报导：Telegram遭骇，1500万用户电话外流

路透社昨日报导，加密通讯服务Telegram遭伊朗骇客骇入，并取得1500万笔电话资料。但Telegram澄清情况并没有那么严重。

报导引述独立网络安全研究人员Collin Anderson及国际特赦组织研究人员Claudio Guarnieri的研究指出，使用者启动Telegram服务时，后者会以简讯传送验证码到新手机上，等用户输入后才完成启动，如果过程中验证码遭到拦截，就能被分享给其他人。拿到验证码的人就能将新装置加入Telegram账号，进而读取受害者最新讯息或通话纪录。

研究人员发现，伊朗境内骇客在电信公司的配合下取得有10多个Telegram账号的启动验证码，最终他们辨识出多达1500万用户的电话号码。

总部位于德国柏林的Telegram以加密通讯技术闻名，据称全球有1亿多经常用户，每日传送高达1亿则讯息，在中东、中亚、东南亚及拉丁美洲相当受欢迎，用户甚至包括伊斯兰国（ISIL）人士。

对于研究人员及路透社报导，Telegram昨日回应确有此事，但该公司强调被骇客搜集到的只有可公开取得的资料，账号本身并无法被存取。由于今年Telegram对API加入限制，因此骇客也无法进行如此大规模的比对。

但Telegram指出，由于该服务是以电话联络人为基础，因此任何人都可以查得到某支电话号码是否有注册Telegram。但是其他服务如WhatsApp、Facebook Messenger等也都有一样情形。

至于简讯验证码遭拦截，Telegram指出这并非新的威胁手法，如果用户担心行动电信业者拦截简讯验证码，可采用该公司去年引进两步骤验证加以防范。