Баг обнаружил специалист по безопасности Дирай Мишра (Dhiraj Mishra), который выяснил, что по крайней мере Android-версия Telegram постоянно хранила все файлы в памяти устройства. Его баг-репорт в сервисе Bug Bounty был передан команде разработчиков. За наблюдательность Мишра получил премию размером в 2500$.
Хотя в Telegram и есть функция отмены отправленных (например, случайно) сообщений, файлы, вложенные в это сообщение, навсегда оставались в памяти телефона, причём как отправителя, так и всех получателей, даже если это группа из 100 тысяч человек. Между тем в других подобных мессенджерах, например, в Whatsapp, файлы удаляются вместе с сообщением безвозвратно и нигде не хранятся.
Разработчики не уточнили, насколько серьёзными могли быть последствия такой ошибки, но были несколько инцидентов, когда людям было отказано во въезде в США из-за контента на их телефонах, отправленного другими людьми.
Напомним, что конце августа Telegram представил обновление, благодаря которому можно будет скрыть номер телефона, чтобы его никто не смог увидеть. Некоторые эксперты опасаются, что такие нововведения сделают Telegram ещё более популярным среди оппозиционно настроенных граждан, например, среди демонстрантов в Гонконге.
