Албурову и Козловскому пришли сообщения, что в их аккаунты кто-то зашел с IP-адреса в Нью-Йорке — в обоих случаях был указан один и тот же адрес. Взлом произошел в три часа ночи.

Албуров опубликовал скриншот, на котором показано, что вход в его аккаунт был произведен с клиента TelegramCli, указанном на сайте Telegram как неофициальный. Его разработкой занимался выпускник матмеха Санкт-Петербургского государственного университета Виталий Вальтман.

После попытки зайти в Telegram с нового устройства на мобильный номер, к которому подключен аккаунт, приходит SMS-сообщение с кодом, который надо ввести на входе. Код также приходит в мессенджер на устройстве, с которого уже выполнен вход. Однако Албуров и Козловский сказали, что не получали сообщений с кодом ни в виде SMS, ни в мессенджере.

Козловский усомнился в том, что вход в аккаунт был совершен через дубликат SIM-карты, поскольку его карта продолжает работать — в прошлом году таким образом были взломаны телефоны сотрудников «Новой газеты». В личном кабинете Албурова на сайте МТС не активирована переадресация SMS-сообщений, рассказал оппозиционер порталу TJournal. Он попросил Telegram объяснить произошедшее.

В поддержке Telegram Албурову сказали, что в аккаунт вошли через код, отправленный в SMS, но сам Албуров этот код не получил, потому что кто-то временно отключил на его SIM-карте сервис доставки сообщений — такую информацию мессенджер получил от МТС.

Владислав Здольников, сотрудничающий с ФБК, считает, что Федеральная служба безопасности спланировала взлом аккаунтов вместе с МТС. По его версии, оператор отключил прием SMS на SIM-картах в телефонах оппозиционеров, а хакеры получили коды от Telegram на дубликаты карт в других телефонах. «Либо непосредственно на SMS-шлюзе МТС (что вероятнее), после чего обратно включает получение SMS на SIM хозяина», — написал Здольников в своем канале в Telegram. Здольников полагает, что владельцы аккаунтов не получили коды в сам мессенджер из-за того, что хакеры удалили их после входа. Основатель Telegram Павел Дуров в разговоре с TJournal согласился с версией о получении кодов через дубликаты карт, но пообещал уточнить детали позднее.

В апреле несколько журналистов заявили о получении сообщения от Google о попытке взлома их почтовых аккаунтов спецслужбами. Уведомления получили сотрудник Центра по исследованию коррупции (OCCRP) Роман Шлейнин, который писал о «панамских документах», и журналист Олег Кашин. В сентябре 2015 года журналисты «Новой газеты» сообщили, что их почтовые ящики взломали через выпуск SIM-карт МТС и «Билайна» по поддельным документам. Однако в этом случае карты выпускались тогда, когда журналисты ими не пользовались. При изготовлении дубликатов старые карты блокировались.