В конце мая этого года я писал Почему двухфакторная авторизация в Telegram не работает (с картинками).
Позже, где-то через месяц после публикации, это случилось с Сергеем Пархоменко — у него описанным образом угнали аккаунт.
После этого вроде как Telegram временно отключил возможность удаления защищённых двухфакторной аутентификацией профилей в мессенджере по коду из SMS.
Около двух недель назад я повторил свой майский эксперимент с угоном Telegram-аккаунта у самого себя — и всё снова получилось, точно так же, как и в прошлый раз.
Словом, состоянием на 18 августа 2016 года атака на защищённые двухфакторной авторизацией аккаунты снова успешно работает: атакующий, у которого есть доступ к SMS пользователя, может «переустановить» аккаунт, и для этого ему не нужно знать пароль:
На скриншоте видим результат того, что у собеседника угнали аккаунт, защищённый двухфакторной авторизацией, и написали сообщения от его имени.
То есть, если что, двухфакторная авторизация в Telegram на данный момент не работает.
Или снова — если эту возможность действительно тогда в июне отключали, или всё ещё — если никто этого и не делал.
Автор: g_i