سیناپرس: در پی هک شدن اطلاعات شخصی کاربران شرکت مخابراتی T-Mobile، بار دیگر بحث امنیت کاربران درزمینهٔ احراز هویت مطرحشده و کارشناسان روش تشخیص هویت کاربران از طریق تلفن همراه را مناسب و امن نمیدانند.
بهتازگی شرکت مشهور مخابراتی T-Mobile تائید کرد که طی یک حمله سایبری به این کمپانی، برخی از اطلاعات کاربران در اختیار هکرها قرارگرفته اما این اطلاعات شامل اطلاعات مالی یا شمارههای امنیت اجتماعی نشده و خطری از این بابت کاربران را تهدید نمیکند. بر اساس اطلاعیه منتشرشده در این رابطه، مشکل این است که دادههای کاربران این خطوط همراه که بهصورت بالقوه در معرض خطر هستند شامل: نام، کد پستی، صورتحسابها، آدرس ایمیل، برخی از رمزهای عبور، شمارهحساب، نوع حساب و شماره تلفن آنها میشود.
کارشناسان مدیریت هویت از سال ها پیش در مورد بیشازحد وابسته شدن مقوله تائید هویت کاربران به شماره تلفنها هشدار دادهاند هرچند بهمرورزمان گزینههایی مانند پیام کوتاه، شناسایی بیومتریک و اسکنرهای مربوط به آن نیز بهعنوان بخشی از روند تائید هویت کاربران معرفیشده و رواج یافتند، اما استفاده از شماره تلفن همراه همچنان یکی از اصلیترین روشهای تعیین هویت افراد در شبکههای مجازی محسوب میشود.
ممکن است سرقت اطلاعات فوق توسط مهاجمان موضوع خطرناکی محسوب شود زیرا آنها قادر هستند هویت خود را جعل کرده و کنترل حسابهای شمارا به دست بگیرند. در نگاه اول از دست دادن گذرواژهها خبر بدی است اما شاید باور آن سخت باشد که هیچ قطعهای از این اطلاعات شخصی استاندارد ارزش بیشتری از شماره تلفن شما ندارد؛ زیرا شماره تلفن افراد در سالهای اخیر بهوسیله ای بیش از یکراه برای تماس با دیگران تبدیلشده است. در سالهای اخیر، شرکتهای مختلف برای ارتباط با مشتریان خود بیشتر و بیشتر به گوشیهای هوشمند متکی شدهاند تا از این طریق «تائید هویت» کاربران را انجام دهند. ازنظر تئوری، این خطر بالقوه کاملاً منطقی است زیرا افراد مهاجم ممکن است رمزهای عبور شمارا دریافت کنند، اما برای آنها دسترسی فیزیکی به تلفن شما بسیار سخت است.
کارشناسان مدیریت هویت از سال ها پیش در مورد بیشازحد وابسته شدن مقوله تائید هویت کاربران به شماره تلفنها هشدار دادهاند هرچند بهمرورزمان گزینههایی مانند پیام کوتاه، شناسایی بیومتریک و اسکنرهای مربوط به آن نیز بهعنوان بخشی از روند تائید هویت کاربران معرفیشده و رواج یافتند، اما استفاده از شماره تلفن همراه همچنان یکی از اصلیترین روشهای تعیین هویت افراد در شبکههای مجازی محسوب میشود.
جرمی گرانت (Jeremy Grant)، هماهنگکننده ائتلاف هویت بهتر، همکاری صنعتی که شامل مراکز مهمی همچون ویزا (Visa)، بانک آمریکا (Bank of America)، آیتنا (Aetna) و سایمانتک (Symantec) میشود درباره موضوع فوق گفت: «جامعه و کاربران آن نیازمند تعیین هویت هستند. ما باید در نظر داشته باشیم که شماره تلفن تنها یک شناسه است و ما فقط باید اطمینان حاصل کنیم که دانستن یک شناسه نباید بهعنوان شاخصه تعیین هویت مورداستفاده قرار گیرد.»
از سوی دیگر استفاده از شمارههای ساده و قابل حدسی مانند شماره تلفن بهعنوان اسم رمز در سالهای اخیر باعث افزایش حملات اینچنینی شده و درحالیکه یک مهاجم شماره تلفن شمارا بهطور مخفیانه در اختیار داشته و کنترل میکند، هنگامیکه شما عملیات احراز هویت دومرحلهای را به یک حساب اضافه کرده و کدهای خود را از طریق متون اسکریپت دریافت میکنید، فرد مهاجم نیز به تمام این اطلاعات دسترسی پیدا خواهد کرد.
گرانت در این رابطه میگوید: مسئلهای که در رابطه باسیم کارت مطرح است، این موضوع است که اگر شما شماره تلفنی را تحت کنترل بگیرید، میتوانید از طریق سیستم تأییدکننده هویت، به اطلاعات کاربران دسترسی پیدا کنید. از سوی دیگر بسیاری از کاربران شبکههای اجتماعی با شناسه کاربری مشتمل بر شماره تلفن همراه خود وارد این شبکهها میشوند.
توماس هاردیونو (Thomas Hardjono)، یکی از محققان هویت امن در موسسه اعتماد و داده MIT، به موارد دیگری همچون شماره کارت اعتباری، شناسههای تائید شده با یک تراشه و یک پین یا امضا اشاره میکند. صنعت مالی دهها سال پیش متوجه شد که این سیستم کار نخواهد کرد. از سوی دیگر تغییر شماره تلفن میتواند برای کاربران فوقالعاده ناخوشایند باشد.
بنابراین اگر شما به دنبال یک جایگزین برای شماره تلفن هستید، باید چیزی راحتتر جایگزین کنید. هاردیونو پیشنهاد میکند، برای مثال، گوشیهای هوشمند میتوانند شناسههای منحصربهفرد را با ترکیب یک شماره تلفن کاربر و شماره شناسه دستگاه IMEI اختصاص دادهشده به هر گوشی هوشمند، تولید کنند. این شماره در اختیار شما بوده و بهطور طبیعی هرزمانی که شما یک تلفن جدید دریافت کردید میتوانید آن را تغییر دهید.
به باور بسیاری از کارشناسان تا زمانی که یک تصمیم جدی و مهم در سطح بینالمللی برای حل این معضل گرفته نشده و دولتها قوانین جدیدی در رابطه با آن وضع نکنند، شرایط تغییر چندانی نکرده و امنیت کاربران از طریق هک شدن شرکتهای مخابراتی و ارائهدهنده خدمات همراه، به خطر خواهد افتاد.
ترجمه: احسان محمدحسینی – سیناپرس
منبع: wired