Последнее время начали распространять довольно странный материал, примеров много но прикреплю один - https://www.group-telegram.com/innostage_group/2274
В чем суть, люди пишут о магическом эксплойте виджета телеграмм:
Суть атаки заключается по описанию в том что телеграм при логине через widget передает auth code через fragment как-то так:

https://web.telegram.org/#/login?auth_token=eyJhbGciOi...

И тут началось безумие, насколько я понимаю началось все с недавней статьи на хакере https://xakep.ru/2025/04/22/telegram-widget-bug/
Начнем с того что об этом упоминалась уже 11 месяцев назад в статье - https://lyra.horse/blog/2024/05/stealing-your-telegram-account-in-10-seconds-flat (Там кстати более реальный кейс атаки, но только при физическом доступе к устройству )

А теперь начнем с того как это начали раздувать, на примере того что выпустил Innostage:
1.

Мошенники создают специально подготовленные веб-сайты, содержащие
внедрённый JavaScript-код, который автоматически извлекает токен из
URL-адреса после перенаправления на web.telegram.org.

.
Без XSS на web.telegram.org вы не сможете получить fragment, а если у вас есть XSS на web.telegram.org, то существует более простые атаки, как минимум вы можете просто прочитать localStorage (Не перепроверял, но раньше telegram не хендлил проверку на то что сессия между устройствами перекинулась)

2.

Расширения, установленные в браузере пользователя, отслеживают все
посещаемые URL. При обнаружении параметра auth_token= происходит
автоматическое извлечение токена и его передача на сервер
злоумышленника.

Если расширение читает URL на который перешел пользователь, скорее всего у него просто есть возможность запускаться в контексте contentScript, следовательно он может просто выполнить те же самые действия что и в контексте XSS. Полезного тут мало.

3.

В незашифрованных или скомпрометированных сетях злоумышленники
используют MITM-атаки, прокси-перехват, DNS-спуфинг и другие методы
для анализа трафика и перехвата авторизационных токенов.

На web.telegram.org включен

Upgrade-Insecure-Requests: 1

Браузер будет пытаться всегда установить соединение через https, что уменьшает возможность атаки в публичных сетях. Ну и остальное тоже не очень релевантно, реально украсть аккаунт на расстоянии невозможно

4.

Заражённые приложения могут получить доступ к истории браузера,
системным логам или оперативной памяти, откуда извлекаются токены.

Тут тоже особо не добавляет новой поверхности атаки, при таком доступе и возможности чтения памяти, есть более простые вектора атак

5.

При краткосрочном несанкционированном доступе к разблокированному
устройству, злоумышленник может вручную открыть ссылку во
встроенном браузере Telegram и скопировать токен из адресной строки.

Действительно единственный рабочий сценарий, который однако требует физического доступа и просто упрощает атаку, а не вводит что-то новое.

В целом резюмирую. Из реальных векторов - упрощение атаки при физическом доступе к разблокированному устройству. Можно было бы наверное всем так писать, но к сожалению это не вызывало бы такого ажиотажа и классов в соц сетях
Не знаю зачем люди так делают, особенно компании. Но это хорошо показывает их уровень экспертизы
P.S. Советую заглядывать в таких случаях дальше хедера статьи, а не плодить панику у людей (особенно не связанных с ИБ) на пустом месте