В своем интервью @durov упоминает успехи в своем криптопроекте. Вероятно, он говорит про интеграцию TON в Telegram посредством Fragment.

Как он писал ранее, Telegram вышел в кеш-позитив в 1 квартале 2024 и планирует выйти в плюс по итогам года. Предполагаю, что на это повлияли не только доходы Telegram Ads, но и введение премиумов, продажа юзернеймов и анонимных номеров.

Давайте посмотрим сколько принес Fragment:
- 2.65M месяцев премиума на сумму ~4.4M TON (~$28M по текущему курсу)
- 640K месяцев премиума роздано с помощью гивэвеев суммарной стоимостью ~1M TON (~$6.3M)
- немыслимые роялти (5% с каждой продажи) с юзернеймов и анонимных номеров

Интересно – какой это процент от общего количества проданных премиумов с помощью @PremiumBot, App Store и Google Play?
В любом случае это поражает, только задумайтесь: TON пользуются единицы и они уже занесли в Telegram десятки миллионов долларов. Рискну предположить, что это единственная социальная сеть, получающая оплаты от своих пользователей в крипте. И более того, дающая заработать своим контент-креаторам.

TOKEN2049 пройдет в ближайшие 2 дня, Павел Дуров заявлен как ключевой спикер. Ждем еще более глубокую интеграцию TON в Telegram. 🐥

✈️ Недавно Telegram добавил возможность приобретать рекламу в Telegram Ads за TON. Если раньше для запуска рекламы напрямую нужен был депозит в €2M, то сейчас минимальная сумма для пополнения бюджета составляет всего 1 TON (~€6). Реклама на российскую аудиторию (на юзеров с номерами +7) пока недоступна, многие продолжают пользоваться посредниками вроде «МТС Маркетолог» и eLama.

🏃 Я запустил несколько рекламных объявлений в начале апреля, в том числе для @storyninja и @indiehacker. Я не особо тщательно подходил к настройке объявлений: для Story Ninja кинул в таргет подборку каналов по смм, а для своего блога – несколько каналов про TON, на которые сам подписан. Целевой подписчик обошелся в ~€0.2.

🛞 Меня впечатлила скорость, с которой модерировались объявления, запуск рекламы не занимал больше двух часов. Но еще больше впечатлило то, что этим занимаются не волонтеры, а сама команда Telegram. Например, по первому запуску бота из рекламы @storyninja, стало понятно, что объявление модерировал Михаил Равдоникас – вице-президент Telegram по коммуникациям.

🚀 В таргет нельзя добавить каналы, у которых меньше 1000 подписчиков, точечно настроить не получится. По этой причине я не смог запустить рекламу для RocketAPI по англоязычной аудитории, так как из-за специфики продукта у конкурентов даже 200 подписчиков – редкость. Мысли вслух: что мешает доброжелателям привлечь низкокачественную аудиторию из стран, которые не видят рекламу, в канал конкурента и после этого таргетнуться?

☕️ Премиумы рекламу не видят, большая часть платежеспособной аудитории отрезается. @durov, $5/мес за премиум в США несерьезно, предлагаю позаимствовать у Илона уровни и отключать рекламу только на самом дорогом из них. #TaxThePoor

Бороться за свободу – не преступление ✈️

Стремление спецслужб получить доступ к личным перепискам и цензурировать интернет привело к тому, что на создателя крупнейшего мессенджера фабрикуется уголовное дело по обвинению в преступлениях, к которым он не имеет никакого отношения.

Telegram за 11 лет пережил блокировки, штрафы и другое давление со стороны различных стран. Уверен, что и эту ситуацию успешно переживет.

#FreePavel #digitalresistance

🤫 В сеть утек распорядок дня команды Telegram.

Протестировал новый Gateway API для верификации номеров через Telegram-пуши. Всего $0.01 против $0.05 у Twilio за WhatsApp-пуш (и еще более дорогие СМС). Однако для российских номеров есть альтернативы дешевле.

Пополнение Gateway осуществляется только криптой, что открывает возможность реселлить апи бизнесу за более традиционные платежные средства.

P.S. У меня тут предоплаченный гив остался (спасибо @alanwake), давайте воспользуемся, что ли 💕

Интро.

Пора рассказать немного о себе и о том, зачем я создал этот канал.

Главная причина – мое желание упорядочить свой опыт и поделиться им. Команда find . -type f -name "*.md" | wc -l показывает, что только за 2024 год я написал 370 заметок в стол. Некоторые из них могут быть не интересны широкой аудитории, но, уверен, что найдутся материалы, которые заслуживают публикации в этом канале.

Здесь вы сможете прочитать о:

- 👨‍💻 Разработке: за последние 15 лет я работал с множеством технологий, создавая сайты, мобильные и десктоп приложения, Telegram-боты, VK-аппы, парсеры и даже софт для майнинга крипты. Написание кода стало неотъемлемой частью моей жизни, хотя сейчас я все чаще использую AI-инструменты для разработки.

- 🚀 Стартапах: первый доход с пет-проекта я получил в 2013 году, когда разработал "банк решений задач", где решения задач продавались через платные SMS. В 2016 году один из проектов пробил заветный для многих инди-хакеров 10K MRR, в 2020 я запустил @storyninja, а в 2022 – свой основной на сегодня продукт, RocketAPI. Хотя не все созданные сервисы были монетизированы, и некоторые так и не увидели свет, каждый из них внёс свой вклад в мой опыт в разработке, маркетинге и продажах.

- 🛠 Информационной безопасности: в ходе своей работы я обнаружил немало уязвимостей на разных ресурсах (например, отправлял баг-репорты в Twitter до того, как он стал X, и отправлял баг-репорты в VK до того, как он стал помойкой), что позволило мне накопить экспертизу в этом вопросе. Поделюсь основными ошибками, которые допускают разработчики, и расскажу, как защитить свои приложения и минимизировать риски.

- ✈️ Диджитал-номадстве: только за последний год я успел пожить в 11 разных странах, а формат удаленной работы сопровождал меня всю жизнь. Этот пост я пишу из Сеула:)

Завел себе бложик, чтобы дублировать туда свои лонгриды на английском: https://sobolev.com, может какой-то трафик будет генерировать.

Блог работает на Ghost, а для аналитики взял Plausible. Оба развернуты в докер контейнерах на самом дешевом тире Hetzner Cloud. 🎈

Не могу пройти мимо этой истории, в ней прекрасно всё. 👍

15-летний исследователь безопасности нашел уязвимость в Zendesk, позволяющую получить доступ к тикетам любых компаний, использующих этот хелпдеск, а также проникнуть во внутренние корпоративные Slack-каналы. Он рассказал об этом несколько часов назад, подробный writeup доступен по ссылке: zendesk.md.

Уязвимость была проста в эксплуатации:
1. Так как номера тикетов в Zendesk последовательны, отправив запрос в поддержку, можно было получить текущий номер тикета и определить диапазон номеров для атаки.
2. Отправить письма на адреса вида support+id{id}@company.com, где {id} – предполагаемый номер тикета. Письма отправлялись от имени легитимного отправителя, чью переписку с службой поддержки нужно было прочитать (например, appleid@id.apple.com). Из-за отсутствия проверки заголовков в Zendesk возможно было подделать адрес отправителя.
3. В поле CC нужно было указать свой электронный адрес, это заставляло Zendesk автоматически добавить вас в участники тикета. Через портал поддержки можно было получить доступ ко всей переписке в тикете.
4. Используя эти данные (например, коды подтверждения входа различных сервисов), можно было войти в корпоративные сервисы, такие как Slack, используя функцию "Войти с Apple".

Сам баг-хантер сообщил о ней Zendesk, но они отклонили его отчет в HackerOne, сославшись на то, что баг связан со спуфингом емейла, а это не входит в область ответственности их баг-баунти программы. Это означало, что устранять уязвимость они также не собирались.

Однако после этого Даниэль начал напрямую сообщать об уязвимости компаниям, использующим Zendesk, которые в свою очередь начали активно выражать свою обеспокоенность в техподдержку платформы. Под их давлением спустя 2 месяца после первоначального отчета Zendesk признал проблему и выпустил исправление: добавили проверку заголовков для предотвращения спуфинга писем. И отказались выплачивать ресерчеру баунти, сославшись на то, что он нарушил правила раскрытия информации, поделившись деталями уязвимости с другими компаниями без согласия Zendesk.
Сами компании – клиенты платформы в общей сложности выплатили Даниэлю $50K+ в качестве вознаграждения, что превышает максимальное баунти выплачиваемое у Zendesk.

Это не первый и не последний случай, когда такое количество конфиденциальных данных утекает именно через хелпдески (тот же Zendesk в 2017 с похожей уязвимостью). Я также находил обход авторизации через SSO в системе поддержки с открытым исходным кодом Zammad (CVE-2020-26030).

Можно ли было обезопасить себя на месте компании? В данном случае я думаю, что использование Zendesk на почтовом поддомене (вроде @help.company.com) минимизировало бы риски.

Наше путешествие по Южной Корее 🇰🇷 в потрясающем видеоряде, созданном Натали🌸

2️⃣0️⃣2️⃣4️⃣ был самым длинным годом в моей жизни. Время подвести итоги ❤️

Я написал пост-рекап своего года, вы можете прочитать его по ссылке: https://blog.sobolev.com/2024/

(много фото, лучше открыть в браузере, а не в стандартном предпросмотре Telegram)

Оглавление для удобства:

Итоги Года 2024
– Путешествия года
–– 🇦🇪 Дубай 2024
–– 🇹🇭 Бангкок 2024
–– 🇲🇾 Куала-Лумпур 2024
–– 🇰🇿 Алматы 2024
–– 🇰🇬 Бишкек 2024
–– 🇷🇸 Белград 2024
–– 🇲🇪 Черногория 2024
–– 🇬🇪 Грузия 2024
–– 🇰🇷 Сеул 2024
– Проекты года
– Технологии года
–– 🏆 Cursor
–– Instructor AI
–– ClickHouse
– Событие года
–– 🔥 Вастрик.Кэмп 2024
– Лудоманство года
–– Gram
–– Notcoin
– Достижение года
– Покупка года
– Планы на 2025

Всех с Новым Годом! 🎄