Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

9,8 из 10. В Telegram обнаружили 0day-баг, позволяющий захватить аккаунт без ведома владельца

leer en español

Telegram Zero Day Initiative Майкл Деплант TrendAI уязвимость нулевой день CVSS
9,8 из 10. В Telegram обнаружили 0day-баг, позволяющий захватить аккаунт без ведома владельца
Telegram Zero Day Initiative Майкл Деплант TrendAI уязвимость нулевой день CVSS

Личные чаты пользователей остались один на один с критической уязвимостью.

image

У Telegram появился повод для срочной работы над защитой мессенджера. В базе Zero Day Initiative появилась запись о критической уязвимости с оценкой 9,8 балла из 10, а срок на исправление проблемы ограничили четырьмя месяцами. Подробностей пока нет, но уже опубликованных данных хватило, чтобы находка привлекла внимание специалистов.

Речь идет о записи ZDI-CAN-30207, которую передали Telegram 26 марта 2026 года. Публичное раскрытие назначили на 24 июля 2026 года, если компания не устранит проблему раньше. Уязвимость обнаружил Майкл Деплант, связанный с проектом TrendAI Zero Day Initiative.

Техническое описание пока не раскрывают. Для Zero Day Initiative такой подход обычен: команда дает разработчику время на выпуск обновления и лишь потом публикует детали. По этой причине говорить о массовых атаках или полном сценарии взлома пока рано. На данный момент подтверждены только факт появления критической записи и срок, который дали Telegram на исправление.

При этом предварительная оценка выглядит тревожно. Указанный CVSS-вектор говорит об удаленной атаке по сети с низкой сложностью эксплуатации, без привилегий и без участия пользователя. Если такие параметры подтвердятся, проблема может оказаться в числе самых опасных, поскольку подобные уязвимости нередко позволяют атакующему получить полный контроль над процессом и одновременно затрагивают конфиденциальность, целостность и доступность данных.

Telegram уже отреагировал на публикацию. В комментарии SecurityLab пресс-служба мессенджера заявила, что описанной уязвимости не существует, а версия об атаке через поврежденный стикер основана на неверном предположении исследователя. В компании добавили, что все стикеры проходят серверную проверку до воспроизведения в клиентах Telegram, поэтому такой сценарий атаки невозможен.

Пока в открытом доступе нет ни технического описания, ни подтвержденного сценария эксплуатации. Поэтому рынок теперь будет ждать не объяснений, а либо быстрого исправления, либо публикации деталей после срока раскрытия.