روند ایجاد حساب کاربری در سرویس های پیام رسان از جمله تلگرام :

0- درخواست عضویت بواسطه یک شماره تلفن همراه در یک اپراتور تلفن همراه (از طریق نرم‌افزار مربوطه) .
1- فرستادن یک کد (چند کاراکتری) توسط کارگزار پیام رسان به درخواست کننده از طریق پیامک .
2-1 - وارد کردن کد دریافتی در نرم‌افزار پیام رسان و آغاز عضویت. این کد برای مدت زمان مشخصی معتبر است مثلاً تا 5 دقیقه , پس از آن دیگر اعتبار ندارد.
2-2 - تا این مرحله برای کاربرانی که از یک شماره تلفن همراه برای اولین بار عضو می‌شوند , سپس داریم :
2-3 - اگر کاربر مایل باشد می‌تواند سرویس تأیید دو مرحله‌ای را فعال کند. بدین شکل که گذرواژه ای تعیین شده تا پس از آن هرگاه به هر شیوه ای (سخت افزاری=گوشی همراه - تبلت - رایانه , نرم افزاری= نسخه مبتنی بر موبایل - دسکتاپ - وب ) خواست تا از پیام رسان استفاده کند علاوه بر کد پیامکی ارسالی از سوی کارگزار پیام رسان باید گذرواژه مذکور را نیز وارد کند. البته یک آدرس ایمیل هم می‌تواند به عنوان پشتیبان برای بازیابی گذرواژه هنگام فراموشی از سوی کاربر تعیین شود .

نکته 1 : منظور از هک تلگرام چیست؟ کارگزارهای تلگرام یا حساب کاربران تلگرام ؟
نکته 2 : رد و بدل داده‌ها در این پیام رسان (و البته در پیام رسان های دیگر) رمزنگاری می شود. بحث بر سر اعتبار شیوه و الگوریتم رمزنگاری مورد استفاده , سخن جداگانه ایست.

حال فرض کنیم کسی بخواهد حساب تلگرام شخصی را سرقت کند! با توجه به مراحل یادشده در بالا ; فرد سارق باید کد فعالسازی پیامکی ارسالی به شماره تلفن مورد نظر را بدست آورد. اگر هم سرویس تأیید دو مرحله‌ای فعال شده باشد داشتن این مورد هم الزامی ست.
نکته 3 : از دستیابی فیزیکی به دستگاهی که حساب روی آن فعال بوده یا روش‌های مهندسی اجتماعی برای سرقت حساب چشم‌پوشی شده است.

با مفروضات بالا , سارق چگونه و از چه راهی می‌تواند کد فعالسازی را بدست آورد؟
پاسخ روشن است : باید در سیستم مخابراتی اپراتور تلفن همراه مورد نظر نفوذ کند! در‌ واقع توانایی شنود پیامک های آن اپراتور را داشته باشد.
پرسش : آیا امکان نفوذ و جاسوسی در سیستم‌های مخابراتی بصورت تئوری یا عملی وجود دارد؟
پاسخ : بله , اما نه توسط هر فرد و هر گروهی! بعنوان نمونه پیمانکاران و نیروهای نظارتی قانونی مرتبط با این سیستم‌های مخابراتی , اولین گزینه های مظنون برای انجام چنین کاری به شمار می روند. همچنین سوء‌ استفاده از باگ های شناخته و معرفی شده‌ای چون آسیب‌پذیری SS7 در تجهیزات زیرساخت ارتباطی تلفن محتمل است.
نکته 4 : با فرض بدست آوردن کد فعالسازی پیامکی توسط سارق , اگر در حساب کاربر سرویس تأیید دو مرحله‌ای فعال شده باشد پس جناب سارق بایستی این گذرواژه را هم بدست آورد!
این گذر واژه نه در دستگاه کاربر ذخیره و نه بصورت پیامکی رد و بدل می‌شود , بلکه روی کارگزارهای پیام رسان بصورت رمزنگاری شده نگهداری می شوند. حال سارق باید کارگزار را هک نموده و پس از استخراج اطلاعات هر حساب اقدام به رمزگشایی (شکستن الگوریتم رمزنگاری) گذرواژه آن کند. یا اینکه در قالب شرکت های سرویس دهنده اینترنت , ارتباطات رمزشده را شنود کرده و سپس اقدام به رمزگشایی کند.
نکته 5 : تا بحال هیچ گزارش و ادعای معتبری مبنی بر شکستن الگوریتم رمزنگاری داده‌های تلگرام (و سرویس های پیام رسان دیگر) ارائه نشده است.
نکته 6 : روشی ابتدایی بنام Brute Force در حدس زدن گذرواژه ها وجود دارد که گمان نمی‌رود برای شمار بسیاری حساب کاربری (در حد چند میلیون) کارساز باشد. ضمن اینکه یک اقدام تدافعی ابتدایی از سوی طراحان پیام رسان در برابر چنین حملاتی مسدود و یا محدود کردن حسابی ست که با این روش به آن حمله شده است می باشد.

نکته آخر : اخبار مربوط به این ادعا بصورت گنگ و مبهمی منتشر شده و بنظرم فعلاً فقط می‌توان صرفاً آن را فقط و فقط یک ادعا دانست! چون به روشنی معلوم نشده آیا 15 میلیون حساب هک شده یا فقط توانستند بفهمند که چه شماره تلفن‌هایی از ایران در تلگرام عضویت دارند (این مورد چندان اهمیتی ندارد و هر کسی میتواند این کار را انجام دهد) و اینکه در خبر رویتر از 12 حساب یاد شده که قابل درک نیست!؟ نام بردن از گروه هکری ایرانی بنام Rocket Kitten که در کد (یا در برنامه خودشان) از زبان فارسی استفاده کردند ; من متوجه نشدم کدام کد یا برنامه؟
در این میان هم سایت‌های خبری هم اضافات من درآوردی و نامربوط و القایی را به اصل خبر افروده اند. به هر حال منتظر انتشار گزارش کامل و معتبر در روزهای آینده طبق گفته مدعیان خواهیم ماند.

لینک خبر مربوط به ادعای هک 15 میلیون حساب ایرانیان در تلگرامhttp://www.reuters.com/article/us-iran-cyber-telegram-exclusive-idUSKCN10D1AM

لینک پاسخ تیم تلگرام در رابطه با خبر بالا
https://telegram.org/blog/15million-reuters

الان چی کار باید کرد اگه خارج شیم از تلگرام و دوباره یه کد فعال سازی جدید بگیریم درست می شه؟ یا این که شرکت تلگرام باید یه امکانی برای خارج کردن همه کاربران متصل به یک شماره موبایل ایجاد کنه تو نرم افزارش؟

اندرسون گفته است: این اقدام های هکری با همکاری و هماهنگی اپراتورهای تلفن صورت می گیرد.

کدوم اپراتور؟
مگر بدون دسترسی به SMS هک اینچنینی ممکنه؟
اون چه SMS که به دست مشترک هم نمیرسه؟

تابناک قرار نشد اشتباه ترجمه کنیا
گفته در صورت استفاده از تایید دو مرحله ای از هک شدن در امانید. کاری به صحتش ندارم ولی این گفته تلگرام بوده که دقیقا برعکسش رو ازش نقل کردی.

SMS codes
As for the reports that several accounts were accessed earlier this year by intercepting SMS-verification codes, this is hardly a new threat as we've been increasingly warning our users in certain countries about it. Last year we introduced 2-Step Verification specifically to defend users in such situations.

If you have reasons to think that your mobile carrier is intercepting your SMS codes, use 2-Step Verification to protect your account with a password. If you do that, there's nothing an attacker can do.

پس کار کار مخابرات یا اپراتورهای تلفنه. از این پس باید منتظر ظهور نرم افزارهایی باشیم که مبتنی بر اس ام اس نباشند

با سلام من سالهاست در زمینه هک فعالیت می کنم واتساب و تلگرام 2 شبکه اجتماعی هستند که غیر قابل نفوذ می باشند اگر منظور از هک شناسایی کاربران است این که هک نیست چون در گوشی های هوشمند لیست تمام اعضای فعال که شماره دارند معلومه ولی اگر منظورتون دسترسی به محتوای تلگرام هست به هیچ وجه امکانش نیست این برنامه ساخت روسیه است و برای هر بیت (مقدار) که شما مینویسی یک رمز درست می کنه و برای بیت مقابل یک رمز دیگر