С вами снова я, ваш кибер-параноик. И сегодня о новом (или хорошо забытом старом, но модифицированном) виде разводилова, который не лезет в комменты, а подползает прямо в личку.

Тук-тук! В личку пишет вполне себе милая девушка или приятный молодой человек. Никакого спама, никаких ссылок сразу. Начинает издалека, с ненавязчивого вопроса, который точно бьет в вашу недавнюю активность в чате одного из каналов: "Привет, слушай, ты проходила курс у X? Стоит ли вообще заморачиваться, что скажешь?" – или что-то подобное, что кажется абсолютно случайным и невинным. Главное – завязать диалог.

Если вы продолжаете общаться, собеседник начинает втираться в доверие. Спрашивает, чем вы занимаетесь, а потом рассказывает о себе. Это может быть мамочка в декрете, которая начала делать свечи ручной работы или парень, который клюнул на вашу красивую аватарку, даже если ее нет. Цель – создать иллюзию живого, интересного человека со схожими интересами.

После того как мостик доверия построен, разговор плавно, но эмоционально перетекает в невероятную удачу: "Представляешь, я тут попробовала ставить на спорт, пошла по секретным сигналам – и ВЫИГРАЛА! Просто ахуеть! До сих пор не верю!" Восторг, удивление, как все просто!

Если дошли до этого момента, баньте немедленно! Бесплатный сыр и разговор с незнакомкой, которая хочет вас разбогатеть, лежат в одной мышеловке.

Где берут контакты?
Банальный мониторинг чатов. Они сидят под крупными каналами, смотрят, кто активничает, и начинают атаку в ЛС.

Как защититься? Никак.
Только старый дедовский метод:

НИКОГДА. НЕ РАЗГОВАРИВАЙТЕ. С НЕЗНАКОМЦАМИ. В ЛИЧКЕ.

Владельцам каналов – не жалейте число подписчиков. Если видите, что на ваш канал подписываются подозрительно красивые тёти, в бан без разговоров. Чистите ряды. Это десант, который завтра будет в ЛС у ваших подписчиков.

И да. Тот, кто думает, что его не смогут наеб*** даже на парковке, ошибается. Схемы мошенников одинаковые, что в Телеге, что на парковке.

Какая дичайшая манипуляция.

Да, убийцы и террористы используют мессенджер для координации. Точно так же они используют автомобили, деньги и мобильные телефоны. Давайте доведем до абсурда.

https://t.me/kostylofficial/5666

Вспомним старый мем.

Россияне 1 апреля пытаются открыть Телеграм.

Одним глазом слежу за развитием главного государственного маха. Создала канал, прикрутила комменты с помощью бота ze-post. Вчера этот бот сдох. Царствие ему небесное и айпишник стабильный.

Сегодня увидела, что вместо сдохшего бота предлагается прикрутить другой. Пытливый мозг, конечно, хочет попробовать. Тапаю на бота, он от меня требует предоставить согласие на обработку ПД. Более того, чтобы просто прочитать комментарии, созданные с помощью этого бота в чужом канале, я тоже должна дать ему свои ПД.

Алё, мах, у вас там все в порядке? Есть дома вообще кто?

Продолжение. Оказывается, мало того, что для чтения комментариев просят согласие на ПД, так эти данные уходят даже не в ООО "МАХ" (ИНН 9714058267), с которым мы заключаем соглашение при установке приложения, а прямо в руки ИП Шаповалова Николая Васильевича.

Серьезно?!

Чтобы узнать рецепт борща или написать кому-то дура афтор, ты неправ, я должна передать какому-то дяде ИП Вася Пупкин кроме данных своего профиля:

IP-адрес;
сведения о времени доступа;
идентификаторы сессий;
диагностические, системные и антифрод-логи;
обезличенные технические сведения об устройстве, браузере, операционной системе и параметрах сессии — в объёме, необходимом для корректной работы Сервиса.

Вася Коля, а у тебя серверная на балконе не треснет?

Мах, ты там определись: ты либо государственный, либо частная лавочка ИП Шаповалов.

Шапито, блэт.

Крупные каналы сегодня трубят: в Maxе все переписки и фото видны всем! Ну, я же фома неверующая, на слово не верю – решила проверить лично.

Беру свою фотку, загружаю в избранное маха. Открываю код страницы, копирую ссылку на изображение. И – ТА-ДА-ДАМ!!! барабанная дробь! – вставляю в браузер.

Опачки!
https://i.oneme.ru/i?r=BTE2sh_eZW7g8kugOdIm2NottSuoy0loueJchQnWoScEAZHMpmx1EaN30hxEjkWGb70

Фотография открывается без пароля, без смс, без согласия ИП Шаповалова, без справки от педиатра. Просто беру и смотрю.

То есть пока мы тут переживали, что наши ПД уходят на балкон к ИП Шаповалову, любой школьник с F12 и парой минут свободного времени может спокойно спарсить все фото из переписок.

Теперь итог для тех, кто ещё не понял: не шлите в мax нюдсы, фото паспортов, документы и даже смешные мемы про котиков. Даже себе в избранное. Потому что. Ну вы поняли.

P.S. А я пошла удалять всё, что когда-либо туда загружала. Если, конечно, ещё не поздно и мои фото уже не гуляют по парсерам. Кстати, удаление бесполезно. Ссылка-то уже живёт своей жизнью.

Вчера Этичный хакер предпринял неуклюжую попытку оправдать мах. На Хабре умные мужики ломают копья, возможен ли подбор ссылки, сравнивая ее с облачной ссылкой Гугла или Яндекса. Я не умный мужик и оставлю хакерам с кодерами вопрос разбора теории вероятности.

Хакер приводит аналогию с квартирой. Она хромает. Хакер говорит: не бойся, адрес дома сложный, никто случайно не найдет. Но я никому и адрес не говорила. Просто я живу в доме, где стены из стекла, и любой прохожий может заглянуть, если у него есть бинокль (F12). Хакер говорит: не проблема, просто не подходи к окнам голышом.

А проблема в том, что url светится везде: в истории браузера, в расширениях, на рабочем прокси. Его легко перехватить через открытый Wi-Fi в любой кафешке или аэропорту, или украсть простейшим вирусом на компьютере. А так как на двери нет замка (авторизации), любой, кто узнал адрес, заходит и берет что хочет.

А еще, пока мы спорим про фото, в махе гуляет банковский троян Мамонт (ссылка, конечно же не него, а на пост канала 1337). Мошенники используют доверие к домовым чатам и отсутствие фильтров безопасности в приложении. Про этот Мамонт тоже несколько дней писали крупные каналы, но спустя несколько дней информация о его распространении зачищена почти везде, даже на Газете.ру. Делаем вывод, что пресс-служба маха работает лучше, чем его айтишники.

В общем, вы как хотите, а я свои выводы относительно маха сделала – пусть пока сидит из чисто энтомологического интереса, но ни одной моей фотки – ни личной, ни служебной – он не получит. Не люблю, знаете ли, когда читают мои письма, заглядывая мне через плечо.

Берегите ваши нюдсы данные.
Ваш кибер-параноик.

Я прекрасно помню тот цирк 2018 года, когда РКН решил заблокировать Telegram и случайно положил полстраны вместе с собой. Работа в телекоме тогда была сплошным стендапом, мы с коллегами в опенспейсе просто выли от смеха.

В апреле 2018 года Роскомнадзор начал "крестовый поход" на Телегу за отказ передать ключи шифрования. Началась эпопея: ведомство пыталось поймать мессенджер, а Паша просто менял IP-адреса, прыгая по облачным серверам.

РКН, решив играть по-крупному, начал ковровые бомбардировки – блокировал целые подсети этих провайдеров. В итоге под раздачу попали миллионы IP-адресов, а вместе с ними несколько сотен абсолютно легальных российских сервисов, которые просто имели несчастье арендовать те же мощности.

Страдали все подряд. Легли не террористы, а ВКонтакте, Яндекс, сайты мобильных операторов, службы доставки еды и прочая.

РКН положил сам себя. Из-за дикого количества заблокированных адресов государственная система мониторинга просто зависла. Провайдерам рассылали письма с просьбой "перезагрузить оборудование" (ага, helpdesk 101).

Эффективность – ноль. Telegram как работал, так и работал. Пользователи за день научились ставить прокси и VPN. В итоге в 2020 году блокировку сняли "за хорошее поведение" (читай – потому что не смогли).

А теперь смотрим на 2026 год.

История реально повторяется как фарс. Сейчас Telegram снова под угрозой блокировки с 1 апреля – дата замечательная, прямо намекает.

И что мы видим? Ровно тот же сценарий: власти грозят рубильником, мессенджер не сдается, народ качает VPN. Только теперь ставки выше. И судя по тому, как работает распиаренный мах с его дырявой безопасностью, доверия к таким альтернативам нет.

Так что, друзья, запасаемся попкорном. Телега выжила тогда, выживет и сейчас. А вот выживет ли здравый смысл – вопрос открытый.

Ну да, ну да... ☝️

С утра к кофе подъехали новые страшилки про наш парковочный мессенджер.

Держите дайджест:

1. Дыра размером с нацпроект.
Разрабы из "МКО Система" покопались во внутрянке и выяснили, что мах – это один большой шпион.
- тащит с телефона всё: контакты, историю звонков, все вложения.
- прозрачно вообще всё: приватные чаты, закрытые каналы, диалоги с ботами.
- вишенка на торте: можно вытащить и прочитать даже черновики. Тот самый текст, который вы написали, но не отправили – он уже там.
– всё это добро поставляется в госорганы. Привет досмотрам телефонов в аэропорту.

2. Принудительная "любовь" к Родине.
Пользователи внезапно обнаруживают себя подписанными на разные каналы. Сами не подписывались, а кнопка отписки работает через раз (или не работает вовсе).

Пу-пу-пу 😬

Честно? Делать глубокий фактчекинг даже лень. Стало просто физически противно. Ощущение, что к тебе в карман залезли грязной рукой.

Поэтому я психанула и помахала маху ручкой:

На компьютере удален к чертям. Освободилось без малого 9 Гб места! Что он там хранил? Мою цифровую душу?

Основной номер: подала заявку на удаление аккаунта. Но тут, как в ЗАГСе при разводе, дают "месяц на подумать". Надеются, что одумаюсь и вернусь к абьюзеру.

Установила приложение на Максофон исключительно для парковки рабочего канала. В био статус: Не пишу, не отвечаю, звонки не принимаю. Пишите в ТГ или Яндекс-мессенджер.

Ваш, уже чуть более свободный, кибер-параноик

Читаю и ловлю жесткое дежавю.

Помните, как нас загоняли стадом на прививки и раздавали QR-коды: ты привитый и здоровый, а ты опасный для общества? Технологии меняются, а методички остаются. Смотрю на эту историю и понимаю: мы снова оказались в ковидной реальности. Чистой воды "разделяй и властвуй".

Сейчас происходит то же самое, просто инструмент другой. Людей искусственно делят на цифровых, "послушных" граждан и всех остальных. И дело даже не в дырявой безопасности цифрового вольера, а про то, как под соусом удобства нас рассовывают по цифровым гетто.

Одинокие старики с кнопочными телефонами просто вычеркиваются из реальности. Нет аккаунта – нет человека, нет справки, нет прав. Идеальное отсеивание лишних, невидимое для тех, кто стоит в свете софитов "цифровизации".

Тихая, ползучая сегрегация.

Зритель из зала интересуется: какая следующая дата блокировки?

В некотором царстве, в некотором государстве, которое всё время просили локализоваться, жили-были пользователи. И был у них любимый мессенджер с белым самолётиком на синем небе. Летал он высоко, далеко, через границы без спросу, и за это его не любили государственные дядьки из Высокого Надзорного Терема с большими кнопками.

Наступило первое апреля. А в этом царстве, как известно, в этот день никто никому не верит, даже себе.

Пользователи робко просыпаются. Жмурятся, тянут руки к телефонам. Сердце ёкает: а вдруг самолётик сегодня не взлетит?

Нажимают на иконку. Экран предательски пишет: «Обновление…» Секунда, вторая, третья. И вдруг – вжух! – посыпались сообщения, рабочие чаты и утренние мемы. Взлетел, родимый!

И тут из угла выползает Мах. Крыльев у него не было, зато внутри сидели сотни маленьких уставших гномиков. Когда кто-то отправлял письмо, гномик брал его, читал вслух товарищу майору, делал копию для архива, а потом бежал доставлять. Но так как гномики работали в две смены и часто недосыпали, они всё путали: любовные послания приносили налоговой, а видео с котиками – суровым челябинским мужикам.

Пользователи осторожно прячут Мах в папку «Парковка» и вздыхают: «Не просили мы тебя в домовые чаты, не звали. И в Госуслуги не звали».

А тем временем в Высоком Надзорном Тереме собрались государственные дядьки. Вышли они к народу, посмотрели на Большой Железный Рубильник, поправили галстуки и важно заявили:

— Ну что, 1 апреля – день смеха. Можем мы и дальше замедлять, ограничивать, за платный трафик с мая брать. А полной блокировки не будет. Потому что как заблокируем, кто ж тогда над нами смеяться будет?

И все засмеялись.

Только Мах не смеялся. Он грустно сидел в своем углу, перебирал лапками чужие черновики и принудительно подписывал ни в чём не повинных пользователей на канал «Соловьёв. Вечерняя сказка».

Серия «Черного зеркала» разворачивается прямо у нас за окном. Операторы связи теперь будут решать, кто из нас тварь дрожащая, а кто право на интернет имеет.

Представляю эти критерии: не установил Мах – минус 100 кошко-баллов. Поискал в Телеге прокси – автоматический перевод в касту «сомнительных» и пожизненное замедление трафика до скорости диал-апа.

Цифровой концлагерь строится с опережением графика.

Как-то так)

Сериал про суверенный мессенджер продолжает пробивать дно, и снизу уже даже не стучат, оттуда просто выносят ваши личные данные. Вы думали, ципсошный канал, отсутствие функционала для бизнеса и перепутанные кружочки – это предел?

Держитесь крепче. В национальном, безопасном и защищенном мессенджере на три буквы ВООБЩЕ НЕТ шифрования.

Один въедливый айтишник решил проверить, куда и как уходят наши данные, и проанализировал трафик трех приложений. Расшифровка для ленивых в тексте:

Telegram: весь трафик летит на сервера Телеграма, всё зашифровано в хлам. Звонки защищены сквозным шифрованием, ключи только у пользователей. Товарищ майор плачет и просит ключи у Дурова.

ВКонтакте: тексты сообщений в логах видно, но звонки всё же зашифрованы, хотя ключи лежат у самого ВК.

Суверенный мах: цифровой нудистский пляж. Шифрования нет ВООБЩЕ. Логируется каждый ваш вздох.

Что именно сливает мах прямо в открытый доступ, где это может перехватить любой студент с анализатором трафика, например, если вы сидите с ним в одной публичной Wi-Fi сети?

Полные тексты ваших сообщений. Текстовые расшифровки ваших голосовых сообщений. И самая мякотка – номера аккаунтов и токены авторизации! Токен авторизации – это цифровые ключи от вашей квартиры. Имея этот токен, любой желающий может просто угнать вашу сессию и сидеть в вашем аккаунте, читая всё и отправляя сообщения от вашего имени.

Сливает даже на парковке. Айтишник в своем посте подтвердил: мессенджер настолько дырявый, что перехватить ваш токен можно буквально на парковке торгового центра.

Ладно я. Я добропорядочный гражданин. У меня нет государственных или военных тайн. Если какой-то мамкин хакер или товарищ майор перехватит мой список покупок или мем с котами – да на здоровье, пусть читают.

Но у меня есть друзья-волонтеры. Ребята работают в 20-километровой зоне по линии ЛБС. Вы понимаете, что такое 20 км до фронта? Там цена любой информационной утечки – это не взломанный аккаунт. Это прилет арты. Это сгоревшие машины с гуманитаркой. Это жизни парней.

В Телеграме их рабочие чатики ведутся с пометкой «совершенно секретно». И вот сейчас, наслушавшись пропаганды про «самую безопасную отечественную разработку», эти люди берут и заводят координационные чаты в махе.

Более того, они там перезваниваются. Люди голосом обсуждают логистику и передвижения в приложении, которое позиционируется как «надежная государственная замена вражеской Телеге», но где звонки не имеют сквозного шифрования!

Давайте просто сложим два плюс два:

Теперь, как нам говорит въедливый айтишник, мы знаем, что мах сливает токены авторизации и не шифрует трафик. Любой человек, находящийся в одной сети, может просто увести сессию. И в эту дырявую, слепленную на коленке поделку переходят люди, работающие на ЛБС! Пишут тексты, перекидывают координаты, звонят друг другу по незащищенным каналам.

Одно дело – выпустить сырое приложение и распиливать бюджеты на костыльных ботах для комментариев. Но загонять в этот абсолютно незащищенный цифровой аквариум волонтеров и военных, создавая у них ложное чувство безопасности – это уже не маркетинг. Это халатность, которая может стоить жизни.

Ребята, волонтеры, бойцы! Если вы это читаете. В махе нет шифрования. Ваши маршруты, точки сбора, звонки и списки потребностей там могут слушать и читать не только наши безопасники, но и противник.

Оставьте эту платформу для обмена открытками а-ля Одноклассники. Живее будете.

Ну что, гражданин, все еще хотите надеть максочку?