zharkevich.ru
Нет телеграма — нет фитнеса

Нет телеграма — нет фитнеса

· 9 мин чтения

Сегодня на фитнесе столкнулись с проблемой. Для входа в клуб Royal Gym нужно показать QR-код из приложения. В этом приложении нужно авторизоваться по своему номеру телефона, и сделать это можно только через телеграм-бот. Ни SMS, ни почту использовать нельзя.

Я у себя авторизовался давно, потому что не особо переживаю о приватности. А вот у сына ситуация другая. Он из соображений безопасности и сохранения приватности не использует Телеграм и другие мессенджеры на своём номере. Это его принципиальная позиция, и он уверен, что это единственный правильный подход к личным цифровым данным в современном мире. Возможно, кто-то скажет, что это юношеский максимализм, но на самом деле я его позицию уважаю и поддерживаю. Сам, к сожалению, уже не могу скрыть свои данные из интернета, поэтому действую более свободно, хотя и сохраняю осторожность.

Раньше можно было добавить карту клуба в Wallet на iPhone, и это было удобно. Сын, например, часами от Apple разблокировал свой шкафчик — QR-код из Wallet можно открыть с часов. Но после запуска приложения использование карты в Wallet заблокировали. И сегодня вопрос авторизации стал камнем преткновения.

Сын отказался ставить телеграм и передавать свои данные боту для авторизации. Девушки-администраторы, а потом и директор клуба объясняли, что другого варианта прямо сейчас нет. Несмотря на явно конфликтную ситуацию, я был приятно удивлён, насколько профессионально общался директор клуба Александр Бушуев. Вежливо, деликатно. И это при том, что с моим сыном очень сложно дискутировать, не улетая в эмоции. Мне вот безумно трудно, я не выдерживаю и срываюсь. Что уж говорить про посторонних людей.

Послушав пререкания, я предложил заменить номер сына на свой дополнительный, поставил на телефон себе Telegram X, зашёл в него под этим номером и авторизовал приложение на телефоне сына. Вопрос был решён, но осадок у меня остался. И связан он не с клубом, а с подходом, который, к большому моему сожалению, выбирают во многих организациях.

Дело в том, что по непонятным для меня причинам зачем-то была выбрана довольно сложная и спорная функция авторизации через стороннюю платформу. То есть данные клиента клуба (номер телефона как минимум) передаются телеграм-боту. Зачем? А чтобы подтвердить, что этот клиент действительно владеет номером телефона. Хотя, откровенно говоря — не владеет, а использует этот номер на своём устройстве. Реального владельца, на которого номер зарегистрирован, никто не проверяет.

Но тут возникает два вопроса:

  • почему нельзя подтвердить владение номера через SMS-код или звонок по номеру?
  • зачем вообще понадобился номер телефона и почему нельзя было просто генерировать уникальный логин и одноразовый пароль для первого входа в приложение, а потом, к примеру, дать возможность подключить TOTP, то есть авторизацию через генератор кодов типа Яндекс Ключа?

Действительно, платить за каждую SMS с кодом или звонок робота для клуба может выйти накладно (5 рублей за SMS умножим на 4000 клиентов, получим 20 тыс. рублей). Но чем плоха схема с логином и паролем? Которая, к тому же, избавит от необходимости хранить и обрабатывать ПДн — персональные данные клиентов — в соответствии с требованиями закона № 152-ФЗ. Или если не избавит, то точно упростит их обработку.

Ставка на авторизацию через Telegram уязвима ещё по одной причине. Заместитель председателя Совета по развитию цифровой экономики при Совете Федерации Артём Шейкин 21 января 2026 года, комментируя проблемы с загрузкой видео в Telegram, сказал следующее:

«Роскомнадзор последовательно применяет меры в отношении интернет-сервисов, нарушающих законодательство РФ. Иностранные мессенджеры используются для организации и проведения террористических актов на территории России, для мошеннических и иных преступлений против граждан нашей страны. Telegram не выполняет требования, направленные на предупреждение и пресечение совершения преступлений на территории РФ. В связи с этим с августа 2025 года поэтапно вводились ограничительные меры в отношении данного мессенджера: не „проходят" аудио- и видеозвонки, отчасти замедляется передача медиафайлов»

В пресс-службе Роскомнадзора назвали информацию, представленную Шейкиным, «исчерпывающей».

Если ориентироваться на ситуацию с «незаблокированным» официально в РФ YouTube, которым невозможно пользоваться без VPN, можно прогнозировать дальнейшую деградацию функциональности Telegram c высокой вероятностью. Особенно учитывая титанические усилия властей по переманиванию аудитории из Telegram в госмессенджер Max.

Проблемы авторизации через сторонние сервисы

Вообще, авторизация через сторонние сервисы — будь то Telegram, ВКонтакте, Яндекс, Google или Apple — стала настолько привычной, что мало кто задумывается о последствиях. Нажал кнопку, разрешил доступ — и ты в системе. Удобно. Но удобство здесь — обратная сторона рисков, которые многие недооценивают.

Когда вы авторизуетесь через OAuth (а именно этот протокол лежит в основе большинства таких механизмов), происходит следующее: стороннему сервису передаётся токен доступа, который позволяет получить определённые данные о вас. В случае с Telegram-ботом это как минимум ваш номер телефона и идентификатор в системе. В случае с соцсетями — имя, фото, email, иногда список друзей и другие данные профиля.

И здесь возникает первая проблема: вы передаёте свои данные не одному сервису, а сразу двум — и тому, куда вы входите, и тому, через который авторизуетесь. Причём второй сервис получает информацию о том, какими приложениями вы пользуетесь.

Реальные кейсы: когда удобство оборачивается катастрофой

Может показаться, что угрозы надуманы. Но статистика говорит об обратном.

В 2024 году команда Cybernews обнаружила архив MOAB («Мать всех утечек») — 26 миллиардов записей с логинами и паролями пользователей. В июне 2025 года была найдена ещё более масштабная база — 16 миллиардов профилей, включая данные пользователей Telegram, Google, Apple, Facebook и десятков других сервисов. По данным исследователей, большая часть информации была похищена вредоносным ПО, ворующим учётные данные.

В России ситуация не лучше. По данным Роскомнадзора, в 2024 году зафиксировано 135 случаев утечек баз данных, содержащих свыше 710 миллионов записей о гражданах. Число жертв утечек выросло на 490% по сравнению с 2023 годом.

Отдельная история — атаки через OAuth. В 2024–2025 годах группировка ShinyHunters систематически эксплуатировала уязвимости в реализациях протокола OAuth, компрометируя крупнейшие компании мира. Схема была изящной: злоумышленники создавали OAuth-приложения с названиями вроде «Data Loader» или «Security Compliance Tool», а затем через социальную инженерию убеждали сотрудников компаний авторизовать эти приложения.

В августе 2025 года через скомпрометированную OAuth-интеграцию сервиса Drift (чат-бот для продаж) были взломаны Salesforce-аккаунты более 700 организаций. Среди пострадавших — Palo Alto Networks, Cloudflare, Zscaler, Proofpoint и другие гиганты кибербезопасности. Ирония в том, что компании, специализирующиеся на защите данных, сами стали жертвами атаки через сторонний сервис авторизации.

Что касается Telegram-ботов — здесь своя специфика. По данным DLBI, с января по сентябрь 2025 года владельцы ботов для «пробива» выкупили эксклюзивно не менее 20–25 утечек баз данных. Эти данные затем перепродавались конечным пользователям. В ноябре 2025 года был задержан владелец бота Userbox — одного из крупнейших сервисов по «пробиву» личных данных россиян.

Кибернегодяи, как метко называют их в «Лаборатории Касперского», часто используют Telegram-боты вместо фишинговых сайтов. Пользователи ошибочно считают среду Telegram безопасной и охотнее вводят свои данные в ботах, чем на незнакомых веб-страницах.

Трансграничная передача данных: юридический аспект

Теперь о том, о чём многие предпочитают не думать, — о законодательстве. Серверы Telegram находятся за пределами России. Это означает, что при авторизации через Telegram-бота происходит трансграничная передача персональных данных.

С 1 июля 2025 года вступили в силу поправки к Федеральному закону № 152-ФЗ «О персональных данных», которые существенно ужесточают правила. Новая редакция части 5 статьи 18 устанавливает прямой запрет на использование зарубежных баз данных при первичном сборе персональных данных граждан РФ. Любая информация — имя, телефон, email — должна сначала сохраняться на серверах в России. Только после этого допустима трансграничная передача.

Более того, оператор персональных данных обязан уведомить Роскомнадзор о намерении осуществлять трансграничную передачу до начала такой деятельности. Это отдельное уведомление, не связанное с общим уведомлением об обработке персональных данных.

Как это относится к фитнес-клубу? Напрямую. Когда клиент авторизуется через Telegram-бота, его номер телефона передаётся на серверы Telegram, расположенные за рубежом. По букве закона это может квалифицироваться как трансграничная передача персональных данных с использованием иностранной базы данных для первичного сбора.

Штрафы за нарушения — до десятков миллионов рублей. С 30 мая 2025 года штраф за отсутствие регистрации в реестре Роскомнадзора вырос до 300 тысяч рублей. А в декабре 2024 года были введены оборотные штрафы — от 1% до 3% годового оборота компании, но не менее 25 миллионов рублей.

Конечно, регуляторы пока не занимают радикальную позицию и не требуют отключать все зарубежные сервисы. Но тенденция очевидна: требования ужесточаются, а контроль усиливается. И строить бизнес-процессы на сервисах, находящихся под санкционным давлением со стороны регулятора (вспомним замедление Telegram), — решение как минимум недальновидное.

Альтернативные способы авторизации

Что можно было бы сделать вместо привязки к Telegram? Вариантов достаточно.

Классическая схема с логином и паролем. Да, это «прошлый век», но он работает. Клуб генерирует уникальный логин (например, номер договора или случайную строку) и одноразовый пароль при заключении договора. Клиент входит в приложение и меняет пароль на свой. Никаких сторонних сервисов, никакой трансграничной передачи данных. Если клиент забыл пароль — сбросить его можно лично на стойке регистрации, предъявив документ.

TOTP — одноразовые коды по времени. Это те самые шестизначные коды, которые генерируют приложения вроде Google Authenticator, Яндекс Ключ или Aegis. Алгоритм TOTP (RFC 6238) не требует передачи данных куда-либо — код генерируется локально на устройстве пользователя на основе секретного ключа и текущего времени. Клуб один раз передаёт клиенту QR-код с секретом (например, при заключении договора), и дальше никакие сторонние сервисы не нужны.

WebAuthn и Passkey. Это современный стандарт беспарольной аутентификации, одобренный консорциумом W3C и поддерживаемый всеми основными браузерами и операционными системами. Пользователь регистрирует своё устройство (смартфон, ноутбук) один раз, а затем входит в систему через Face ID, Touch ID или PIN-код устройства. Никаких паролей, которые можно украсть. Никаких кодов, которые можно перехватить. По данным CanIUse, WebAuthn поддерживается у более чем 95% пользователей.

В отличие от TOTP, WebAuthn обеспечивает защиту от фишинга: протокол включает доменное имя сайта в процесс аутентификации, поэтому поддельный сайт не сможет получить валидный токен.

QR-код в Wallet. Собственно, то, что уже было реализовано в клубе и прекрасно работало. Статический QR-код, привязанный к номеру договора или членства, который хранится в Apple Wallet или Google Pay. Не требует интернета для показа, не требует авторизации в приложении для базовой функции — прохода в клуб.

Физическая карта или браслет. Старомодно, но надёжно. Никаких данных никуда не передаётся. Потерял — заблокировал на стойке, получил новую. Работает при любых санкциях, замедлениях и отключениях интернета.

Выводы

Ситуация с авторизацией в фитнес-клубе — частный случай более широкой проблемы. Бизнес охотно перекладывает ответственность за идентификацию клиентов на сторонние платформы, не задумываясь о последствиях.

При этом:

  1. Риски безопасности ложатся на клиента. Если Telegram взломают, если произойдёт утечка данных, если бот окажется фишинговым — проблемы будут у пользователя, а не у бизнеса.

  2. Риски доступности игнорируются. Сегодня Telegram работает, завтра — замедляется, послезавтра — блокируется. И что тогда? Массовый перевыпуск авторизаций? Экстренная разработка альтернативного входа?

  3. Юридические риски недооцениваются. Требования 152-ФЗ ужесточаются. То, что сегодня находится в серой зоне, завтра может стать основанием для многомиллионных штрафов.

  4. Права клиента отодвигаются на второй план. Человек, который по каким-либо причинам не хочет использовать Telegram (или не может — например, если у него кнопочный телефон), фактически лишается возможности пользоваться услугой. Это как минимум дискриминация.

Мой сын, конечно, максималист. Но его позиция имеет под собой рациональное основание. В мире, где утечки баз данных стали повседневностью, где номер телефона превратился в универсальный идентификатор для спамеров и мошенников, где государство методично закручивает гайки в отношении иностранных сервисов, — осторожность не паранойя, а разумная стратегия.

Бизнесу же стоит задуматься: так ли необходима привязка к сторонним платформам? Экономия на SMS-верификации или разработке собственной системы авторизации может обернуться куда большими издержками — репутационными, юридическими и операционными.

Хорошая новость состоит в том, что директор клуба пообещал передать обратную связь разработчикам приложения. Надеюсь, альтернативные способы авторизации появятся. Ну а пока мы обошлись костылём с дополнительным номером телефона и запасным Telegram-аккаунтом.

Предыдущий пост Следующий пост
Наверх