تازه ها

اپلیکیشن

تلفن همراه

April 1, 2020
13:40 چهارشنبه، 13ام فروردینماه 1399
کد خبر: 110290

آخرین جزییات از لورفتن اطلاعات ۴۲ میلیون ایرانی روی تلگرام: آیا یک نهاد امنیتی داخلی منبع افشای اطلاعات بوده؟

صبح امروز کاربران در فضای مجازی با یک شوک بزرگ روز خود را آغاز کردند؛ لو رفتن اطلاعات ۴۲ میلیون کاربر پیام‌رسان تلگرام که شامل نام کاربری، شماره تلفن تماس و آی‌دی تلگرام بود. اطلاعاتی که اکنون زمزمه‌هایی در مورد تعلق آنها به یک نهاد امنیتی و نظارتی داخلی شنیده می‌شود. این خبر را نیمه شب گذشته اولین بار وب‌سایت comparitech منتشر کرد. آنطورکه این وب‌سایت گزارش داده این اطلاعات روی یک دیتا‌بیس نگهداری می‌شده و یک نسخه شخص ثالث یعنی نسخه‌ای غیر از نسخه اصلی تلگرام منبع افشای این اطلاعات بوده است. در این گزارش آمده این اطلاعات روی یک سامانه به نام سامانه شکار بوده که به صورت ناخواسته منتشر شده است. سامانه‌ای که هرچند از آن اطلاعاتی تایید شده در دسترس نیست ولی با توجه به نامگذاری امنیتیش یادآور سامانه‌های  غیر رسمی نظارت بر رفتارهای کاربران است.
 
در واقع تا این لحظه هیچ اطلاعات رسمی در مورد سامانه شکار،  کارایی آن و اینکه متعلق به چه فرد یا افرادی است یا چرا این اطلاعات روی آن نگهداری می‌شده وجود ندارد. ولی برخی از بررسی‌های پیوست نشان می‌دهد که این سامانه احتمالا متعلق به یکی از نهادهای امنیتی بوده که صبح امروز (۱۲ فروردین) بعد از رخ دادن این اتفاق سرور‌های خود را برای جلوگیری از نفوذ بیشتر سریعا خاموش کرده‌اند. بررسی‌های بیشتر پیوست در مورد این موضوع نشان می‌دهد که اطلاعات جمع‌آوری شده این سامانه می‌تواند برای مجموعه‌هایی کاربرد داشته باشد که به دنبال ردیابی کاربران در تلگرام هستند.
 
همچنین امیر ناظمی، معاون وزیر ارتباطات و رئیس سازمان فناوری اطلاعات نیز امروز ظهر در توییتی اعلام کرد که «سایت ادعا شده به نام شکار که در شرکت رسپینا میزبانی می‌شده، شناسایی شده است.» ناظمی در این توییت خود نوشته که اطلاعات و گزارش لازم در این زمینه برای رسیدگی قضایی به دادستانی ارجاع می‌شود. اشاره‌ای تلویحی به اینکه دست کم در بازه فعلی وزارت ارتباطات خودش را مجاز به افشای جزییات بیشتر در مورد هویت مالکان اولیه اطلاعات نمی‌داند.
 
از سوی دیگر ابوالقاسم صادقی، معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات هم در گفت‌وگو با پیوست فرضیه نفوذ یا هک به این سامانه برای دسترسی به اطلاعات کاربران ایرانی تلگرام را بعید می‌داند و معتقد است این اطلاعات عمدی یا به خاطر یک سهل‌انگاری توسط فرد یا افرادی که این اطلاعات را نگهداری می‌کردند افشا شده است. کلید واژه سهل‌انگاری کلمه ‌ای است که امروز بسیار از سمت مقامات وزارت ارتباطات تکرار شد. براساس اعلام کارشناسان امنیتی یکی از اثرات بارز لو رفتن این اطلاعات می‌تواند افزایش حملات فیشینگ از طریق نام کاربری و شماره افرادی باشد که اطلاعات آنها لو رفته است.
 
اطلاعات ۴۲ میلیون کاربری که لو رفت
اطلاعات منتشر شده از نام کاربری، آی‌دی و شماره تماس ۴۲ میلیون کاربر ایرانی تلگرام این بار هم توسط باب دیاچنکو،  یک خبرنگار و محقق امنیتی آلمانی صورت گرفته است، فردی که فرودین سال گذشته نیز در خصوص درز اطلاعات میلیونی سفرهای کاربران ایرانی شرکت تاکسی اینترنتی «تپسی‌» خبر داده بود. اطلاعات لو رفته براساس گفته‌های دیاچنکو در یکی از محافل هکری در معرض فروش قرار گرفته است. برخی گزارش‌های کاربران در شبکه‌های اجتماعی نشان می‌دهد که این اطلاعات با قیمت بین ۵۰۰ تا ۲ هزار دلار به افراد مختلف فروخته شده است، داده‌هایی که پیش از حذف دست‌کن به مدت ۱۱ روز در معرض دید عمومی قرار داشته‌اند تا در نهایت در ۶ فروردین حذف می‌شوند.
 
سخنگوی تلگرام در گفت‌وگویی که با وب‌سایت comparitech انجام داده گفته است که این داده‌های منتشر شده از ۴۲ میلیون کاربر ایرانی تلگرام مربوط به یک نسخه غیر رسمی از تلگرام است. سخنگوی تلگرام در این گفت‌وگو اعلام کرده که با وجود تمامی هشدارهای این شرکت به کاربران ایرانی برای استفاده نکردن از نسخه‌های غیررسمی تلگرام آنها همچنان از آن استفاده ‌کرده‌اند.
 
استفاده از نسخه‌های غیررسمی تلگرام مانند تلگرام طلایی و هاتگرام بعد از فیلتر این شبکه پیام‌رسان و اجتماعی در اردیبهشت سال ۱۳۹۷ بین کاربران ایرانی برای دور زدن فیلتر آن با استقبال بالایی روبه‌رو شد. به جز تلگرام وزارت ارتباطات هم نسبت به استفاده از این نسخه‌های غیر رسمی هشدار داده بود. برای نمونه در سال ۱۳۹۶ وزارت ارتباطات و فناوری اطلاعات در اطلاعیه ضمن اعلام اینکه آنها هیچ سروری را در اختیار تلگرام نگذاشته‌اند به کاربران هشدار دادند که برای حفظ امنیت اطلاعات خود از نسخه‌های غیر رسمی این پیام رسان استفاده نکنند. با این وجود دسترسی به این نسخه‌های غیر رسمی از طریق بسیاری از پلتفرم‌های ارائه اپلیکیشن ایرانی در دسترس بود تا در نهایت اردیبهشت ماه سال ۱۳۹۸ بعد از حذف پوسته‌های غیر رسمی تگرام از سمت گوگل‌پلی، وزیر ارتباطات هم در توییتی با اعلام اینکه ۱۲۷ پوسته غیررسمی تلگرام برای دور زدن فیلتر این پیام‌رسان استفاده می‌شود، اعلام کرد که دو پوسته که در سال‌های اخیر سرو‌صدای زیادی به پا کرده‌اند ( تلگرام طلایی و هاتگرام) حذف و غیر فعال شده‌اند.
 
این اولین بار نیست که به خاطر استفاده از پوسته‌های غیر رسمی تلگرام اطلاعات کاربران در این سرویس به خطر افتاده است. سال ۲۰۱۶ نیز رویتر در گزارشی از لو رفتن اطلاعات ۱۵ میلیون کاربر تلگرام، آی دی، شماره تلفن و کد تایید آنها توسط هکرهای ایرانی خبر داده بود.
 
حالا در این اتفاق جدید نام، نام کاربری و شماره تماس ۴۲ میلیون کاربر ایرانی لو رفته و سخنگوی تلگرام تایید کرده که با استفاده از این داده‌ها افراد می‌توانند وارد حساب کاربری افراد شوند. البته این شرکت گفته است که  این داده‌ها صرفا در داخل حساب کاربری کارکرد دارد و فرد یا افرادی که به اطلاعات این کاربران دسترسی دارن نمی‌تواند از کلید دیجیتالی برای ورود به حساب شخصی دیگری استفاده کند. از سوی دیگر این اطلاعات لو رفته تنها مربوط به کاربرانی که از نسخه‌های غیررسمی تلگرام استفاده کرده‌اند نیست و افرادی که نسخه اصلی تلگرام را داشته اما با افرادی که از نسخه‌های غیر رسمی تلگرام استفاده می‌کرده در ارتباط بوده‌اند نیز اطلاعاتشان افشا شده است.
 
براساس گزارش مرکز افکارسنجی دانشجویان ایران‌ (ایسپا) در اسفند سال ۹۸؛  ۶۸ درصد مردم حداقل از یکی از شبکه‌های اجتماعی مجازی استفاده می‌کنند که براین اساس سهم تلگرام با وجود فیلتر آن در ایران ۴۲ درصد است.
 
اما و اگرهای سامانه شکار 
گزارش وب‌سایت comparitech نشان می‌دهد که این اطلاعات در سامانه‌ شکار نگهداری می‌شده و به صورت ناخواسته منتشر شده است. همچنین اطلاعات نگهداری شده روی دیتابیس این سامانه پس از دانلود بدون نیاز به هیچ رمز عبوری قابل استفاده بوده است.
 
امیر ناظمی، معاون وزیر ارتباطات و رئیس سازمان فناوری اطلاعات در توییتی که امروز و بعد از انتشار این خبر منتشر کرده گفته است که سایت یا همان سامانه شکار در شرکت رسپینا میزبانی می‌شده است. او ضمن اشاره به این موضوع که گزارش در این خصوص برای رسیدگی قضایی به دادستانی ارجاع خواهد شد با تاکید اینکه که دی ۹۶ هم این وزارتخانه نسبت به امن نبودن امنیت پوسته‌های غیر رسمی تلگرام هشدار داده بود؛ اما نوشته است که شواهدی وجود دارد که این اطلاعات به شیوه دیگری جمع‌آوری شده است.
 
 
توییتی که امروز ظهر امیر ناظمی، رئیس سازمان فناوری اطلاعات منتشر کرد. او اولین مقام دولتی بود که نسبت به لو رفتن اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام واکنش نشان داد
 
احتمالا شیوه مدنظری که سازمان فناوری اطلاعات به آن اشاره می‌کند این باشد که فرد یا افرادی تعداد زیادی شماره تلفن ایرانی در این سرویس را از طریق کلاینت‌های متعدد از تلگرام ذخیره و اقدام به استخراج اطلاعات کرده باشند و در نهایت به صورت عمدی یا یک سهل‌انگاری این اطلاعات لو رفته باشد.
 
اما چگونه این اطلاعات لو رفته است؟ بررسی‌های پیوست نشان می‌دهد که این اطلاعات جمع‌آوری شده روی یک دیتابیس از نوع Elasticsearch database ذخیره شده که هیچ رمزی هم برای حفاظت از اطلاعاتی که روی آن ذخیره شده در نظر گرفته نشده است. Elasticsearch نوعی دیتابیس است که برای Index و جست‌وجوی سریع طراحی شده. براساس شنیده‌های پیوست احتمالا فرد یا افرادی که این اطلاعات را روی این دیتا‌بیس جمع‌آوری می‌کردند یا تخصص امنیتی و فنی لازم را نداشته‌اند یا امنیت اطلاعاتی که از آن نگهداری می‌کردند برایشان مهم نبوده است.
 
اطلاعات جمع شده روی این دیتابیس هم بیشتر برای مجموعه‌هایی کاربرد دارد که به دنبال ردیابی کاربران در تلگرام هستند. همچنین بررسی‌های پیوست نشان می‌دهد که لو رفتن شماره تلفن، آی‌دی و نام کاربری ۴۲ میلیون کاربر تلگرام از این طریق اطلاعات خصوصی دیگر آنها مانند چت‌هایشان با دیگران را به خطر نمی‌اندازد و اطلاعات برای شناسایی افرادی که در تلگرام پست‌ها یا مطالبی منتشر می‌کنند کاربرد خواهد داشت.
 
نهادهای امنیتی در حال بررسی صحت ادعا
درحالی که گزارش‌های مختلف از لو رفتن اطلاعات ۴۲ میلیون کاربر ایرانی خبر می‌دهد؛ اما ابوالقاسم صادقی، معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات در گفت‌وگو با پیوست می‌گوید که آنها در حال رصد‌ها و بررسی‌های فنی لازم در مورد صحت این ادعا هستند و هنوز نمی‌توانند به صورت قطعی اعلام کنند که آیا لو رفتن اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام درست است یا خیر؟
 
صادقی در توضیح بیشتر این موضوع به پیوست می‌گوید: «به صورت رسمی نمی‌توانیم بگوییم این اتفاق صددرصد رخ داده و به قطعیت نرسیده‌ایم چرا که بررسی چینن مسئله‌ای از نظر فنی زمان‌بر است.» او در واکنش به این سوال که اما برخی کاربران در شبکه‌های اجتماعی از فروش اطلاعات لو رفته شده به دلار خبر می‌دهند توضیح می‌دهد: «ما هم راه‌های لازم برای صحت این ادعا را در اختیار داریم. اکثر کسانی که به این گونه اطلاعات دسترسی دارند از طریق بیت‌کوین اقدام به مبادلات می‌کنند بنابراین در این زمینه هم همه راهکاراهای لازم را استفاده خواهیم کرد.» او اعلام می‌کند که در این ماجرا چیزی که برای یک بخش امنیتی تخصصی برای بررسی اهمیت دارد این است که ابتدا صحت این ادعا سنجیده شود و اگر درست بود راهکارهایی برای رخ دادن مجدد آن اتخاذ شود و اگر هم صحت نداشت پیش‌بینی صورت بگیرد که جلوی رخ دادن این احتمال برای لو رفتن اطلاعات گرفته شود.
 
صادقی با اعلام اینکه هنوز نمی‌دانند سامانه شکار چیست و در حال بررسی و شناسایی این موضوع هم هستند می‌گوید: «سوال اساسی که در این زمینه باید پرسیده شود این است که اطلاعات ۴۲ میلیون کاربر تلگرامی را به جز خود تلگرام چه فرد یا سرویس دیگری دارد؟ تلگرام ادعا می‌کند که این اطلاعات به خاطر پوسته‌های غیر رسمی این سرویس درز پیدا کره است؛ اما ما تا کنون هیچ شواهد فنی برای این ادعا نداریم.» او ادامه می‌دهد: «بنابراین فرضیه نفوذ و هک را خیلی بعید می‌دانم و براساس شواهد این اتفاق یک افشای اطلاعات است که با سهل‌انگاری یا عمدی توسط فرد یا افرادی که این اطلاعات را در اختیار داشته‌اند رخ داده است.»
 
با لو رفتن این اطلاعات حالا برخی که این اتفاق را یک حمله می‌دانند این ادعا را مطرح می‌کنند که باتوجه به اینکه طلاعات تماس و شماره تلفن کاربران تلگرام لو رفته است پس امکان حمله SIM swap هم به اکانت کاربر وجود دارد که بر اساس این مدل حمله هکر قادر به گول زدن اپراتور تلفن‌همراه برای به دست آوردن رمز امنیتی ارسال شده از طریق SMS و یا تماس تلفنی است. اما صادقی این ادعا را مردود اعلام می‌کند و می‌گوید: «بررسی‌های لازم در حال انجام است و به زودی گزارش‌های لازم تهیه و به نهاد لازم ارسال می‌شود اما این اتفاق در حجم و نوعی که رخ داده است چنین احتمالی را غیر ممکن می‌کند.»
 
مهران داودی مدیرعامل ملک‌رادار، موتورجست‌وجوی املاک، و مشاور امنیتی تلگرام در گفت‌وگو با پیوست هم  اعلام می‌کند که در حال حاضر یکی از دلیل‌های اصلی که می‌توان برای لو رفتن این اطلاعات متصور شد استفاده مردم از نسخه‌های غیررسمی تلگرام است؛ چرا که این نسخه‌ها از نظر امنیتی باگ‌های فراوانی دارند. براساس ادعای او در این زمینه تنها اطلاعات کاربرانی که از نسخه غیر رسمی تلگرام استفاده می‌کنند در خطر نبوده و اگر این کاربران از طریق این نسخه با کاربرانی که از نسخه رسمی تلگرام استفاده می‌کردند نیز در ارتباط بوده باشند هم اطلاعاتشان به خطر افتاده است.
 
او می‌گوید که اطلاعات ذخیره شده از این تعداد کاربر روی دیتابیسی از نوع Elasticsearch بوده که برای سرچ سریع طراحی شده است. به گفته او دیتابیس‌ها انواع مختلف دارند اما این دیتابیست از نوع Elasticsearch برای این بوده که امکان ذخیره اطلاعات در حجم وسیع را می‌دهد و از طرف دیگر هم خواندن و سرچ در بین این اطلاعات را سریع‌تر می‌کند.
 
داوری در پاسخ به این سوال که با لو رفتن این اطلاعات کاربران از نظر امنیتی با چه خطراتی مواجه خواهند شد به پیوست می‌گوید: «در این زمینه فقط نام کاربری، شماره تماس و آی‌دی تلگرام کاربران ایرانی لو رفته و کسی که به این اطلاعات دسترسی پیدا کند نمی‌تواند به چت‌های خصوصی یا اطلاعات دیگر در این زمینه دسترسی پیدا کند. هرچند که چت‌ها و فایل‌هایی که کاربران تلگرام‌های غیررسمی از ابتدا تا کنون داشته‌اند در سرورهای این نسخه‌های تلگرام ذخیره شده است؛ اما دسترسی جدیدی از سمت افراد دیگر به این اطلاعات ایجاد نخواهد شد.»
 
او همچنین در پاسخ به سوال دیگر پیوست در مورد اینکه در این شرایط چه توصیه امنیتی می‌توان به کاربران ارائه داد توضیح داد: «از آنجا که اطلاعات اصلی مانند شماره تلفن یا آی‌دی کاربران لو رفته به صورت مشخص نمی‌توان توصیه امنیتی خاصی کرد؛ اما تنها توصیه موجود برای کسانی که مهم است ای‌دی یا شماره تلفنشان در اختیار افراد دیگر قرار نگیرد این است که یا آی‌دی و نام کاربری خود در تلگرام را تغییر دهند و یا شماره تلفن خود را تغییر دهند که این هم راهکار چندان راحتی نیست.»
 
وزارت ارتباطات از ادامه بررسی‌های خود و ارسال گزارش‌های نهایی به مقامات قضایی خبر می‌دهند و حالا باید منتظر ماند و دید مراجع قضایی در مورد این پرونده چه تصمیمی‌ خواهند گرفت آیا با افراد خاطی این اتفاق برخورد خواهد شد یا این پرونده هم مانند ده‌ها پرونده هک و امنیتی دیگر به فراموشی سپرده خواهد شد.
در این زمینه از آرشیو ایستنا:

    • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.