Comments 180
Нет ну серьезно? Товарищ майор и так имеет доступ к вашей переписке и спокойно закроет глаза на сервера в Амазоне.
Вам дают возможность официально представиться и заранее заполнить анкету для возбуждения уголовного дела. Пользуйтесь на здоровье.
ни разу не получал денег от кремля, но как только прошел черный пиар по поводу мы не дадим вам ничего из переписки пользователей, вспомнилась история с яблоком, когда требовали расшифровать телефон террориста. по мне так это сообщение убедить аудиторию в безопасности, но мне почему то более вероятными кажутся сказки сноудена, чем отказ этих компаний сотрудничать с властью
А если шагнуть немножко дальше и предположить, что «прокремлевским троллям» было дано задание засветиться в качестве распространителей инфрмации, что «Дуров работает на ФСБ» от имени «прокремлевских троллей»? =))
ФБР же, а не ФСБ. Вроде бы у этой истории не было никакого публичного внятного продолжения, а в версию «Дуров объяснил ФБР, что он за свободу, и они сразу отстали, потому что они цивилизованные» поверить сложновато.
Паранойя не означает, что за вами не следят.
Там даже не PBKDF с итерациями, не scrypt, bcrypt или Argon2, там просто тупо SHA512 с солью которая брутфорсится миллиардами в секунду.
Это просто обман людей
Тихо. Не пали контору.
PS с этой инновацией пиццу заказать не сможешь не передав неизвестному лицу свои паспортные данные.
А что, sha512 уже устарел? Не забывайте, что это облачный сервис и все будет считаться в облаке. Всего амазона не хватит, чтобы обеспечить удобство пользователей при использовании pbkdf. И end-end в данном случае значит именно защиту передачи данных. И судя по всему, если обычный пароль утерян, то и данные утеряны(если телеграм не начнет их брутфорсить).
Я конечно понимаю, что вы хотите абсолютной защиты от всего, но зачем вам тогда третьи лица? Храните все в веракриптовском двойном контейнере, а пароли выкиньте и забудьте.
Паспорт судя по всему будет работать по схеме звезды — некий сервис обращается к телеграму с просьбой дать какие то данные, телеграм просит у вас разрешения и уже тогда передает или нет. В таком случае не вижу смысла сильно осложнять дешифровку самим себе. Можно было не жертвовать безопасностью, но пришлось бы пожертвовать удобством.
Я в теме профан и проблемы с производительностью — лишь догадки, если существуют бесплатные (каким скорее всего будет паспорт) или очень недорогие сервисы с облачным шифрованием, которые не обанкротились в течении 3-5 лет, использующие указанные выше технологии, буду признателен за наводку.
bytes::vector GenerateSecretBytes() {
auto result = bytes::vector(kSecretSize);
memset_rand(result.data(), result.size());
const auto full = ranges::accumulate(
result,
0ULL,
[](uint64 sum, gsl::byte value) { return sum + uchar(value); });
const auto mod = (full % 255ULL);
const auto add = 255ULL + 239 - mod;
auto first = (static_cast<uchar>(result[0]) + add) % 255ULL;
result[0] = static_cast<gsl::byte>(first);
return result;
}
Вопрос в том, где этот секрет хранится. Если только на клиенте — то end-to-end де-юре.
Я не смог проследить за перемещениями секрета — просто смотрел код глазами, продебажить возможности нет сейчас.
CountPasswordHashForSecret используется только в методе FormController::submitPassword
Что бы он ни делал — он не отправляет данные в облако
Уже с пользовательского устройства данные отправляются в сервис попутно шифруясь открытым ключом который указал сервис
Т.е. телеграм пока выступает в роли хранилища, а пароль нужен для доступа к этому хранилищу
- Пользователь нажимает «Войти в Telegram» на своем веб-сайте или в вашем приложении .
- Вы запрашиваете нужные данные .
- Пользователь принимает вашу политику конфиденциальности и соглашается поделиться своими данными.
- Приложение Telegram пользователя загружает и расшифровывает запрошенные вами данные из сквозного зашифрованного хранилища в Telegram.
- Если некоторые из запрошенных вами данных отсутствуют, пользователь может добавить их в свой Паспорт Telegram в этот момент.
- Приложение пользователя шифрует данные с помощью открытого ключа и отправляет его вам.
- Вы расшифровываете данные, проверяете их на наличие ошибок и повторно запрашиваете любую недостающую или недействительную информацию.
- Вы подписываете пользователя для своего обслуживания. Тада!
А со стороны сервера, если зашифрованные данные будут на руках, то и будет вариант подбирать, если алгоритм генерации ключа известен
Да и надо не забывать что там же на сервере хранятся и обычные чаты
Про обычные чаты вообще молчу, к ним у телеграмовцев прямой доступ
Ни что не мешает злонамеренному серверу красть данные другим образом. Тут приходится или доверять или лишаться функционала
Если злонамеренный сервер может украсть ваши данные, то это не end to end, не надо об этом писать.
Я правильно понимаю, что в вашем определении end to end не может существовать без физической передачи одноразового блокнота из рук в руки?
Нет. А почему вы спрашиваете? Как это относится к тому, что ваше определение end-to-end шифрования бессмысленно?
Какое именно определение? С одноразовыми блокнотами?
Вот это:
Если злонамеренный сервер может украсть ваши данные, то это не end to end, не надо об этом писать.
можно было бы конечно предположить, что тут имеется ввиду что злонамеренный сервер не должен иметь возможности украсть ваши данные за разумные сроки, но ведь выше:
Вот, о чем и речь! E2E подразумевает защиту данных в том числе от злонамеренного сервера, а тут её особо то и нет, сервер может спокойно брутфорсить пароли, т.к. обладает всей необходимой информацией.
И тот факт, что до того момента, как Солнце потухнет телеграм пароли сбрутфорсить не сможет, вас не смущает. С-но, для вас важна сама потенциальная возможность брутфорса (пусть и за миллион-другой лет).
1. Даже при end-end шифровании злонамеренный сервер может украсть ваши данные
2. end-end — характеристика канала или протокола передачи данных, а не сервера. Если один из концов — облачный сервис, то достаточно vpn канала с этим сервисом для обеспечения end-end шифрования. И, не смотря на это, он может оказаться злонамеренным.
3. Защищенность сервиса не определяется исключительно лычками «end-end зашифровано», «c использованием bcrypt», «хешируем только через sha9000» и тп. К примеру, есть сервис, использующий сквозное шифрование с убер мощными алгоритмами, благодаря чему скорость брутфорса на самом мощном суперкомпьютере будет составлять 2 пароля в секунду. Иии… внезапно… их приложение собирает «аналитику» нажатых клавиш, благодаря чему им не нужен брутфорс совсем. Или даже пусть у них будет опенсорсное приложение, которые вы лично проверили и скомпилили, но внезапно оказалось, что в нем есть уязвимость, позволяющая исполнять произвольный код, присланный прямо в сообщении. И этот этого заранее никак не защититься. Поэтому или доверять или не использовать. Выбирайте сами.
При том вы так и не ответили на мой вопрос про проблемы с производительностью, а раз этот вопрос не закрыт, не вижу смысла искать другие мотивы.
Какие проблемы с производительностью если расшифровка происходит на клиенте? Облако тут вообще не при делах, оно только как хранилище данных работает.
Тогда пасспорт как таковой не нужен, достаточно недефолтного шелла к гуглодиску или дропбоксу. Но при этом теряется функционал — вам нужно скачивать доки, а сервис не может обратиться напрямую к телеграму, а взаимодействует с вами, что не всегда удобно и для этого случая опять таки паспорт не нужен вовсн
Не совсем так. Злонамеренный сервер может прислать в браузер модифицированный клиент, который сольёт пароль — это да. Но — это возможно заметить. Такие популярные приложения всегда находятся под наблюдением, рано или поздно, если сервер будет выкидывать такие фокусы, его на этом поймают. Да, это может произойти не сразу, и да, они могут попытаться всё списать на "баг" или злонамеренного разработчика внедрённого к ним ФСБ специально ради удара по репутации, но почти наверняка репутационный ущерб будет громадным, как и финансовые потери. Поэтому вряд ли они станут таким заниматься.
А вот подбирать пароли можно очень-очень тихо, на отдельном кластере, о котором вообще никто не знает и не может узнать. Выбор SHA512 вместо Argon2 выглядит как оптимизация вот такого тихого подбора паролей, что и вызывает вопросы.
Конкретные алгоритмы — PBKDF2, Argon2, scrypt.
а госуслуги это второе или третье для вас лицо?
Третьи лица для меня, все кто не имеет прямого отношения к моей юридической деятельности, и являются провайдерами/агрегаторами/телеграмами/любой другой термин.
Люди к государству в прямом смысле этого слова не имеют никакого отношения.
Это функции правительства. Не стоит путать его с государством.
Госуда́рство — политическая форма организации общества на определённой территории, политико-территориальная суверенная организация публичной власти, обладающая аппаратом управления и принуждения, которому подчиняется всё население страны.
Фактически, государство является совокупностью социальных институтов, сформированных определенной народностью и\или населением территории, самоопределяемой этой народностью и\или населением как своя страна (ареал обитания).
Если обратиться к определению «народ», то можно узнать о том, что он обладает определенной территорией, культурой, историей и отличительными признаками в виде языка и, чаще всего, страны обитания, границы которой определяют ареал народа. Народ или группа народов, проживающих в рамках одной территории (страны), в свою очередь, формирует общество, со своими традициями, устоями и привычками. Общество (социум), как структура стоящая над индивидуумом, создает так называемые социальные институты власти, совокупность которых (законодательная, исполнительная, судебная), а так же ряд социальных институтов, удовлетворяющих потребности социума в обеспечении безопасности и порядка для членов социума. В число этих социальных институтов власти входит и правительство, а так же силы правопорядка (полиция, для обеспечения внутренней безопасности), армия (для защиты границ ареала обитания членов социума), и спецслужбы (внутренняя и внешняя безопасность), что в совокупности дает нам ГОСУДАРСТВО.
Фактически, государство является основополагающей структурой существования общества, оказывая поддержку или регулируя деятельность других социальных институтов, таких как «институт семьи», «институт производства материальных и нематериальных благ», «институт передачи знаний» (образование) и «институт духовных потребностей» (культура, искусство, титульная религия, принятая социумом).
Правительство — лишь винтик в этой машине. Это тоже самое, что в биологической иерархии назвать семейство кошачьих отдельным царством.
Паспорт мне выдало государство, и госуслуги предоставляет государство, они второе.
Третьи лица для меня, все кто не имеет прямого отношения к моей юридической деятельности, и являются провайдерами/агрегаторами/телеграмами/любой другой термин.
То есть если в аэропорту оператор перед тем, как выдать вам билет, потребует паспорт, вы его пошлете и вызовете представителя государства?
Последнее, что я сделаю в интернете
Третьи лица для меня, все кто не имеет прямого отношения к моей юридической деятельности
Я ж купил у этого оператора билет, заплатил своими деньгами, предварительно понимая, что идентификационным документом они требуют паспорт. Конечно я предъявлю, я ж сам там нахожусь и собственными руками провожу операции с идентификацией себя, с юр.лицом которого выбрал сам, понятное дело, что они в этой ситуации второе лицо.
Вам не кажется, что ваш комментарий выглядит как буквоедство?
Может я и старомоден и вообще отстал от жизни, но мои доки это мои доки, и доступ к ним — святое.
Может быть вы не очень знаете предназначение доков — это в основном удостоверение что вы есть вы. И доки нужны именно для третьих лиц/организаций/государства, а не для вас лично.
Хотя если вы коллекционер…
Последнее, что я сделаю в интернете
Вы ведь прочли это? Доки ведь вы предоставляете не третьим лицам, а тем, с кем взаимодействуете, для верификации вас, как резидента например РФ. Вы ведь если заключаете договор с провайдером интернета, не считаете их третьим лицом?
Третьим лицом будет тот, кому провайдер передаст ваши данные. Даже законодательство это запрещает, без вашего согласия.
И вы абсолютно правы. Мне вот интересно, вообще, зачем это такие правильные и убежленные анархисты Дуровы затеяли эти пляски с документами, ID, паспортами? Это отход куда, к чему? И так банки держат всех за яйца, зачем множить эту гадость? Нужно менять финансовую модель — банки это прошлое, эксплуатация неэффективности действующий финансовой системы. Новая система, на то и новая, что должна быть свободна от прошлых недостатков, п Телеграм предлагает увязнуть поглубже в этом болоте.
В том то и дело, что надо наоборот отходить от этого всего — не ID нужны, а репутация кошельков. Да и для каких финансовых институтов там эти ID? Банков? Фискалов?
Еще раз говорю: банки это прошлое, а фискалы пусть работают напрямую с кошельками.
Больше ананонимности! И так все уже сидят заглотивши крючок — можно подсечь любого неугодного властям или корпорациям.
И, кроме того, у Дуровых лозунг — типа замегим там визу с мастеркардом. Зачем? Чтоб Дуровы начали хапать вместо визы? Переток бабла в другой карман? Нам то зачем в этом участвовать? Какой толк в их крипте в сравнении с фиатом? В фиате хотя бы кэш есть накрайняк, а в Дуровской крипте — без бумажки (ID) ты какашка. То есть будет еще хуже, чем сейчас. И никаких реальных новаций, чтоб внести полезные изменения в финансовую систему.
Раньше выкинул паспорт и ты аноним. А сейчас не так. Увы.
А функция хранения паспортных данных видимо нужна была только для каких-то дальнейших планов телеграма, а не для решения реально существующей проблемы.
Опять же, совершенно непонятно, может ли один человек завести себе на один комплект документов пачку подтверждённых профилей. Если может — такой сервис «идентификации» вообще бесполезен.
> Разработчики Telegram уверяют, что все данные будут загружаться на закрытые серверы компании в зашифрованном виде, а дополнительную степень защиты обеспечит пользовательский пароль, то есть сотрудники доступа к данным иметь не будут. Передача же персональных данных третьим сторонам будет производиться только с явного согласия и разрешения пользователя.
Если они хранятся в зашифрованном виде, то Телеграм не может их предоставить другим. Подозреваю, что возможность расшифровки для себя Дуров все-таки оставит.
> Сейчас подавляющее большинство финансовых сервисов в сети требуют полноценной идентификации пользователя для разблокировки функции вывода средств и снятия ряда жестких лимитов на ввод и хранение.
Надеюсь, появится хороший сервис для обхода этих неудобств без предоставления персональных данных. Ну или биткойн станет более юзабельным.
> особенности работы в разных регионах требуют проводить идентификацию пользователей в системе в рамках борьбы с мошенниками, кардерами и прочими злоумышленниками
Они по селфи будут определять, мошенник перед ними или нет? Шерлок Холмс бы позавидовал.
> Таким образом команда Telegram в дальнейшем берет на себя обязательства классического гаранта, не передавая и не распространяя персональные данные пользователей третьим лицам.
И какую она несет ответственность за утечку или неправомерное использование данных? Угадаю, никакой?
Вы имеете весьма поверхностное представление о том, как работает современная банковская система, если надеетесь, что появится сервис, который не затребует ПД. Тут материала на целую статью, но попробую кратко.
Все очень просто: пока деньги в интернете, они являются так называемым «денежным» суррогатом, будь то WM или ЯД. Гарантом этого суррогата выступает банк-эмитент, который обслуживает данную платежную систему (в случае Яндекс.Денег это Сбербанк, например). Предположим, появится какой-нибудь elec-pay-ololo, который не будет требовать идентификации пользователя и его ПД, при этом он будет позволять выводить деньги на пластиковые карты и проворачивать крупные суммы.
В этот момент в действие вступят международные законы, локальные законы и акты антитеррора, которые автоматически сделают эти деньги «грязными». В этот момент Visa/Mastercard отключают банк или структуру, которая обслуживает наше elec-pay-ololo, от своей системы, выписывая пожизненный бан и параллельно возбуждая дела по расследованию, откуда деньги.
Даже если работать в обход этих мировых платежных систем (что автоматически исключает вывод средств из системы на 99% пластика в мире) и обратить взор на систему прямых банковских переводов, то там становится все еще жестче. В действие вступают региональные директивы, типа PSD 2.0, которые регулируют поведение банков и проведение ими транзакций и ни одна контора не примет такой перевод от ноу-нейм нарушителя. В итоге вы оказываетесь замкнуты в экосистеме нашего elec-pay-ololo: Visa и Mastercard не позволяют совершать операций по направлению к указанному суррогату (так, кстати, Mastercard поступил с BTC, блокируя переводы и организуя двойные списания по известным направлениям в сторону сервисов, торгующих криптой за бабло с кредиток), банки переводы из системы не получают и единственный путь: это барыги-менялы, которые будут давать вам или кэш за ваши суррогаты elec-pay-ololo, или слать вам в ручном или полуавтоматическом режиме на кошельки легальных электронных систем.
Прикол в том, что без идентификации в этих легальных системах, вы либо вообще не сможете вывести деньги, либо же получите ограничение на уровне 15 000 RUB в месяц или около того. Делается это, опять же, для борьбы с теневой экономикой и в рамках антитеррора.
Итог: предоставление ПД финансовым сервисам в текущей экономической парадигме не просто «прихоть», это, фактически, мировой закон для всех глобальных игроков рынка. В противном случае, если вы не принимаете правил игры, вас «бортуют» на обочину или в лапы к барыгам, которые берут минимум 10% комиссию без учета белых комиссий платежных систем. Я видел предложения и под 30-40%, это норма.
Так что тут, для честного человека, все упирается не в факт предоставления ПД (кому надо, все о вас знают), а о степени доверия к сервису. Тому же Яндексу, PayPal или Webmoney предоставить свои ПД не страшно. А вот на сервисе микрозаймов в WM (да, и такой есть), которые держит один-единственный ИП, оставлять свои паспортные данные уже стремновато и там надо взвешивать все за и против, читать правила системы и правила заключения договоров займа в ВМ.
Но системы, которая не будет требовать ПД, не будет никогда, пока жива текущая финансовая система и институт государства (в глобальном смысле), как таковой.
Это не так. Они хранятся в зашифрованном пользовательским паролем виде. Когда пользователь предоставляет их какому-то другом сервису, он вводит пароль и ключ для расшифровки данных отправляется напрямую стороннему сервису, без участия серверов Телеграм. Сервис получает зашифрованные данные от сервера Телеграм и ключи для расшифровки от клиента Телеграм, где они были получены с использованием пользовательского пароля.
То, что официальные сборки клиентов ведут себя именно так, как описано, проверить снаружи нельзя (получается доверие команде Телеграм), однако при желании можно взять код этих клиентов, проверить что по коду они ведут себя именно так, собрать его самостоятельно и быть уверенным, что на сервера Телеграм данные уходят только зашифрованные, а ключи для расшифровки уходят только тому сервису, которому пользователь решил их предоставить.
Я так понимаю твое селфи-фото должно совпадать с фото на паспорте. Проверять наверно будут люди
Телефоном для исходящих звонков пользуюсь редко. На счету лежит дежурная сотня. В основном, входящие звонки.
Постоянно переживаю за то, что мой номер могут отдать кому-то другому и а) у меня не будет возможности восстановить аккаунты и б) посторонний человек получит доступ к моим данным.
В том же Телеграме по дефолту стоит автоуничтожение аккаунта если им не пользуются 6 месяцев. При чем отключить оную автоматическую селф-дестракцию совсем нельзя в принципе, можно только менять срок неактивности через которую она произойдет.
Там ведь, в последнее время, если начинаются какие-либо действия, то предлагается ввести код из СМС, либо код который был отправлен в другие авторизованные устройства через специальный канал.
+ Например, если делается Экспрот данных из телеграмма, то там рассылаются уведомления и делается задержка на 24 часа
Так что думаю мб они предусмотрели этот момент и помимо СМС на старый номер, еще приходит уведомление в сервисный канал
А по поводу пользования чужими документами — там ведь при включении Telegram Passport включается Cloud Password — который типо «второй фактор»
Т.е. при следующей авторизации нового устройства, помимо SMS кода (или кода который придет среди нотификаций) понадобится еще ввод вот этого Cloud Password
This password will be asked when you log in on a new device in addition to the SMS code
Ну и никто не отменял Account self-desctruct — самоуничтожение аккаунта по таймауту от 1 месяца, до 1 года неиспользования
Мне одному кажется, что у Дурова какая-то нездоровая тяга к сбору персональных данных? Он и в ВК, и теперь в Телеграме пытается собрать как можно больше.
Вы вообще в курсе за счёт чего получают деньги соцсети, месенджеры и Гугл? Вас не смущает что все сервисы бесплатные, но находятся в топе компаний по баблу?
Telegram нельзя ставить в этот ряд, тут совершенно другая история. Сегодня Телега это личный эксперимент одного человека. В этом его уникальность, и это несет в себе как плюсы, так и минусы.
Какой к черту эксперимент? Телега появилась после успеха вотсапа. Сделал копию. Провел PR компанию. Надавил на жалость историей об отжиме ВК.
Ты на финансовые сводки то посмотри. Экспериментатор живёт на широкую ногу тоже просто так?
Или все же предоставил прекрасное API, предоставил возможности которых нет в ВоцАппе(приложения для десктопа работающие независимо от того запущено ли на мобиле, например. Возможность использовать на неограниченном количестве устройств, например)?
Сравнивать ВоцАпп и Телеграм глупо. Они в разных категориях.
Берем телеграмм и делаем все тоже самое. По итогу в диалогах просто непонятный абонент которого нельзя добавить как друга. Буквально на кнопке «добавить» всплывает разрешение доступа к контактам.
Берем телеграмм и делаем все тоже самое. По итогу в диалогах просто непонятный абонент которого нельзя добавить как друга. Буквально на кнопке «добавить» всплывает разрешение доступа к контактам.
Что за вранье? Берете ник и добавляете по нему. Все, он у вас в списке. Без знания номера телефона, без доступа к адресной книге. Зачем врать?
В свете этого, очень странно выглядит анонс Passport в официальном канале телеги.
Это — разные сущности.
Это не мошенники, а название у них такое ещё до официального Passport было, если я не ошибаюсь. Суть в том, что с помощью того ресурса можно замутить себе на сайте/в приложухе логин через телегу и всё. Ни о каких конфиденциальных данных (типа паспорта и других документов) речи не идёт.
No, we are not affiliated with Telegram and Telegram team. But we use an official bot API and don't violate Terms of Service or any other rules.
Но в последнее время лень двигает прогресс куда то не туда…
При условии что Дуров не связан с ФСБ. Что не доказаноА это вообще доказуемо? Связи Дурова с ФСБ — это такой чайник Рассела. Невозможно доказать, что их нет.
Связать аккаунт в интересуемом сервисе с личностью его владельца.
Т.е. если раньше в каждому случае, для каждого сервиса спецслужбам любого госсударства необходимо было бы обращаться к каждому по отдельности (юридически и бюрократически сложно, но не невозможно, само собой), то после внедрения централизованного сервиса хранения типа этого Telegram Passport — достаточно спросить только их.
ФСБ может запросить, Телеграмм Паспорт не сможет выполнить их запрос.
Как следствие в сети появятся новые статьи про суды и блокировки.
Так же не стоит обделять вниманием внедрение в перспективе функции подтверждения статуса пользователя без передачи его персональных данных.
Но.
ВК — по дизайну и возможностям лучшая социальная сеть. Гораздо удобнее чем ФБ и для пользователей и для разработчиков, использующих API
Телеграм — по возможностям и функционалу — гораздо удобнее, чем подавляющее большинство мессенджеров. К Клиенту у меня есть претензии, и отмазка «API открыт пишите свой клиент» меня не слишком радует. Но продукт однозначно качественный.
На фоне этого к еще одному сервису Passport от телеграм возникает уважение больше, чем к некоторым «официальным государственным» онлайн сервисам. Просто потому что верится, что Дуров умеет создавать технически качественные продукты.
По сути, они запустили сервис по автоматическому заполнению форм. Ну или что-то вроде парольницы. Как автозаполнение в браузере, но через API. Еще, помимо стандартных полей, они добавили поля для картинок, в которые пользователь должен залить сканы своих документов (или фото котиков). Не могу понять зачем все это нужно кому-то, кроме самого Телеграма. Нет же никакой верификации этих данных.
Из полезностей: они могу верифицировать номер телефона (через СМС) и почтовый ящик (через письмо) — это может быт выгодно каким-то совсем мелким сервисам и сайтикам, которые хотят сэкономить на СМС-ках.
Мне кажется, не стоит рассматривать этот сервис как что-то выдающееся в том виде каком его представили сейчас. Нужно смотреть что они выкатят дальше.
… каких-либо упоминаний о TON или хранении информации в блокчейне в релизе нет.
Ну, кое-какие упоминания по ссылке из статьи все-таки есть:
In the future, all Telegram Passport data will move to a decentralized cloud.
В России это — провайдеры, ОПСОСы, РЖД, авиакомпании и далее. И в договорах со всеми есть пункт в котором вы разрешаете передавать данные третьим лицам. Даже «Госуслуги» и те предоставляются ПАО «Ростелеком», то есть вы отдаете вообще все о себе сторонней конторе с очень плохой репутацией.
Извините, но доверия к Дурову и его команде на порядок больше, чем ко всем упомянутым организациям.
И подобные механизмы либо реализуются in-house либо отдаютьс 3 сервисам (как например sumsub.com)
Telegram защел на этот рынок только и всего
Да. Комментаторы почему-то решили что Телеграм нацелился на рынок СНГ, хотя Дуров неоднократно заявлял обратное. И поэтому пытаются судить из своих реалий. Хотя, нужно смотреть на это с точки зрения жителей западных стран. Там, народ, конечно тоже беспокоится о приватности, но такой паранойи по поводу шаринга фотографии своего ИД у них нет и близко.
Telegram представил собственный сервис Passport для верификации и авторизации пользователей