最近一个 GitHub project 可用于查询手机号是否已注册 Telegram 账户和具体信息的工具引起了我的注意。
该工具会通过相关 Telegram API 请求单个或多个手机号的 Telegram 账户数据,而 Telegram API 会根据用户不同的隐私设置,可能会以 JSON 的形式返回 UID 、用户名、昵称、上一次上线时间等信息。也就是说大批量的通过 Telegram API 遍历手机号甚至可以做出手机号与未进行下文提到步骤设置的 Telegram 账户对应的数据库。
对于 Telegram 用户能做的:
·建议将隐私选项设置为如图所示的选项,并删除不太信任的 Telegram 联系人。
Telegram 官方能做的:
·将官方 App 注册或登录时填写验证码界面提示的验证方式模糊化,改为"We have sent you a message to your phone number or your Telegram with the code.",并且服务器返回相同的已发送验证码的响应,以防止在未通过验证码验证的情况下,通过回应的验证方式( SMS 还是 Telegram 信息)暴露该手机号是否已注册 Telegram 账户;
·为"WHO CAN FIND ME BY MY NUMBER"添加"Nobody"的选项,以防止用户已添加的联系人通过通讯录遍历的方式得到该用户的手机号。
原文首发自频道:@Pizza_Network
https://t.me/Pizza_Network/10如有错误欢迎指出!
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
https://www.v2ex.com/t/1043786
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.