Бот Telegram может удалять подписчиков без разрешения администратора

Старая уязвимость снова стала актуальной

После объявления о новых требованиях Роскомнадзора, обязывающих блогеров передавать права администратора Telegram-канала боту ведомства, пользователи вспомнили об одной давней, но так и не устранённой уязвимости мессенджера.

Любой бот, добавленный в Telegram-канал с минимальными административными правами, получает техническую возможность удалять подписчиков — в том числе самого владельца канала. Эта функция встроена в архитектуру Telegram и не имеет встроенных ограничений.

Почему это опасно

Добавление официального или стороннего бота фактически открывает доступ к аудитории канала. Если бот скомпрометирован или разработан недобросовестной стороной, он может одномоментно очистить список подписчиков, лишив владельца всего сообщества.

Запретить такие действия невозможно: Telegram не позволяет ограничивать конкретные права администрирования у ботов. Любой администратор канала, даже с ограниченным набором функций, технически имеет доступ к кнопке удаления участников.

Как защитить канал

Эксперты советуют для подстраховки создать собственного бота-наблюдателя, который будет отслеживать активность других администраторов и уведомлять владельца при массовом удалении подписчиков. Также рекомендуется хранить список аудитории и резервные контакты участников вне Telegram-экосистемы.

Пока Telegram официально не комментирует ситуацию и не вводит механизм избирательного контроля прав, владельцам каналов остаётся лишь полагаться на собственные меры предосторожности.

Редакция PavRC