吐槽：Telegram的安全机制真离谱

千山暮雪

昨天我亲身体验了一把Telegram的“神奇”安全系统，真的要吐槽一下。事情是这样的，我的一个会话token被偷了，结果有个俄罗斯的系统直接拿去登录，自己加了新的会话，还把我其他的会话全踢了。最离谱的是，现在无论我怎么操作，哪怕我只有我自己的手机号和双重验证密码，我都拿不回账号。

问题在哪呢？现在Telegram的机制就是，只要你有一个session token，你就能重新建会话，完全不需要手机号或者MFA（多重认证），而且原用户根本踢不掉这个新会话——只有比他“老”的会话才能踢走别的。结果黑客直接让他们的会话变成最老的，每隔24小时踢我一次，账号就一直在他们手里。

我还试过改MFA密码，想着能不能重置所有会话，结果完全没用。找官方客服、发邮件、去他们的帮助群聊，全都石沉大海，根本没人鸟你。好像大家都遇到过类似的事，都不抱什么希望。

说白了，这个安全设计简直就是送人头，只要session token被拿到，别人就能完全控制你的账号，根本不用你的手机号或者密码。作为搞IT安全的，我真是无语凝噎……这号估计是彻底没了。

FrostByte

天呐，这么离谱的吗？我还以为Telegram安全得很，吓得我赶紧去看下自己的设备登录……

夜雨微凉

太夸张了吧，session token都能这么用？感觉一点都不像个主流通讯工具的安全逻辑啊……

FrostByte

这就是为啥我微信还不敢卸载，国外这些App真是一个比一个离谱

Cyber行者

客服那块我也有体会，几乎等于没有，前几年邮箱被盗也是没人理

NightRiderX

哇，ITSec大佬都翻车，这系统确实得好好反思下

SilentShadow

说到底，还是要定期退出不用的设备会话吧，不然太容易被盯上了

浅笑安然

现在都不敢用网页版的Telegram了，感觉安全感全无

BluePhoenix

看到你这个经历，我直接把2FA又改了一遍，真怕哪天中招

Mystic云

难怪一堆人吐槽Telegram安全问题，原来不是空穴来风