全球用戶數突破 7 億人、知名通訊軟體 Telegram 去年 10 月底推出 Web3 配套生態用戶名的 NFT 拍賣平台 Fragment,用戶可藉平台將用戶名轉為 Telegram 生態區塊鏈 TON 的 NFT 資產。
然而近日軟體工程師 Netkas 反映,Telegram 工作人員疑似濫用客戶隱私,將用戶名拿去拍賣系統獲利。
疑似透過主動存取「Telegram 防濫用」功能獲利
據 Netkas 於技術聊天室 TDLib 公布,幾個自稱 Telegram 工作人員疑似透過主動使用「Telegram 防濫用」(TAbuse)工具接管一般用戶帳戶,並轉為 NFT 獲利。某些情況下,官方甚至可申請 EISID,完整存取用戶全部聊天和所有數據。
Netkas 截圖顯示多條 Telegram Anti-Spam(反垃圾訊息)程式碼表明 Telegram 工作人員有能力查看用戶私人資料:
不幸的是,在某些情況下,這些程式碼也允許工作人員直接存取需要調查的 Telegram 帳戶,他們可直接從聊天、聊天群甚至私密聊天功能提取,直接獲得完整訊息。
基於上述情況,Netkas 警告 Telegram 用戶,Telegram 工程師不透明的管理方式容易滋生成權力濫用:
我覺得 Telegram 是不安全平台,如果一個或多個不良行為者能用 Telegram 濫用權限對付用戶,且工程師行為不透明,我難以想像用戶數據到底如何管理儲存。
這並不是 FUD 攻擊,而是對標榜安全和隱私的平台的合理擔憂。
Telegram 官方還未回應 Netkas 揭露。
(本文由 授權轉載;首圖來源:shutterstock)
標題:Telegram 傳有安全漏洞!工程師揭露:官方可強制接管用戶帳號,隱私訊息全看光
地址:https://www.utechfun.com/post/225861.html