Colocando aqui o que tinha feito em tópico separado....
Estava vendo que muita gente não questiona a veracidade do que o Intercept divulgou.... vi gente falando da idoneidade do blogger, e que como ele é premiado não inventar nada, e que ele ainda usou gente para confirmar a veracidade dos dados (isso aconteceu em discussão no Twitter)
Como não acho nenhum lugar que vai mais a fundo sobre os vazamentos e tudo teem vies politico bem forte, eu tentei fazer minha própria analise sobre o caso com o que tenho em mãos, sou engenheiro de software focado mais nas plataformas iOS/macOS mas mesmo assim fui atrás do que conhece de Android e Telegram (plataformas afetas pelo vazamento) e tenho a teoria de como isso ocorreu.
Os sistema Android não um sistema de arquivos vivo (não é snapshot) e o seu Sandbox não é puro, permitindo que um app malicioso instalado por physing consiga acessar o contêiner de outras aplicações, já que o sandbox do Android tem suas limitações (tem um pouco também de como as APIs em Java foram implementadas)
Tendo acesso ao contêiner do aplicativo o hacker conseguiria acessar a base da dados do Telegram que é em SQLite... eu pesquisei e achei a seguinte estrutura no banco de dados do Telegram, primeira a tabela de usuários:
Depois a tabela de chats:
e a tabela de mensagens
Como vocês podem ver, pela estrutura das tabelas, não é muito difícil pegar usuários ja existentes e chats já existentes a acrescentar a sua versão na base de dados, o blob de mensagens não tem um hash para ser um chamado "source of truth" da tabela, eu não vi nenhum elemento que garanta e contabilidade dos dados desse Db e se isso que vazou dificilmente seria possível saber se os dados vazados são reais ou não...
Entretanto há uma tabela de media que tem documentos, videos e audios enviados
E pelo eu eu vi/ compreendi é possível cruzar o MID das mensagens da tabela de media com o MID da tabela de mensagens, se alguém adicionar coisas no meio, teria que ter o cuidado de reorganizar toda tabela de media e id de todas medias pra não sair da ordem (e isso tem efeito em cascata)...
Por um lado talvez por isso que não vazou nenhum audio ou media, pode ser que precisam distorcer os dados, para enganar o Intercept... isso claro sendo inocente em achar que o Intercept é so um divulgador "inocente" nisso, mas também se não for, isso pode servir pra provar que eles estavam mal intencionados.
Para provar a idoneidade o certo seria o Intercept abrir a base de dados inteira e se o hacker teve acesso o celular, melhor para provar que é verdade seria ter o contêiner inteiro do app, pois tem as pastas de media e se forjassem o ID na base de dados haveria conflito na informação dos arquivos de media, seja pelo metadados do arquivo, seja até por dados mais "profundos" do próprio arquivo (afinal um audio tem a hora que foi gerada) e ao criar mensagens no meio poderia haver conflito com a ordem de dados modificada.
Da forma que foi divulgado não da para ter certeza que os dados não foram comprometidos. Eu desconfio que o que vazou não tenha uma coisa aqui e ali para criar um fanfic que bate de frente com a narrativa.