Considerazioni di sicurezza sui bot e chatbot di Telegram: dati, metadati e privacy di mail, numero di telefono, posizione geografica, ecc

1. TELEGRAM BOT
CONSIDERAZIONI DI SICUREZZA

2. 2
NOTA DI
RISERVATEZZA
Le informazioni, i dati e le immagini contenuti in questo documento
sono strettamente confidenziali e riservati, di proprietà di Soft Strategy.
Sono disponibili esclusivamente per i destinatari diretti del documento,
non possono essere copiati in alcuna forma nè in toto nè in parte e
non sono divulgabili a terzi in alcuna forma nè in toto nè in parte,
senza il consenso scritto dell’Ufficio Marketing Soft Strategy. I loghi di
terze parti (es. partner, clienti, ecc.) sono da considerarsi indicativi.

3. 3
TELEGRAM

4. 4
I CLIENTDISPONIBILI
APPMOBILI
• Android
• iPhone &
• Client non
ufficiali
DESKTOP
• Window
• Linux
• MacOS
• Client non
ufficiali
WEB
• Telegram
versione
• Plugin

5. 5
Tutti questi dati sono
modificabili dall’utente
ILPROFILO UTENTE
Immagine profilo
Nome utente
Numero di telefono
Bio
Username
Dati creati dai server di
Telegram
Userid

6. 6
INTERAZIONETRAUTENTI
Telegram cloud server
CHAT
Messaggio Risposta
DIETRO LE QUINTE
QUELLO CHE VEDE L’UTENTE DI TELEGRAM
Messaggio Risposta
MTPROTO

7. 7
I BOT
I bot su Telegram sono programmi automatizzati in grado di
svolgere compiti predeterminati all’intero di Telegram.
Sono creati da TERZE PARTI esterne a Telegram utilizzando le
API dei Bot e la piattaforma di Telegram.
Sono l’interfaccia testuale di un server esterno gestito e
mantenuto da un’azienda esterna a Telegram.

8. 8
INTERAZIONE CON I BOT
Telegram cloud server
CHAT
Comando Risposta
bot
DIETRO LE QUINTE
QUELLO CHE VEDE L’UTENTE DI TELEGRAM
Server bot
Comando
Risposta
bot
HTTPS
MTPROTO

9. 9
TELEGRAM E I DATI RESIDENTI SULLO SMARTPHONE
IOSANDROID
⦿ Contatti
⦿ Camera
⦿ Posizione
⦿ Microfono
⦿ Device ID & call information
⦿ Wi-Fi
⦿ Identità
⦿ Telefono (modello e versione di Android)
⦿ Archiviazione dati
⦿ Foto/Media/File
⦿ Ecc.

10. 10
TELEGRAM E I DATI DI SESSIONE
Esempio di dati di una
sessioni attiva
Log degli IP di collegamento
Dati come
• i metadati di sessione
• gli IP
• i log del cambio username
• ecc.
sono conservati in chiaro fino a 12 mesi
per ragioni di sicurezza ed antifrode di
Telegram stesso.

11. 11
TELEGRAM E I DATI RESIDENTI SULLO SMARTPHONE
Numeri di telefono della rubrica
Telegram
• salva tutti i numeri di telefono presenti nella rubrica del
telefono (se autorizzato dalle configurazioni del telefono)
• li mantiene in cloud anche se eliminati dalla rubrica del
telefono
• li utilizza per segnalare all’utente se un suo contatto ha
Telegram o ne segnala una successiva attivazione.

12. 12
BOT E I DATI CONTENUTI NELLACOMUNICAZIONE
Log delle chat tra utenti
complete di dati e metadati
• Telegram conserva questi dati su cloud e li condivide con tutte le sessioni attive legate allo stesso numero di telefono
• Sono conservati cifrate, ma con chiave di cifratura conservata lato server
• I client standard non danno la possibilità di aggiungere un layer extra di cifratura delle chat, on top alla comunicazione
Telegram
Log delle chat tra utente e bot
complete di dati e metadati

13. 13
TERMINI DI SERVIZIO E PRIVACY
⦿ I dati raccolti dal client Telegram (numero di telefono,
IP, device e app utilizzati dall’utente per chattare, log
degli username utilizzati, ecc.) sono conservati per un
massimo di 12 mesi
⦿ I dati sono raccolti per il funzionamento delle chat e a
scopo antifrode/sicurezza
⦿ Nessun si effettua profilazione a scopo pubblicitario
⦿ I dati dei cittadini europei sono conservati in
datacenter in Olanda
⦿ Un account può essere eliminato dall’utente o si
autodistrugge se non ci sono accessi per almeno 6
mesi
POLICY DI PRIVACYTERMINI DI SERVIZIO
Terms of Service
By signing up for Telegram, you accept our Privacy Policy and
agree not to:
⦿ Use our service to send spam or scam users.
⦿ Promote violence on publicly viewable Telegram channels,
bots, etc.
⦿ Post illegal pornographic content on publicly viewable
Telegram channels, bots, etc.
⦿We reserve the right to update these Terms of Service later
⦿Citizens of EU countries and the United Kingdom must be at
least 16 years old to sign up.
Law Enforcement Authorities
If Telegram receives a court order that confirms you're a terror suspect, we may disclose your IP address and phone number to the relevant
authorities. So far, this has never happened.

14. 14
TELEGRAM: L'AZIENDA
Where is Telegram based?
The Telegram development team is based in Dubai.
Most of the developers behind Telegram originally come
from St. Petersburg, the city famous for its
unprecedented number of highly skilled engineers.
The Telegram team had to leave Russia due to local IT
regulations and has tried a number of locations as its
base, including Berlin, London and Singapore.
We’re currently happy with Dubai, although are ready to
relocate again if local regulations change.
WHEREWHO
Who are the people behind Telegram?
Telegram is supported by Pavel Durov and his brother
Nikolai.
Pavel supports Telegram financially and ideologically
while Nikolai's input is technological. T
o make Telegram possible, Nikolai developed a unique
custom data protocol, which is open, secure and
optimized for work with multiple data-centers.
As a result, Telegram combines security, reliability and
speed on any network.

15. 15
⦿ Utile per fornire ai propri clienti
informazioni sul proprio stato,
richiesta pagamento bollette,
prenotazione riunioni, raccolta
segnalazioni ecc.
⦿ Non è l’unico canale disponibile
ed è quindi plausibile che sia
semplicemente il modo che
permette a chi ha già Telegram di
interagire con l’azienda
BUSINESS TO
CONSUMER
USE CASE
EMPLOYER TO
EMPLOYEE
BUSINESS TO
BUSINESS
⦿ Utile per fornire ai propri
dipendenti accesso a dati come
consultazione dati personali,
residuo ferie, richieste permessi,
prenotazione sale incontri, ecc.
⦿ Viene offerto un nuovo canale per
interagire con l’azienda. E'
plausibile che grazie alle
funzionalità particolari possa
attirare nuovi utenti ad utilizzare la
piattaforma Telegram
⦿ Utile per fornire ai propri fornitori
informazioni sul proprio stato,
richiesta di ordini, raccolta
segnalazioni ecc.
⦿ Non è l’unico canale disponibile
ed è quindi plausibile che sia
semplicemente il modo che
permette a chi ha già Telegram di
interagire con l’azienda

16. 16
CONTROLLO DEGLIACCESSIAI BOT
Nessuno controllo (sconsigliato!)
Verifica numero di telefono / userid utente tramite riscontro con database interno
Username / password e verifica con un database interno
Verifica dei dati cliente con un database interno
One Time Password
Altra forma di verifica implementabile lato server Bot

17. 17
EMPLOYERTO EMPLOYEE
⦿ La creazione di canali e Bot
spinge i propri dipendenti ad
utilizzare Telegram per
comunicare con l'azienda
⦿ Questo fenomeno allarga la base
di dati di sessione forniti a
Telegram, anche a quelli del
personale aziendale
Telegram se obbligato (es.
FF.OO, ecc.) potrebbe dover
accedere a dati, per es. di
geolocalizzazione dei dipendenti
dell’azienda, ecc.
DATI SU SMARTPHONE DATI DELLA COMUNICAZIONEDATI DI SESSIONE
⦿ La creazione di canali e Bot
spinge i propri dipendenti ad
utilizzare Telegram per
comunicare con l'azienda
⦿ Questo fenomeno allarga la base
di dati di varia natura residenti sui
telefoni e resi disponibili a
Telegram
Telegram se obbligato (es.
FF.OO, ecc.) potrebbe dover
accedere a dati, per es. di foto
dei dipendenti dell’azienda,
rubriche, ecc.
⦿ Telegram conserva in modalità
cifrata i log delle comunicazioni, i
comandi e gli allegati scambiati tra
utente e Bot
⦿ Telegram detiene le chiavi di
decifratura
Telegram se obbligato (es.
FF.OO, ecc.) potrebbe dover
accedere a dati delle
comunicazioni tra dipendenti ed
azienda

18. 18
BUSINESSTO CONSUMER
⦿ Invoglia il cliente ad utilizzare
questo canale per interagire con
l’azienda …
⦿ … anche se Telegram è già in
possesso di molti dati dei clienti
dato che già lo stanno utilizzando
Telegram se obbligato (es.
FF.OO, ecc.) potrebbe dover
accedere a dati, per es. di
geolocalizzazione dei clienti, ecc.
DATI SU SMARTPHONE DATI DELLA COMUNICAZIONEDATI DI SESSIONE
⦿ La creazione di canali e Bot
spinge i i clienti ad utilizzare
Telegram per comunicare
allargando la base di dati
"consumer" forniti a Telegram
Telegram se obbligato (es.
FF.OO, ecc.) potrebbe dover
accedere a dati, per es. foto,
rubriche, ecc.
⦿ Conserva i log chi parla con chi
(anche bot)
⦿ Conserva in modalità cifrata i
contenuti scambiati e ha le chiavi
di decifratura
Telegram se obbligato (es.
FF.OO, ecc.) potrebbe dover
accedere a dati delle
comunicazioni tra cliente ed
azienda, inclusi dati personali,
sensibili, identificativi, ecc.

19. 19
BUSINESSTO BUSINESS
⦿Telegram ottiene dati ulteriori
sull’azienda, sui fornitori e sui
relativi dipendenti
⦿Vengono consegnate informazioni
dirette ed indirette a Telegram
Telegram se obbligato (es.
FF.OO, ecc.) potrebbe dover
accedere a dati, per es. di
geolocalizzazione dei clienti, ecc.
DATI SU SMARTPHONE DATI DELLA COMUNICAZIONEDATI DI SESSIONE
⦿La creazione di canali e Bot
spinge almeno parte dei dipendenti
dei propri partner ad utilizzare
Telegram per comunicare
allargando la base di dati personali
forniti a Telegram
Telegram se obbligato (es.
FF.OO, ecc.) potrebbe dover
accedere a foto, rubriche dei
fornitori e dei dipendenti, ecc.
⦿ Conserva i log chi parla con chi
(anche bot)
⦿ Conserva in modalità cifrata i
contenuti scambiati e ha le chiavi
di decifratura
Telegram se obbligato (es.
FF.OO, ecc.) potrebbe dover
accedere a dati delle
comunicazioni tra fornitori ed
azienda, inclusi dati commerciali
e anche personali, sensibili,
identificativi, ecc. dei dipendenti

20. 20
Largo Angelo Fochetti, 30 - 00154
P +39 06 87 93 24 00
F +39 06 87 93 23 99
Via Copernico, 38 - 20125
P +39 02 87 25 98 49
www.softstrategy.it
info@softstrategy.it
ROMA MILANO WEB
GRAZIE!