал «гарантия? Щас за слова ответить придется».

Подписываясь на рассылку вы принимаете условия пользовательского соглашения