Независимый аудит в области кибербезопасности, проведенный компанией Symbolic Software, подтвердил наличие критической уязвимости в мессенджере Telegram, которая позволяет пассивно отслеживать местоположение и перемещения пользователей. Результаты этой проверки, оказавшиеся в распоряжении издания Important Stories, полностью подтвердили выводы более раннего совместного расследования OCCRP и IStories, опубликованного в 2025 году.
Специалисты по безопасности установили, что клиентские приложения Telegram передают данные таким образом, что постоянный идентификатор устройства, известный как auth_key_id, оказывается доступен в открытом виде либо в форме, максимально легко поддающейся деобфускации. Главная опасность заключается в том, что этот маркер остается абсолютно стабильным: он не меняется при смене IP-адресов, переключении между различными сетями (например, сотовой связью и Wi-Fi) или при перемещении устройства в другие географические локации.
В результате любой субъект, имеющий пассивный доступ к сетевому трафику — будь то интернет-провайдер, системный администратор локальной сети или государственные комплексы слежения — может собирать эти идентификаторы. Для этого злоумышленникам или спецслужбам не требуется взламывать сквозное шифрование, перехватывать сертификаты безопасности или как-то вмешиваться в само соединение. Накопление таких данных позволяет создать масштабную базу, связывающую конкретные гаджеты с временными метками и сетевыми координатами. Если личность владельца устройства будет установлена любым другим путем, этот маркер позволит непрерывно отслеживать его перемещения во времени.
Контекст этой уязвимости вызывает у правозащитников и журналистов особые опасения на фоне прошлогоднего расследования OCCRP и IStories. Журналисты выяснили, что российский сетевой инженер Владимир Веденеев, занимавший пост финансового директора Telegram и имевший доверенность на подписание документов от Павла Дурова, параллельно управлял коммерческими структурами, тесно связанными с российскими силовыми ведомствами. Сам Веденеев ранее признавал, что имел куратора из ФСБ и взаимодействовал со спецслужбами по вопросам российских интернет-пользователей. При этом он категорически отрицает передачу каких-либо внутренних данных Telegram в ФСБ и называет заявления об уязвимости ложными.
Официальные представители Telegram также полностью опровергли выводы экспертов Symbolic Software. В ответе на запрос журналистов администрация мессенджера заявила, что параметр auth_key_id подвергается регулярной автоматической смене и технологически не способен раскрыть сведения о пользователе, деталях его личного профиля, получателях или содержании переписки. В компании отдельно подчеркнули, что вся цифровая инфраструктура находится под полным контролем исключительно внутренней команды инженеров, а любые связи Веденеева или его структуры GNM с Федеральной службой безопасности РФ не соответствуют действительности.