О том, что был введен код из SMS мы знаем из сообщения от техподдержки Телеграмма.
Точнее, сотрудник техподдержки видит, грубо говоря, в логах "был вход по SMS".
Вот версия, которая все объясняет без теорий заговора и мифических спецлужб, перехватывающих недоставленные сообщения:
Уязвимость в системе аутентификации Телеграмма. Некорректная обработка ситуации, когда SMS с паролем не доставлена, что позволяет при этом всё равно успешно аутентифицироваться. С соответствующей записью в логах, естественно.
Для того, что бы воспользоваться уязвимостью, необходимо отключить приём SMS пользователем. Это можно сделать через веб-интерфейс управления услугами. Для этого надо либо подобрать пароль ( обычно он цифровой ) либо трояна посадить на комп, где был вход на веб-интерфейс.
Думаю, несложная работа для хакера средней руки.
ЗЫ: Ладно, уговорили. Хакеру Путин заплатил.