O que acontece é que os grupos e canais do app, que devriam ser privados, permitindo a entrada só de quem possui o link de convite, mas estão sendo indexados pelo Google, sendo possível encontrar esses grupos através de um “dork” em particular. O Dork é um nome dado para um conjunto de “Strings” ou comandos utilizados no motor de busca para encontrar um tipo bem específico de conteúdo.
O Dork em questão é simples e possui três variantes. Usar “ inurl:”t.me” intext: “group” intitle:”palavra-chave do grupo” “ retorna resultados de grupos com aquela palavra-chave; trocando a parte “ intext: ”channel” “, você encontra canais; por fim, ao usar “ intext:”joinchat”, dessa forma é possível obter links de convites para salas de bate-papo privadas. Com os diversos exemplos cedidos por Kaue, o pessoal do Canaltech fez suas próprias buscas e constatou a facilidade de detectar esses conteúdos.
Eles encontraram de tudo, desde fã clubes destinados a smartphones da fabricante Pocophone, grupos de discussões de política, comunidades para compartilhamento de conteúdo sexual, fóruns de cibercriminosos com ensinamentos sobre como burlar sistemas e muito mais. Tiveram muita criatividade na hora de editar a dork e encontrar sala que definitivamente deveriam ser privadas, mas que qualquer pessoa pode entrar.
com facilidade de se identificar esse tipo de conteúdo, kaue chegou a escrever um web crawler (sistema que explora a web e “fisga” materiais para os quais ele foi programado) para listar grupos válidos. Com isso ele percebeu que o Telegram possui uma estrutura específica para nomear as comunidades (um identificador único formado por letras e números), sendo razoavelmente fácil usar força bruta para listar canais válidos.
Com isso explica, consegui localizar vários grupos que estão indexados e podem conter informações confidenciais dos participantes, como senhas, números de cartão de crédito e outros. Informo também que os grupos privados podem ser acessados através de força bruta usando uma função aleatória como base para gerar um hash similar, usando caracteres para gerar uma lista com no mínimo 16 caracteres e no máximo 21 caracteres”.
O Kauê tentou reportar a falha ao Telegram no início de março, mas sem sucesso, até o pessoal do Canaltech também acionou a assessoria de imprensa do mensageiro, mas não obteve resposta até a conclusão desta reportagem.
Até onde o Telegram é seguro? fica a pergunta.