Эксплуатируем уязвимость в Telegram: взлом любого аккаунта в криптопроектах внутри Telegram | End Way - форум программирования и сливов различных скриптов
  • Присоединяйтесь к нам в телеграм канал! EndWay канал | EndSoft канал | EWStudio канал
  • Хочешь поставить скрипт, но не умеешь?
    А может ты хочешь свой уникальный скрипт?

    Тогда добро пожаловать в нашу студию разработки!

    Телеграм бот: EWStudioBot
    Телеграм канал: EWStudio

Эксплуатируем уязвимость в Telegram: взлом любого аккаунта в криптопроектах внутри Telegram

HPV_PRO

Джун
Автор темы
13 Июл 2024
7
3
0
📌 Недавно я начал разработку скриптов для абуза проектов, таких как Blum, Gamee, MemeFi и других. Я придумал собственный метод взаимодействия с этими ботами через специальную ссылку, которую можно получить непосредственно в боте. Эта ссылка позволяет использовать mini app в браузере, как будто вы находитесь в Telegram от своего аккаунта, не требуя реального доступа к аккаунту. Этот метод может быть использован злоумышленниками, чтобы получить доступ к конфиденциальным данным, активам (криптовалютам или фиатным деньгам), или игровым монеткам, которые затем можно вывести на свой кошелёк. И всё, что требуется от злоумышленника для получения этой ссылки — умение применять социальную инженерию. Ниже приведена инструкция по получению данной ссылки!


🌀 Инструкция:
1) Перейдите в желаемого бота.
2) Запустите mini app и, как только начнётся его открытие, сразу отключите интернет, чтобы mini app запустился, но не успел прогрузиться.
3) Появится ошибка с заветной ссылкой. Если ссылка не отобразилась, попробуйте без интернета нажать на три точки вверху и выбрать "Перезагрузить". Если ссылка всё равно не появилась, повторите этот шаг заново.
4) Скопируйте весь текст ошибки, затем вставьте его в любом чате и найдите нужную ссылку. Важно, чтобы ссылка была очень длинной!
5) Теперь вы можете открыть эту ссылку в браузере от имени того человека, который её получил.


⚡
Если вам удастся убедить жертву выполнить эти действия, взлом гарантирован на 100%. Придумать какую-то историю может каждый, так как этот метод обмана считается новым. В целом, я бы назвал это полноценной уязвимостью в Telegram. Ведь единственный способ получить доступ пока что — это использовать этот метод. Однако что, если кто-то пойдёт дальше и сможет генерировать такие ссылки без взаимодействия с жертвой вообще? Я бы назвал данную уязвимость "CVE-2024-DurovLove". Вы же не против? Среди проектов, в которых я смог получить доступ таким способом, есть Notcoin, MemeFi, Vertus, Hamster Kombat, LimeCoin, PixelTap, Catizen, Dotcoin, TapSwap, Bcoin 2048, а также такие популярные кошельки, как Wallet, Crypto Bot и xRocket. Около 80% ботов подвержены этой уязвимости!

 
Последнее редактирование:
Like
  • 3
Реакции: 2 users

OlegXio

Миддл
19 Апр 2023
86
19
8
Это не уязвимость телеграм, а уязвимость конкретно этих ботов. Поэтому Дуров тебе за это ничего не заплатит 🙄
 

HPV_PRO

Джун
Автор темы
13 Июл 2024
7
3
0
proxy, через dev tools ты сможешь только запросы доставать, чтобы взаимодействовать с аккаунтом. но открыть страницу в браузере, без этой ссылки не получится. пока что получить её можно только попросив её под каким-либо предлогом
 

HPV_PRO

Джун
Автор темы
13 Июл 2024
7
3
0
OlegXio, я тоже долго рассуждал, кто же по итогу здесь виноват. пришёл к выводу что именно телега, так как эта ссылка ни как не генерируется самим апсом в, а только телегой. а на счёт того, считается это уязвимостью, или нет - спорить не буду, но например ChatGPT говорит что это именно уязвимость, и даже попросил уведомить павлика :opop
 

HPV_PRO

Джун
Автор темы
13 Июл 2024
7
3
0
OlegXio, я согласен, но от части. ибо в ссылке присутствуют такие параметры как "query_id", "auth_date" и "hash". насколько я понимаю, эти параметры которые присутствуют в коде, генерирует сам телеграм, так же как и параметры которые отвечают за цвет окна. но спорить не буду, сам я эти аппсы не писал

UPD: только что спросил у GhatGPT про эти ссылки, он также утверждает что генерируется она именно телегой. но как я уже выше говорил, я сам не писал апсы, поэтому и спорить не буду
 
Активность:
Пока что здесь никого нет