تازه ها

اپراتورها

امینت

تلفن همراه

August 30, 2018
16:33 پنجشنبه، 8ام شهریورماه 1397
کد خبر: 93540

هک شرکت‌های مخابراتی و امنیت کاربران: روش های تائید هویت کاربران باید تغییر کند

 
سیناپرس: در پی هک شدن اطلاعات شخصی کاربران شرکت مخابراتی T-Mobile، بار دیگر بحث امنیت کاربران درزمینهٔ احراز هویت مطرح‌شده و کارشناسان روش تشخیص هویت کاربران از طریق تلفن همراه را مناسب و امن نمی‌دانند.
 
به‌تازگی شرکت مشهور مخابراتی T-Mobile  تائید کرد که طی یک حمله سایبری به این کمپانی، برخی از اطلاعات کاربران در اختیار هکرها قرارگرفته اما این اطلاعات شامل اطلاعات مالی یا شماره‌های امنیت اجتماعی نشده و خطری از این بابت کاربران را تهدید نمی‌کند. بر اساس اطلاعیه منتشرشده در این رابطه، مشکل این است که داده‌های کاربران این خطوط همراه که به‌صورت بالقوه در معرض خطر هستند شامل: نام، کد پستی، صورتحساب‌ها، آدرس ایمیل، برخی از رمزهای عبور، شماره‌حساب، نوع حساب و شماره تلفن آن‌ها می‌شود.
 
کارشناسان مدیریت هویت از سال ها پیش در مورد بیش‌ازحد وابسته شدن مقوله تائید هویت کاربران به شماره تلفن‌ها هشدار داده‌اند هرچند به‌مرورزمان گزینه‌هایی مانند پیام کوتاه، شناسایی بیومتریک و اسکنرهای مربوط به آن نیز به‌عنوان بخشی از روند تائید هویت کاربران معرفی‌شده و رواج یافتند، اما استفاده از شماره تلفن همراه همچنان یکی از اصلی‌ترین روش‌های تعیین هویت افراد در شبکه‌های مجازی محسوب می‌شود.
 
ممکن است سرقت اطلاعات فوق توسط مهاجمان موضوع خطرناکی محسوب شود زیرا آن‌ها قادر هستند هویت خود را جعل کرده و کنترل حساب‌های شمارا به دست بگیرند. در نگاه اول از دست دادن گذرواژه‌ها خبر بدی است اما شاید باور آن سخت باشد که هیچ قطعه‌ای از این اطلاعات شخصی استاندارد ارزش بیشتری از شماره تلفن شما ندارد؛ زیرا شماره تلفن افراد در سال‌های اخیر به‌وسیله ای بیش از یک‌راه برای تماس با دیگران تبدیل‌شده است. در سال‌های اخیر، شرکت‌های مختلف برای ارتباط با مشتریان خود بیشتر و بیشتر به گوشی‌های هوشمند متکی شده‌اند تا از این طریق «تائید هویت» کاربران را انجام دهند. ازنظر تئوری، این خطر بالقوه کاملاً منطقی است زیرا افراد مهاجم ممکن است رمزهای عبور شمارا دریافت کنند، اما برای آن‌ها دسترسی فیزیکی به تلفن شما بسیار سخت است.
 
کارشناسان مدیریت هویت از سال ها پیش در مورد بیش‌ازحد وابسته شدن مقوله تائید هویت کاربران به شماره تلفن‌ها هشدار داده‌اند هرچند به‌مرورزمان گزینه‌هایی مانند پیام کوتاه، شناسایی بیومتریک و اسکنرهای مربوط به آن نیز به‌عنوان بخشی از روند تائید هویت کاربران معرفی‌شده و رواج یافتند، اما استفاده از شماره تلفن همراه همچنان یکی از اصلی‌ترین روش‌های تعیین هویت افراد در شبکه‌های مجازی محسوب می‌شود.
 
جرمی گرانت (Jeremy Grant)، هماهنگ‌کننده ائتلاف هویت بهتر، همکاری صنعتی که شامل مراکز مهمی همچون ویزا (Visa)، بانک آمریکا (Bank of America)، آیتنا (Aetna) و سایمانتک (Symantec) می‌شود درباره موضوع فوق گفت: «جامعه و کاربران آن نیازمند تعیین هویت هستند. ما باید در نظر داشته باشیم که شماره تلفن تنها یک شناسه است و ما فقط باید اطمینان حاصل کنیم که دانستن یک شناسه نباید به‌عنوان شاخصه تعیین هویت مورداستفاده قرار گیرد.»
 
از سوی دیگر استفاده از شماره‌های ساده و قابل حدسی مانند شماره تلفن به‌عنوان اسم رمز در سال‌های اخیر باعث افزایش حملات این‌چنینی شده و درحالی‌که یک مهاجم شماره تلفن شمارا به‌طور مخفیانه در اختیار داشته و کنترل می‌کند، هنگامی‌که شما عملیات احراز هویت دومرحله‌ای را به یک حساب اضافه کرده و کدهای خود را از طریق متون اسکریپت دریافت می‌کنید، فرد مهاجم نیز به تمام این اطلاعات دسترسی پیدا خواهد کرد.
 
گرانت در این رابطه می‌گوید: مسئله‌ای که در رابطه باسیم کارت مطرح است، این موضوع است که اگر شما شماره تلفنی را تحت کنترل بگیرید، می‌توانید از طریق سیستم تأییدکننده هویت، به اطلاعات کاربران دسترسی پیدا کنید. از سوی دیگر بسیاری از کاربران شبکه‌های اجتماعی با شناسه کاربری مشتمل بر شماره تلفن همراه خود وارد این شبکه‌ها می‌شوند.
 
توماس هاردیونو (Thomas Hardjono)، یکی از محققان هویت امن در موسسه اعتماد و داده MIT، به موارد دیگری همچون شماره کارت اعتباری، شناسه‌های تائید شده با یک تراشه و یک پین یا امضا اشاره می‌کند. صنعت مالی ده‌ها سال پیش متوجه شد که این سیستم کار نخواهد کرد. از سوی دیگر تغییر شماره تلفن می‌تواند برای کاربران فوق‌العاده ناخوشایند باشد.
 
بنابراین اگر شما به دنبال یک جایگزین برای شماره تلفن هستید، باید چیزی راحت‌تر جایگزین کنید. هاردیونو پیشنهاد می‌کند، برای مثال، گوشی‌های هوشمند می‌توانند شناسه‌های منحصربه‌فرد را با ترکیب یک شماره تلفن کاربر و شماره شناسه دستگاه IMEI اختصاص داده‌شده به هر گوشی هوشمند، تولید کنند. این شماره در اختیار شما بوده و به‌طور طبیعی هرزمانی که شما یک تلفن جدید دریافت کردید می‌توانید آن را تغییر دهید.
 
به باور بسیاری از کارشناسان تا زمانی که یک تصمیم جدی و مهم در سطح بین‌المللی برای حل این معضل گرفته نشده و دولت‌ها قوانین جدیدی در رابطه با آن وضع نکنند، شرایط تغییر چندانی نکرده و امنیت کاربران از طریق هک شدن شرکت‌های مخابراتی و ارائه‌دهنده خدمات همراه، به خطر خواهد افتاد.
 
ترجمه: احسان محمدحسینی – سیناپرس
 
منبع: wired
در این زمینه از آرشیو ایستنا:

    • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.