Дослідник безпеки, відомий під псевдонімом Bo0om, виявив в десктопній версії Telegram дві небезпечні вразливості.
Перша вразливість дозволяла дізнатися дані про систему і оточенні web-додатки. Причиною проблеми було наявність файлу info.php, який відображає висновок даних функції phpnifo ().
Друга проблема дозволяла здійснити SQL-ін’єкцію в сценарії /crash.php і прочитати структуру бази даних. Проте, за словами розробників месенджера, вразливість не становить серйозної небезпеки. Проблема зачіпає тільки службовий домен, а БД містить лише локальні змінні дані для знеособлених псевдопользователей, ніяк не пов’язані з реальними користувачами програми.
Дослідник повідомив розробників Telegram про наявність в месенджері проблем з безпекою, за що отримав $ 2 тис. В рамках програми виплати винагород за виявлені вразливості. Детальніше ознайомитися зі звітом дослідника можна тут .
