Двухфакторная авторизация в Telegram всё ещё-снова не работает

В конце мая этого года я писал Почему двухфакторная авторизация в Telegram не работает ^[1] (с картинками).
Позже, где-то через месяц после публикации, это случилось с Сергеем Пархоменко ^[2] — у него описанным образом угнали аккаунт.

После этого вроде как Telegram временно отключил возможность удаления защищённых двухфакторной аутентификацией профилей в мессенджере по коду из SMS ^[3].
Около двух недель назад я повторил свой майский эксперимент с угоном Telegram-аккаунта у самого себя — и всё снова получилось, точно так же, как и в прошлый раз ^[1].

Словом, состоянием на 18 августа 2016 года атака на защищённые двухфакторной авторизацией аккаунты снова успешно работает: атакующий, у которого есть доступ к SMS пользователя, может «переустановить» аккаунт, и для этого ему не нужно знать пароль:

На скриншоте видим результат того, что у собеседника угнали аккаунт, защищённый двухфакторной авторизацией, и написали сообщения от его имени.

То есть, если что, двухфакторная авторизация в Telegram на данный момент не работает.
Или снова — если эту возможность действительно тогда в июне отключали, или всё ещё — если никто этого и не делал.

Автор: g_i

Источник ^[4]