Безопасность RESEARCH · 2026

Privacy в Telegram dating: что отдаёшь и что получаешь

Глубокий разбор приватности dating mini-apps в Telegram: какие данные получает приложение, что коррелируется через социальный граф, сравнение…

Автор: Денис Ким · ведущий исследователь · безопасность
Опубликовано: 20 мая 2026 г.

Содержание12разделов

Краткая модель: что передаётся при открытии mini-app
Что dating-приложение НЕ получает (если вы сами не дали)
Что приложение получает через анкету
Что приложение МОЖЕТ узнать косвенно
Сравнение с Tinder-классом приложений
Конкретные сценарии деанона
Где Telegram dating ПРИВАТНЕЕ Tinder
OPSEC-чеклист для Telegram dating
Дополнительные слои защиты
Что НЕ помогает (распространённые заблуждения)
Юридический контекст
Заключение

Знакомства внутри Telegram — растущая категория mini-apps. Dategram, Cupy-подобные сервисы и десятки локальных аналогов используют преимущество встроенной аудитории: миллиард активных пользователей, готовый identity-слой через Telegram-аккаунт, нативная UX. Цена этого удобства — другая модель приватности, не лучше и не хуже Tinder, просто другая. Разбираем, что именно вы отдаёте, что получаете взамен, и где честные риски.

Краткая модель: что передаётся при открытии mini-app

Любое Telegram mini-app получает при запуске структуру initData — это подписанный Telegram’ом блок с данными о пользователе. Минимальный набор:

Поле	Значение
`id`	Числовой ID пользователя Telegram (стабильный)
`first_name` / `last_name`	Имя и фамилия, как указано в профиле
`username`	Публичный username (если установлен)
`language_code`	Локаль клиента (ru, en и т.д.)
`photo_url`	URL аватара (в публичных случаях)
`is_premium`	Boolean: Telegram Premium активен или нет
`allows_write_to_pm`	Может ли бот писать в ЛС
`auth_date` / `hash`	Timestamp и HMAC для верификации серверной стороной

Эти данные приходят к mini-app автоматически — пользователь не подтверждает их передачу отдельно. Это не баг, это дизайн: открывая mini-app, вы согласились на этот объём идентификации.

Что dating-приложение НЕ получает (если вы сами не дали)

Здесь часто возникает путаница. Telegram Bot API и Mini Apps API строго ограничивают, что приложение может видеть:

Номер телефона — НЕ передаётся без явного нажатия на кнопку “Поделиться номером”.
Контактный список — НЕ передаётся вообще, никаким способом.
Список ваших каналов, чатов, групп — НЕ передаётся.
История сообщений — НЕ передаётся.
Геолокация — НЕ передаётся без явного нажатия на “Поделиться местоположением”.
Платёжные данные — НЕ передаются (платежи проходят через отдельный flow).

Если dating-приложение заявляет, что “находит вам матчей по общим интересам в каналах” — это либо маркетинговая ложь, либо вы сами разрешили это через отдельный механизм (например, через login с дополнительными scopes).

Что приложение получает через анкету

Помимо initData, приложение собирает то, что вы добровольно вводите:

Возраст / дата рождения — обычно обязательно, иногда передаётся в платёжный/возрастной фильтр.
Пол и предпочтения — структурированные поля.
Фотографии — загружаются на серверы приложения. Если приложение хранит их без шифрования или на публичных бакетах — это утечка ждёт случая.
Описание / интересы — текстовое поле, часто индексируется и используется для матчинга.
Местоположение (если разрешено) — обычно округляется до города, но точность зависит от приложения.
Verification photos (для anti-bot) — селфи или видео с движением головы. Самые чувствительные данные после biometric.

Что приложение МОЖЕТ узнать косвенно

Здесь начинается серая зона. Зная ваш Telegram id и username, приложение технически может:

Проверить публичный профиль через getChat(@username) Bot API — увидеть bio, фото, last seen (если открыто).
Найти ваши комментарии в публичных каналах — если приложение запускает скрапер по публичным каналам Telegram (вне API), это серая зона ToS, но технически возможно.
Скоррелировать с базами утечек. Ваш id Telegram — стабильный идентификатор. Если он засветился в утечке (например, чат-логи скам-каналов), приложение может это знать.

Большинство добросовестных dating mini-apps этим не занимаются. Но “большинство” — слабое утешение, когда речь о privacy.

Сравнение с Tinder-классом приложений

Категория риска	Tinder / Bumble	Telegram dating
Cross-platform ad tracking	Высокий (IDFA, GAID, fb_pixel)	Низкий (нет доступа к ad-ID устройства)
Доступ к контактам	По разрешению (часто требуется)	Нет
GPS-история	Постоянная, фоновая	Только при явном sharing
Social graph leakage	Низкий (отдельный аккаунт)	Высокий (username — общий идентификатор)
Утечки фото	Случались (e.g. Tinder 2020)	Зависит от mini-app
Деанон через утечку базы	По email/телефону	По Telegram ID (стабильный)
Удаление аккаунта	Часто soft-delete с retention	Зависит от mini-app, GDPR в EU
KYC/верификация	Часто (Match Group)	Обычно нет

Грубо: Tinder лучше изолирует ваш dating-профиль от остальной digital identity, но хуже по отслеживанию вне приложения. Telegram наоборот — нет cross-app tracking, но всё привязано к одному username, который вы используете и для рабочих чатов.

Конкретные сценарии деанона

Что реально может пойти не так:

Реверс-поиск по фото. Любой собеседник может прогнать ваше фото через Google Lens / Yandex Images и найти ваш Instagram / LinkedIn. Это работает в обе стороны независимо от платформы.
Поиск по username. Если вы используете один и тот же @username в Telegram и в публичных профилях (GitHub, Twitter), один матч может вас полностью деанонимизировать.
Утечка с серверов приложения. Photos, chat-логи, geo-история — всё это лежит у оператора mini-app. Качество хранения варьируется от “AWS с шифрованием” до “PostgreSQL на дешёвом VPS без бэкапов”.
Корреляция через is_premium, language_code, активные часы. Если у вас редкий язык интерфейса и нетипичный паттерн активности, вы становитесь уникальным даже без username.
Скам через подделку профиля. Кто-то клонирует ваше публичное фото, создаёт фейк-аккаунт, использует Telegram dating для социальной инженерии ваших знакомых.

Где Telegram dating ПРИВАТНЕЕ Tinder

Не всё так мрачно. В нескольких аспектах Telegram-формат объективно лучше:

Нет ad-ID. Mini-app не имеет доступа к IDFA/GAID, не может встроить FB Pixel, не делится событиями с Meta/Google рекламными сетями.
Нет привязки к биометрии устройства. Не нужно Face ID / Touch ID — нет данных для утечки.
Нет email. Регистрация без отдельного email-аккаунта — меньше точек утечки.
Можно создать второй Telegram-аккаунт на отдельный номер (виртуальный SIM или eSIM) и использовать только для знакомств. Это формальная сегрегация identity.
Меньше скрытых пушей. Mini-app не работает в фоне, не дёргает геолокацию пока вы спите.

OPSEC-чеклист для Telegram dating

Если вы цените приватность, но хотите использовать dating mini-apps:

Создайте отдельный Telegram-аккаунт на виртуальный номер (Mobile, eSIM-сервис, anonymous SIM). Никогда не используйте основной номер.
НЕ устанавливайте username на этот аккаунт. Без username деанон через публичный поиск резко усложняется.
Отключите ‘forward privacy’: Settings → Privacy → Forwarded Messages → My Contacts (или Nobody). Тогда пересылки не покажут ссылку на ваш профиль.
Скройте номер телефона: Settings → Privacy → Phone Number → Nobody.
Используйте фото, которых нет в других ваших профилях. Сделайте свежие фото специально для dating, не используйте те, что есть в Instagram/LinkedIn.
Не давайте номер телефона приложению через “Поделиться номером” без необходимости.
Read terms. Особенно retention policy — что происходит с фото после удаления аккаунта.
Проверьте, есть ли у приложения GDPR-procedure удаления данных, если вы в EU.
Не связывайте dating-аккаунт с криптокошельком через TON Connect. Это создаёт цепочку идентификации.
Будьте внимательны к скам-схемам. Top-категория скама в Telegram dating 2025–2026 — “девушка просит депозит на TON-кошелёк для подтверждения встречи” или “инвестируй со мной”.

Дополнительные слои защиты

Для пользователей с повышенными требованиями:

Отдельное устройство. Старый Android-телефон только для dating-аккаунта, без основной почты, без рабочих приложений.
VPN на этом устройстве. Скрывает IP-адрес от mini-app (но не помогает против Telegram ID).
Watermark на фото. Невидимая метка через perceptual hashing — если фото утечёт, можно отследить источник.
Регулярная ротация фото. Раз в 2-3 месяца меняйте фото в анкете. Старые набирают reverse-search-индекс.

Что НЕ помогает (распространённые заблуждения)

“Я в incognito-mode браузера” — mini-app не работает в браузере, это нерелевантно.
“Я через VPN” — VPN скрывает IP, но не Telegram id. Приложение всё равно знает кто вы.
“У меня anonymous-аватар” — id стабилен, аватар не имеет значения для идентификации со стороны приложения.
“Я удалил аккаунт” — данные могут оставаться у оператора согласно retention policy. Удаление = soft-delete + период хранения.

Юридический контекст

В РФ нет специфичной регуляции dating-приложений (152-ФЗ “О персональных данных” применяется в общем порядке). В ЕС — GDPR с правом на удаление и портативность данных. В США — лоскутная регуляция по штатам (CCPA в Калифорнии).

Реальная проблема — что оператор mini-app часто находится в третьей стране, и enforcement transboundary правил приватности занимает годы. Практически — рассчитывайте только на технические меры, не на правовые.

Заключение

Privacy в Telegram dating — компромисс с понятной картой. Приложение получает стабильный идентификатор, базовый профиль и анкету. Не получает контакты, чаты, ad-ID, ваше реальное местоположение без вашего ведома. Главный риск — не само приложение, а социальный граф через username и публичное фото. Управляется этот риск технически: отдельный аккаунт, без username, с уникальными фото.

Это рабочий компромисс, если вы понимаете границы. И это плохая идея, если вы используете dating с основного Telegram-аккаунта с публичным username, который знают коллеги и родственники.

Частые вопросы

Какие данные dating mini-app получает по умолчанию?

В минимуме — initData от Telegram: ID пользователя, имя, username (если есть), язык, фото профиля. Это передаётся автоматически при открытии mini-app. Дополнительно — то, что вы заполнили в анкете самого приложения (возраст, интересы, фото). Номер телефона и контактный список НЕ передаются без явного подтверждения через специальный диалог.

Может ли dating-приложение видеть мои каналы и чаты?

Нет, напрямую — нет. Bot API не даёт доступа к списку ваших каналов, диалогов или подписок. Но косвенно — да: если вы используете публичный username, любой желающий может собрать ваш публичный след вне приложения (комментарии в каналах, посты в публичных чатах).

Безопаснее ли Telegram dating, чем Tinder?

Зависит от модели угроз. По cross-platform tracking (ad-ID, GPS-история, рекламные сети) — да, Telegram приватнее, потому что mini-app живёт внутри одного приложения и не имеет доступа к рекламным идентификаторам устройства. По social graph leakage (риску, что собеседник найдёт ваш основной аккаунт через username) — нет, Telegram уязвимее, потому что username связывает все ваши активности.

Что произойдёт, если я дам приложению доступ к номеру телефона?

Приложение получит ваш номер в формате E.164. Это сильный идентификатор: его можно использовать для деанонимизации через утечки баз данных, поиска в WhatsApp/Signal по номеру, корреляции с другими сервисами. Давайте номер только если это абсолютно необходимо для функционала (например, верификация).

Можно ли использовать Telegram dating без раскрытия username?

Да. Если у вас не установлен публичный username — он не передаётся. Используйте 'invisible mode' для номера телефона и отключите 'forward privacy' в настройках Telegram, чтобы пересылки сообщений не показывали ссылку на ваш профиль.