Как случайность позволяла группе подростков обманывать пользователей Telegram в течении 3меc, с общим ущербом в $1.5 млн

в 9:56, , рубрики: scam, telegram, WhatsApp, Законодательство в IT, защита, информационная безопасность, некомпетентность, скрытие фактов, халатность

Вероятно, эта статья выйдет раньше официального ответа Дурова или даже "расследования" Кода Дурова. Причина тому - некомпетентность, халатность и замаличвание.

28 октября 2022 года в час ночи Давронбек Рустамов, модератор узбекского чата Дурова, получил сообщение об уязвимости в оплате премиум подписки Telegram.

Это сообщение было прислано одним из немногочисленных участников группы подростков, возрастом 15-19 лет, которые несмотря на отсутствие каких-либо навыков в сфере программирования, смогли получить прекрасную возможность зарабатывать заветные 200-250тысяч рублей в своём юном возрасте.

Правда, у них было еще две небольших отличительных черты, разнивших с привычными нам програмистами.

Первая - каждый из них зарабатывал эти деньги в день. Вторая - они зарабатывали их, не создавая что-то полезное для конечного потребителя, а обманывая его, используя вначале некомпетентность, а затем и санкционированную халатность работников Телеграма.

Каким образом стало возможно произошедшее?

Прежде всего давайте составим лист вопросов, которые приходят на ум:

  1. Как Телеграм понёс убытки в размерах от $1млн до $1,5млн в течение 3 месяцев от действий школьников, результат действий которых он возложил на конечного потребителя, введённого заблуждения.

  2. Почему при этом до сих пор не были предприняты никакие меры по ограничению действий или по привлечению к отвественности малолетних мошенников, жертвами которых стали по консервативной оценке более 150 тысяч человек?

  3. Почему официальные ресурсы Телеграма, так ярко подмечающие уязвимости других компаний, в том числе Apple и WhatsApp, до сих пор не дали никакой оценке произошедшего в их собственной компании, лишь ограничившись комментарием, что обманутые покупатели, потеряют полученные ими товары, раз они были куплены не официальным путём.

Чтобы ответить на каждый, давайте начнём нашу историю с начала

В июне была представлена подписка Telegram Premium. Из экономики мы знаем, что рационально действующя фирма стремится получить максимальную прибыль от предоставления своих услуг. Непреодолимо тягостное чувство возникает в сердце предпринимателя, когда приходит осознание, что за одну и ту же услугу разные клиенты могли бы платить разные суммы, в зависимости от их финансового благополучия, но в итоге платят равную для всех плату. Каким прекрасным мир видится для некоторых из них, если можно было бы заставить одних платить за мороженое в одном и том же месте - 1 доллар, а других - полторы тысячи, при этом не меняя качества или состава продукта. Результатом таких желаний стало понятие, называемое ценовая дискриминация.

Как это относится к нашей истории? Изначально было задумано, что жители разных реионов, в зависимости от их финансовых возможностей, а также популярности в их стране Telegram, будут иметь разные цены, на анонсированную Telegram подписку. При этом, конечно, её функционал останется неизменным.

В итоге, подписка, которую можно было получить лишь двумя способами - купив в официальном боте или получив в подарок от друга, совершившего такую покупку для себя, стала предметом перепродажи.

Странно было бы, имея цены на подписку в Турции, например, за 3 месяца в размере 54 рублей, не продать её русскому пользователю, у которого цена составляла 919рублей(цены указаны по курсу, на момент написания статьи).

В итоге, 18 августа Telegram ввёл ограничение на подарки от друзей из других стран, сделав тариф для таких приобретений - глобальным, т.е. единым для всех регионов, в случае международного дарения. Цены, понятное дело, были бы выше, чем при покупке самому себе аналогичного числа месяцев в своём регионе.

Но это не остановило пытливые умы. И тут мы впервые знакомимся с нашими героями

Подросток, открывший уязвимость, был среднестатистическим оболтусом, игравшим большую часть своего времени в игры, одной из которых был PUBG. Со временем, решив получить результаты в ней, но не имея каких-либо навыков, помимо s-образного сгибания над экраном, герой статьи решил поставить jailbreak на свой iphone, чтобы воспользоваться уже разработанными читами, недоступными обычному пользователю ios-устройств.

Втянувшись в процесс, он стал вести небольшую группу, где для друзей публиковал найденные читы и рассказывал о их пользе в игре.Казалось бы, что может пойти не так?

Всё просто - через 1,5 года, после описанных событий, в конце августа 2022года анонсируется выход Telegram Premium.

Удивительная случайность, делающая произошедшее ещё более похожим на лотерею, позволяет подростку найти источник богатства. Точнее, незаконного обогащения - подросток решается на шару проверить способ покупки внутриигровых средств на Telegram.
Чаще всего, такая покупка возможна в малобюджетных играх, которые хранят данные о внутриигровых ресурсах на устройстве пользователя.

Но в случае Telegram, ситуация обстояла примерно также.

И поэтому совершив покупку за реальные деньги, маленький герой обнаружил, что последующие не приводят к снятию денежных средств, так как технология использованной программы для взлома, предполагает отправку липовых квитанций об оплате, которые, тем не менее стали достаточным основанием для выдачи реального продукта, который Telegram оценил в 300 рублей в месяц для пользователей из РФ.

Что же было предпринято дальше?

Правильно. На протяжении последующих 3 месяцев, до утра 30 октября 2022 года, герои данной статьи(наш пытливый ум и его товарищи), продавали в Telegram'е подарочные подписки Телеграма(на 3, 6 и 12 месяцев), по цене изначально в несколько раз меньшей, чем официальная стоимость, соответсствующая (919/1599/2799 рублям), а затем и доходившей до смешных 150 рублей за 12 месяцев.

Чем на протяжении всего этого времени занимались работники, ответственные за Telegram Premium - непонятно.

Где-то явно, называясь абузом, а где-то под соусом абсолютной легальности, данная подписка продавалась в разных телеграм-ботах.

Заказы, увеличивавшиеся благодаря сарафанному радио, стали расти, как на дрожжах после первых дней работы и при изначальных ценах в 450/850/1200 рублей за подписку при нулевых затратах, вскоре стали достигать 1500 штук в день, принося деньги, сопоставимые с зарплатой хорошего финансового аналитика, программиста со стажем или депутата.

Тем не менее, рост заказов стал сопровождаться понижением цены, ставшим результатом базовой экономическо безграмотности владельцев схемы: используя привлечение своих друзей, в качестве метода масштабирования своих мощностей выдачи(кликай и зарабатывай - мечта любого школьника, без дела, которое его зажигает и, к сожалению, некоторых взрослых людей), подростки забыли, что деньги иногда приводят к разрыву договорённостей.

И в итоге некоторые из участников банды решили обособиться и за неимением навыков привлечения аудитории, помимо "расскажи другу за скидку", стали понижать цены, чтобы забрать себе часть заинтересованной аудитории, узнавшей от своих знакомых о такой возможности сэкономить.

Для участников организации, как они сами написали в своих личных ресурсах в Телеграме(да, они до сих пор не заблокированы и даже продолжают делиться, как безраздумно тратят деньги введённых в заблуждение людей), грустно осознавать, что такой предсказуемый обычному образованному человеку демпинг, можно было бы избежать, будь они готовы к свалившемуся на них источнику денег.

Но как и с участниками лотерей, проматывающих свои состояния до нитки, и возвращающихся на ещё более низкую социальную ступень, чем они занимали изначально, наших участников постигла банальная участь - плоды отсутствия банальной грамотности.

Желание заработать здесь и сейчас привело к расколу группы, что сделало возможным продажу схему эксплуатации уязвимости сначала за 80тысяч, чуть позже за 30-15тысяч, а в итоге - 300 рублей. И это при том что за день она приносила по 250тысяч только одному из участников маленького подросткового мирка, то есть легко окупалась за пару дней при начальной стоимости в 500! тысяч.

Но всему приходит конец. Правда тут - неожиданно

Создатель группы, скатившийся к мизерным, на его взгляд, 70тысячам дохода в день, решил отомстить своим пособникам, снижавшим цену и в итоге разрушив экономику этого маленького мирка.

И сделал он это банальным для ребёнка способом - пошёл пожаловаться старшим, то есть в нашем случае, поддержке Телеграма, которая закрывала на проблему глаза на протяжении 3 месяцев.

Да, повторюсь, он "сдал сам себя", чтобы не дать предателям-пособникам заработать.

И что в итоге?

А в итоге, баг был пофикшен, а обманутые покупатели, обвинены поддержкой Телеграма через сообщество Код Дурова в том, что они приобрели товар неофициально.

Средства, конечно, никому не вернули, ребята до сих пор на свободе, главный герой сегодня ночью, например(31.10.2022) успел похвастаться в своём сообществе Телеграм покупкой скина в своей сладкой зависимости - игры PUBG, за 550 тысяч рублей.

Вот так мы в очередной раз убеждаемся, что справедливость - вопрос равномерного распределения информации, чему и служит данная статья.

Стоит только радоваться, что тут маркетинговый отдел Телеграма на высоте - он понял, что правда - это то, что известно.

Если известно, что WhatsApp имеет кучу уязвимостей, которые обнаруживают профессиональные программисты с завидной регулярностью, то он станет непопулярным.
И если неизвестно, что Telegram - второй WhatsApp, то можно беcпрепятственно переносить вину за своё бездействие на плечи клиентов.

Вполне привычной стала практика вознаграждения хакера частью суммы, которую потеряла компания, из-за существовавшей уязвимости. Но это нормально, пока речь идёт о деньгах компании.

Приведу пример

Одно дело, если в коде криптобиржи существовала уязвимость, которую обнаружил хакер и воспользовался ей, чтобы вывести деньги из стабилизационного фонда организации - тут риски несёт компания, она же и покрывает издержки своей оплошности. Если ей так хочется - пусть награждает тех, кто смог обнаружить халатность в архитектуре кода.

Но ненормальным является такая ситуация: На бирже была уязвимость, давшая возможность создать обманный курс конвертации валюты для пользователей: ты бы обменивал свои активы в несколько раз выгоднее, чем цены были до этого, а в итоге деньги не приходили бы в новой валюте на твой кошелёк, а уходили бы к хакеру.

А биржа посчитала уязвимость достаточно важной и потому разрешила хакеру оставить украденные деньги на своём кошельке на этой же бирже, при этом ответив обманутым вкладчикам: "ну, логично же было, что скам, ребята. Что ноем?"

Странно получилось: была уязвимость, на которой мошенническим путём были нанесены убытки Телеграму в размере нескольких миллионов долларов.

А Телеграм, в свою очередь, решил призвать к ответственности не мошенников, а возложить её на пострадавших покупателей. То есть наказаны те, кто лучше молчит.

Не стоит молчать, помогите продвижению статьи, выполнив то, ради чего и был создан Телеграм - возможность существовать гласности.

Разошлите друзьям, опубликуйте на Дзене, Ютубе, закиньте блоггерам, в паблики Вк и Тг в предложенные новости.

Такие вещи не должны замалчиваться.

Ссылки на ресурсы, где лежат вещдоки преступления, оставленные самими участниками(скорее всего будут уничтожены):

Если сможете упорядочить файлы, оставленные на диске, подкорректировать статью и внести любую лепту в общее дело - огромное вам спасибо.

Вещественные доказательства преступления в виде выгруженных сообщений групп с признанием участников можно найти на облаке

https://drive.google.com/drive/folders/1NuCtlab-AJ0iBSmODSyoT8-YVHeHbW7t?usp=share_link

Канал со всеми материалами

Автор:
Disobedience

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js