БН
То бишь нет? Ну странно тогда, что тогда выкидывает новые сессии если активных сеансов нет а сайты если и есть то не могут такое?
2фа есть?
Ставь пока авторизован
Size: a a a
2021 April 08
Н
AС
С 2фа вышибает? О.о
Вот такое впервые слышу
Вот такое впервые слышу
Н
та я сам в шоке.
но хорошо, что доступ есть теперь
но хорошо, что доступ есть теперь
S
так какая разница с 2фа или нет если он уже отдал доступ
БН
Аккаунты с 2фа ломали только с десктопа когда вирус с кейлогером и чем то там ещё хапали
Н
не отдавал я доступ. в этом и прикол
S
я же обьяснил - злоумышленник разворачивает на сервере полноценный телеграм клиент - человек из веб интерфейса отправляет на сервер свой телефон и код из смс - злоумышленник авторизируется как обычный сеанс и творит что хочет
Н
я просто переслал спам-сообщение на свой фейк
БН
А выход из сессий он осуществляет с помощью как ты сказал метода вручную? Через клиент ведь ограничение на завершение сессий в первые 24 часа
Н
кстати, зашёл я только что с десктоп клиента
S
Я сам не знаю как именно, видимо есть уязвимость, и я имею ПРЕДПОЛОЖЕНИЕ что сервер не проверяет длительность сессии
Н
как по мне, это схоже на какой-то антиспам
БН
Такое могло быть если просто файл загрузился и выполнился сам по себе. Насколько я знаю такие есть
Н
тем более акк моего друга так само отлетел
S
если украли сессию и удалили ее локально тогда неудивительно почему вышибает
S
в телеге есть проверка - если с одной сессии два подключения одновременно - сессия убивается. Но если украсть сессию и удалить ее у владельца, у злоумышленника остается старая сессия и он может делать что хочет, включая убивать новые сессии
S
поэтому ставьте свой Telegram Desktop на пароль если не умеете опознавать вирусы, это включит шифрование. Если злоумышленник не догадался повесить вам кейлогер, это поможет
S
Правда если у вас на пк кейлогер, у вас гораздо большие проблемы