- 27,401
- 46
- 8 Ноя 2022
Администраторы хотели удобства, но добровольно отдали бразды правления третьим лицам.
Недостающая функция в новом мессенджере может выглядеть мелкой неудобной деталью, пока её не закрывает сторонний сервис с правом писать от имени чужих каналов. В «Максе» снова возникла проблема с безопасностью ботов: 27 мая через сервис отложенного постинга «Отложка» по множеству подключённых каналов прошла посторонняя рассылка.
По данным автора публикации на Хабре, одно и то же сообщение появилось сразу в сотнях каналов «Макс» с разницей в несколько минут. Текст был адресован владельцу «Отложки» и содержал контакт для связи в Telegram. Автор атаки, по словам разработчика Егора, не стал писать в каналы-миллионники, но публично показал, что получил доступ к механизму массовой публикации.
Причина связана с самой моделью работы таких сервисов. «Макс» пока не закрывает часть привычных задач для администраторов каналов, поэтому сторонние разработчики добавляют недостающие функции через ботов. Ze-Post предлагал комментарии, «Отложка» взяла на себя отложенные публикации и отчёты. Для работы таким ботам нужны права администратора, включая право публиковать записи от имени канала.
В случае с «Отложкой», как утверждает автор статьи, для каждого пользователя была доступна функция массовой рассылки по всем каналам. Посторонний человек воспользовался этим механизмом и отправил одно сообщение сразу во множество подключённых каналов. Среди примеров, которые передали автору, были каналы спортивных клубов и автомобильных брендов.
Кстати, в случае с Ze-Post риска избежать тоже не удалось , ведь через него можно было отправить сообщение от имени любого другого пользователя в канале, где этот бот был подключен. В тестовой демонстрации сообщение ушло от имени разработчика, а сам сервис, по оценке автора, использовали десятки тысяч каналов.
Похожие проблемы ранее проявлялись и в Telegram. В марте 2022 года через Telegram-бот Crosser Bot прошла массовая политическая рассылка по подключённым каналам, а в июле 2024 года похожий инцидент затронул Fleep Bot. Во всех случаях слабым местом становился сервис, которому владельцы каналов заранее выдали расширенные права.
После рассылки команда «Отложки» сообщила о взломе и попросила не переходить по ссылкам. Затем объявила о поиске ошибки, а чуть позже об её устранении. Подробностей о причине сбоя, затронутых каналах и мерах защиты — в этих сообщениях не было. Рекламная кампания сервиса при этом продолжалась, как ни в чём не бывало.
Инцидент показывает риск, который возникает при быстром перегоне аудитории на новую платформу с недостающими функциями. Владельцам каналов стоит тщательнее проверять, каким ботам они выдают права администратора, осторожнее относиться к неожиданным сервисным сообщениям и заранее оценивать, что сторонний инструмент сможет сделать с каналом при ошибке или взломе.
Недостающая функция в новом мессенджере может выглядеть мелкой неудобной деталью, пока её не закрывает сторонний сервис с правом писать от имени чужих каналов. В «Максе» снова возникла проблема с безопасностью ботов: 27 мая через сервис отложенного постинга «Отложка» по множеству подключённых каналов прошла посторонняя рассылка.
По данным автора публикации на Хабре, одно и то же сообщение появилось сразу в сотнях каналов «Макс» с разницей в несколько минут. Текст был адресован владельцу «Отложки» и содержал контакт для связи в Telegram. Автор атаки, по словам разработчика Егора, не стал писать в каналы-миллионники, но публично показал, что получил доступ к механизму массовой публикации.
Причина связана с самой моделью работы таких сервисов. «Макс» пока не закрывает часть привычных задач для администраторов каналов, поэтому сторонние разработчики добавляют недостающие функции через ботов. Ze-Post предлагал комментарии, «Отложка» взяла на себя отложенные публикации и отчёты. Для работы таким ботам нужны права администратора, включая право публиковать записи от имени канала.
В случае с «Отложкой», как утверждает автор статьи, для каждого пользователя была доступна функция массовой рассылки по всем каналам. Посторонний человек воспользовался этим механизмом и отправил одно сообщение сразу во множество подключённых каналов. Среди примеров, которые передали автору, были каналы спортивных клубов и автомобильных брендов.
Кстати, в случае с Ze-Post риска избежать тоже не удалось , ведь через него можно было отправить сообщение от имени любого другого пользователя в канале, где этот бот был подключен. В тестовой демонстрации сообщение ушло от имени разработчика, а сам сервис, по оценке автора, использовали десятки тысяч каналов.
Похожие проблемы ранее проявлялись и в Telegram. В марте 2022 года через Telegram-бот Crosser Bot прошла массовая политическая рассылка по подключённым каналам, а в июле 2024 года похожий инцидент затронул Fleep Bot. Во всех случаях слабым местом становился сервис, которому владельцы каналов заранее выдали расширенные права.
После рассылки команда «Отложки» сообщила о взломе и попросила не переходить по ссылкам. Затем объявила о поиске ошибки, а чуть позже об её устранении. Подробностей о причине сбоя, затронутых каналах и мерах защиты — в этих сообщениях не было. Рекламная кампания сервиса при этом продолжалась, как ни в чём не бывало.
Инцидент показывает риск, который возникает при быстром перегоне аудитории на новую платформу с недостающими функциями. Владельцам каналов стоит тщательнее проверять, каким ботам они выдают права администратора, осторожнее относиться к неожиданным сервисным сообщениям и заранее оценивать, что сторонний инструмент сможет сделать с каналом при ошибке или взломе.
- Источник новости
- www.securitylab.ru
