2 апреля 2026 года стало известно о критической уязвимости в неофициальном клиенте Telegram Nekogram, который передавал конфиденциальные данные пользователей. Эксперты обнаружили в коде бэкдор, скрытый в файле Extra.java, который отправлял данные о привязке аккаунта к номеру телефона на бот @nekonotificationbot. Разработчик Nekogram, предположительно Фан Ли, признал факт сбора данных, заявив: «Это именно то, на что это похоже; это то, что есть». Однако он отрицал передачу данных третьим лицам и хранение информации, хотя доказательства этого отсутствуют. Другой источник, OSINT-бот TgDB, признал, что его использует Nekogram в автоматическом режиме для поиска имен пользователей без ведома владельца бота. Ранее сообщалось, что функция деанонимизации использовалась только для китайских номеров, но теперь применяется ко всем. В ответ Telegram внедрил предупреждение о использовании неофициальных клиентов. Также упоминается, что другой клиент «Телега» использует сервера ВК для слежки.