صبح امروز کاربران در فضای مجازی با یک شوک بزرگ روز خود را آغاز کردند؛ لو رفتن اطلاعات ۴۲ میلیون کاربر پیامرسان تلگرام که شامل نام کاربری، شماره تلفن تماس و آیدی تلگرام بود. اطلاعاتی که اکنون زمزمههایی در مورد تعلق آنها به یک نهاد امنیتی و نظارتی داخلی شنیده میشود. این خبر را نیمه شب گذشته اولین بار وبسایت comparitech منتشر کرد. آنطورکه این وبسایت گزارش داده این اطلاعات روی یک دیتابیس نگهداری میشده و یک نسخه شخص ثالث یعنی نسخهای غیر از نسخه اصلی تلگرام منبع افشای این اطلاعات بوده است. در این گزارش آمده این اطلاعات روی یک سامانه به نام سامانه شکار بوده که به صورت ناخواسته منتشر شده است. سامانهای که هرچند از آن اطلاعاتی تایید شده در دسترس نیست ولی با توجه به نامگذاری امنیتیش یادآور سامانههای غیر رسمی نظارت بر رفتارهای کاربران است.
در واقع تا این لحظه هیچ اطلاعات رسمی در مورد سامانه شکار، کارایی آن و اینکه متعلق به چه فرد یا افرادی است یا چرا این اطلاعات روی آن نگهداری میشده وجود ندارد. ولی برخی از بررسیهای پیوست نشان میدهد که این سامانه احتمالا متعلق به یکی از نهادهای امنیتی بوده که صبح امروز (۱۲ فروردین) بعد از رخ دادن این اتفاق سرورهای خود را برای جلوگیری از نفوذ بیشتر سریعا خاموش کردهاند. بررسیهای بیشتر پیوست در مورد این موضوع نشان میدهد که اطلاعات جمعآوری شده این سامانه میتواند برای مجموعههایی کاربرد داشته باشد که به دنبال ردیابی کاربران در تلگرام هستند.
همچنین امیر ناظمی، معاون وزیر ارتباطات و رئیس سازمان فناوری اطلاعات نیز امروز ظهر در توییتی اعلام کرد که «سایت ادعا شده به نام شکار که در شرکت رسپینا میزبانی میشده، شناسایی شده است.» ناظمی در این توییت خود نوشته که اطلاعات و گزارش لازم در این زمینه برای رسیدگی قضایی به دادستانی ارجاع میشود. اشارهای تلویحی به اینکه دست کم در بازه فعلی وزارت ارتباطات خودش را مجاز به افشای جزییات بیشتر در مورد هویت مالکان اولیه اطلاعات نمیداند.
از سوی دیگر ابوالقاسم صادقی، معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات هم در گفتوگو با پیوست فرضیه نفوذ یا هک به این سامانه برای دسترسی به اطلاعات کاربران ایرانی تلگرام را بعید میداند و معتقد است این اطلاعات عمدی یا به خاطر یک سهلانگاری توسط فرد یا افرادی که این اطلاعات را نگهداری میکردند افشا شده است. کلید واژه سهلانگاری کلمه ای است که امروز بسیار از سمت مقامات وزارت ارتباطات تکرار شد. براساس اعلام کارشناسان امنیتی یکی از اثرات بارز لو رفتن این اطلاعات میتواند افزایش حملات فیشینگ از طریق نام کاربری و شماره افرادی باشد که اطلاعات آنها لو رفته است.
اطلاعات ۴۲ میلیون کاربری که لو رفت
اطلاعات منتشر شده از نام کاربری، آیدی و شماره تماس ۴۲ میلیون کاربر ایرانی تلگرام این بار هم توسط باب دیاچنکو، یک خبرنگار و محقق امنیتی آلمانی صورت گرفته است، فردی که فرودین سال گذشته نیز در خصوص درز اطلاعات میلیونی سفرهای کاربران ایرانی شرکت تاکسی اینترنتی «تپسی» خبر داده بود. اطلاعات لو رفته براساس گفتههای دیاچنکو در یکی از محافل هکری در معرض فروش قرار گرفته است. برخی گزارشهای کاربران در شبکههای اجتماعی نشان میدهد که این اطلاعات با قیمت بین ۵۰۰ تا ۲ هزار دلار به افراد مختلف فروخته شده است، دادههایی که پیش از حذف دستکن به مدت ۱۱ روز در معرض دید عمومی قرار داشتهاند تا در نهایت در ۶ فروردین حذف میشوند.
سخنگوی تلگرام در گفتوگویی که با وبسایت comparitech انجام داده گفته است که این دادههای منتشر شده از ۴۲ میلیون کاربر ایرانی تلگرام مربوط به یک نسخه غیر رسمی از تلگرام است. سخنگوی تلگرام در این گفتوگو اعلام کرده که با وجود تمامی هشدارهای این شرکت به کاربران ایرانی برای استفاده نکردن از نسخههای غیررسمی تلگرام آنها همچنان از آن استفاده کردهاند.
استفاده از نسخههای غیررسمی تلگرام مانند تلگرام طلایی و هاتگرام بعد از فیلتر این شبکه پیامرسان و اجتماعی در اردیبهشت سال ۱۳۹۷ بین کاربران ایرانی برای دور زدن فیلتر آن با استقبال بالایی روبهرو شد. به جز تلگرام وزارت ارتباطات هم نسبت به استفاده از این نسخههای غیر رسمی هشدار داده بود. برای نمونه در سال ۱۳۹۶ وزارت ارتباطات و فناوری اطلاعات در اطلاعیه ضمن اعلام اینکه آنها هیچ سروری را در اختیار تلگرام نگذاشتهاند به کاربران هشدار دادند که برای حفظ امنیت اطلاعات خود از نسخههای غیر رسمی این پیام رسان استفاده نکنند. با این وجود دسترسی به این نسخههای غیر رسمی از طریق بسیاری از پلتفرمهای ارائه اپلیکیشن ایرانی در دسترس بود تا در نهایت اردیبهشت ماه سال ۱۳۹۸ بعد از حذف پوستههای غیر رسمی تگرام از سمت گوگلپلی، وزیر ارتباطات هم در توییتی با اعلام اینکه ۱۲۷ پوسته غیررسمی تلگرام برای دور زدن فیلتر این پیامرسان استفاده میشود، اعلام کرد که دو پوسته که در سالهای اخیر سروصدای زیادی به پا کردهاند ( تلگرام طلایی و هاتگرام) حذف و غیر فعال شدهاند.
این اولین بار نیست که به خاطر استفاده از پوستههای غیر رسمی تلگرام اطلاعات کاربران در این سرویس به خطر افتاده است. سال ۲۰۱۶ نیز رویتر در گزارشی از لو رفتن اطلاعات ۱۵ میلیون کاربر تلگرام، آی دی، شماره تلفن و کد تایید آنها توسط هکرهای ایرانی خبر داده بود.
حالا در این اتفاق جدید نام، نام کاربری و شماره تماس ۴۲ میلیون کاربر ایرانی لو رفته و سخنگوی تلگرام تایید کرده که با استفاده از این دادهها افراد میتوانند وارد حساب کاربری افراد شوند. البته این شرکت گفته است که این دادهها صرفا در داخل حساب کاربری کارکرد دارد و فرد یا افرادی که به اطلاعات این کاربران دسترسی دارن نمیتواند از کلید دیجیتالی برای ورود به حساب شخصی دیگری استفاده کند. از سوی دیگر این اطلاعات لو رفته تنها مربوط به کاربرانی که از نسخههای غیررسمی تلگرام استفاده کردهاند نیست و افرادی که نسخه اصلی تلگرام را داشته اما با افرادی که از نسخههای غیر رسمی تلگرام استفاده میکرده در ارتباط بودهاند نیز اطلاعاتشان افشا شده است.
براساس گزارش مرکز افکارسنجی دانشجویان ایران (ایسپا) در اسفند سال ۹۸؛ ۶۸ درصد مردم حداقل از یکی از شبکههای اجتماعی مجازی استفاده میکنند که براین اساس سهم تلگرام با وجود فیلتر آن در ایران ۴۲ درصد است.
اما و اگرهای سامانه شکار
گزارش وبسایت comparitech نشان میدهد که این اطلاعات در سامانه شکار نگهداری میشده و به صورت ناخواسته منتشر شده است. همچنین اطلاعات نگهداری شده روی دیتابیس این سامانه پس از دانلود بدون نیاز به هیچ رمز عبوری قابل استفاده بوده است.
امیر ناظمی، معاون وزیر ارتباطات و رئیس سازمان فناوری اطلاعات در توییتی که امروز و بعد از انتشار این خبر منتشر کرده گفته است که سایت یا همان سامانه شکار در شرکت رسپینا میزبانی میشده است. او ضمن اشاره به این موضوع که گزارش در این خصوص برای رسیدگی قضایی به دادستانی ارجاع خواهد شد با تاکید اینکه که دی ۹۶ هم این وزارتخانه نسبت به امن نبودن امنیت پوستههای غیر رسمی تلگرام هشدار داده بود؛ اما نوشته است که شواهدی وجود دارد که این اطلاعات به شیوه دیگری جمعآوری شده است.
توییتی که امروز ظهر امیر ناظمی، رئیس سازمان فناوری اطلاعات منتشر کرد. او اولین مقام دولتی بود که نسبت به لو رفتن اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام واکنش نشان داد
احتمالا شیوه مدنظری که سازمان فناوری اطلاعات به آن اشاره میکند این باشد که فرد یا افرادی تعداد زیادی شماره تلفن ایرانی در این سرویس را از طریق کلاینتهای متعدد از تلگرام ذخیره و اقدام به استخراج اطلاعات کرده باشند و در نهایت به صورت عمدی یا یک سهلانگاری این اطلاعات لو رفته باشد.
اما چگونه این اطلاعات لو رفته است؟ بررسیهای پیوست نشان میدهد که این اطلاعات جمعآوری شده روی یک دیتابیس از نوع Elasticsearch database ذخیره شده که هیچ رمزی هم برای حفاظت از اطلاعاتی که روی آن ذخیره شده در نظر گرفته نشده است. Elasticsearch نوعی دیتابیس است که برای Index و جستوجوی سریع طراحی شده. براساس شنیدههای پیوست احتمالا فرد یا افرادی که این اطلاعات را روی این دیتابیس جمعآوری میکردند یا تخصص امنیتی و فنی لازم را نداشتهاند یا امنیت اطلاعاتی که از آن نگهداری میکردند برایشان مهم نبوده است.
اطلاعات جمع شده روی این دیتابیس هم بیشتر برای مجموعههایی کاربرد دارد که به دنبال ردیابی کاربران در تلگرام هستند. همچنین بررسیهای پیوست نشان میدهد که لو رفتن شماره تلفن، آیدی و نام کاربری ۴۲ میلیون کاربر تلگرام از این طریق اطلاعات خصوصی دیگر آنها مانند چتهایشان با دیگران را به خطر نمیاندازد و اطلاعات برای شناسایی افرادی که در تلگرام پستها یا مطالبی منتشر میکنند کاربرد خواهد داشت.
نهادهای امنیتی در حال بررسی صحت ادعا
درحالی که گزارشهای مختلف از لو رفتن اطلاعات ۴۲ میلیون کاربر ایرانی خبر میدهد؛ اما ابوالقاسم صادقی، معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات در گفتوگو با پیوست میگوید که آنها در حال رصدها و بررسیهای فنی لازم در مورد صحت این ادعا هستند و هنوز نمیتوانند به صورت قطعی اعلام کنند که آیا لو رفتن اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام درست است یا خیر؟
صادقی در توضیح بیشتر این موضوع به پیوست میگوید: «به صورت رسمی نمیتوانیم بگوییم این اتفاق صددرصد رخ داده و به قطعیت نرسیدهایم چرا که بررسی چینن مسئلهای از نظر فنی زمانبر است.» او در واکنش به این سوال که اما برخی کاربران در شبکههای اجتماعی از فروش اطلاعات لو رفته شده به دلار خبر میدهند توضیح میدهد: «ما هم راههای لازم برای صحت این ادعا را در اختیار داریم. اکثر کسانی که به این گونه اطلاعات دسترسی دارند از طریق بیتکوین اقدام به مبادلات میکنند بنابراین در این زمینه هم همه راهکاراهای لازم را استفاده خواهیم کرد.» او اعلام میکند که در این ماجرا چیزی که برای یک بخش امنیتی تخصصی برای بررسی اهمیت دارد این است که ابتدا صحت این ادعا سنجیده شود و اگر درست بود راهکارهایی برای رخ دادن مجدد آن اتخاذ شود و اگر هم صحت نداشت پیشبینی صورت بگیرد که جلوی رخ دادن این احتمال برای لو رفتن اطلاعات گرفته شود.
صادقی با اعلام اینکه هنوز نمیدانند سامانه شکار چیست و در حال بررسی و شناسایی این موضوع هم هستند میگوید: «سوال اساسی که در این زمینه باید پرسیده شود این است که اطلاعات ۴۲ میلیون کاربر تلگرامی را به جز خود تلگرام چه فرد یا سرویس دیگری دارد؟ تلگرام ادعا میکند که این اطلاعات به خاطر پوستههای غیر رسمی این سرویس درز پیدا کره است؛ اما ما تا کنون هیچ شواهد فنی برای این ادعا نداریم.» او ادامه میدهد: «بنابراین فرضیه نفوذ و هک را خیلی بعید میدانم و براساس شواهد این اتفاق یک افشای اطلاعات است که با سهلانگاری یا عمدی توسط فرد یا افرادی که این اطلاعات را در اختیار داشتهاند رخ داده است.»
با لو رفتن این اطلاعات حالا برخی که این اتفاق را یک حمله میدانند این ادعا را مطرح میکنند که باتوجه به اینکه طلاعات تماس و شماره تلفن کاربران تلگرام لو رفته است پس امکان حمله SIM swap هم به اکانت کاربر وجود دارد که بر اساس این مدل حمله هکر قادر به گول زدن اپراتور تلفنهمراه برای به دست آوردن رمز امنیتی ارسال شده از طریق SMS و یا تماس تلفنی است. اما صادقی این ادعا را مردود اعلام میکند و میگوید: «بررسیهای لازم در حال انجام است و به زودی گزارشهای لازم تهیه و به نهاد لازم ارسال میشود اما این اتفاق در حجم و نوعی که رخ داده است چنین احتمالی را غیر ممکن میکند.»
مهران داودی مدیرعامل ملکرادار، موتورجستوجوی املاک، و مشاور امنیتی تلگرام در گفتوگو با پیوست هم اعلام میکند که در حال حاضر یکی از دلیلهای اصلی که میتوان برای لو رفتن این اطلاعات متصور شد استفاده مردم از نسخههای غیررسمی تلگرام است؛ چرا که این نسخهها از نظر امنیتی باگهای فراوانی دارند. براساس ادعای او در این زمینه تنها اطلاعات کاربرانی که از نسخه غیر رسمی تلگرام استفاده میکنند در خطر نبوده و اگر این کاربران از طریق این نسخه با کاربرانی که از نسخه رسمی تلگرام استفاده میکردند نیز در ارتباط بوده باشند هم اطلاعاتشان به خطر افتاده است.
او میگوید که اطلاعات ذخیره شده از این تعداد کاربر روی دیتابیسی از نوع Elasticsearch بوده که برای سرچ سریع طراحی شده است. به گفته او دیتابیسها انواع مختلف دارند اما این دیتابیست از نوع Elasticsearch برای این بوده که امکان ذخیره اطلاعات در حجم وسیع را میدهد و از طرف دیگر هم خواندن و سرچ در بین این اطلاعات را سریعتر میکند.
داوری در پاسخ به این سوال که با لو رفتن این اطلاعات کاربران از نظر امنیتی با چه خطراتی مواجه خواهند شد به پیوست میگوید: «در این زمینه فقط نام کاربری، شماره تماس و آیدی تلگرام کاربران ایرانی لو رفته و کسی که به این اطلاعات دسترسی پیدا کند نمیتواند به چتهای خصوصی یا اطلاعات دیگر در این زمینه دسترسی پیدا کند. هرچند که چتها و فایلهایی که کاربران تلگرامهای غیررسمی از ابتدا تا کنون داشتهاند در سرورهای این نسخههای تلگرام ذخیره شده است؛ اما دسترسی جدیدی از سمت افراد دیگر به این اطلاعات ایجاد نخواهد شد.»
او همچنین در پاسخ به سوال دیگر پیوست در مورد اینکه در این شرایط چه توصیه امنیتی میتوان به کاربران ارائه داد توضیح داد: «از آنجا که اطلاعات اصلی مانند شماره تلفن یا آیدی کاربران لو رفته به صورت مشخص نمیتوان توصیه امنیتی خاصی کرد؛ اما تنها توصیه موجود برای کسانی که مهم است ایدی یا شماره تلفنشان در اختیار افراد دیگر قرار نگیرد این است که یا آیدی و نام کاربری خود در تلگرام را تغییر دهند و یا شماره تلفن خود را تغییر دهند که این هم راهکار چندان راحتی نیست.»
وزارت ارتباطات از ادامه بررسیهای خود و ارسال گزارشهای نهایی به مقامات قضایی خبر میدهند و حالا باید منتظر ماند و دید مراجع قضایی در مورد این پرونده چه تصمیمی خواهند گرفت آیا با افراد خاطی این اتفاق برخورد خواهد شد یا این پرونده هم مانند دهها پرونده هک و امنیتی دیگر به فراموشی سپرده خواهد شد.