اطلاعات ۴۲ میلیون کاربر ایرانی توسط نسخههای غیررسمی تلگرام فاش شد [بهروزرسانی: بیانیه رسپینا]
شب گذشته وبسایت Comparitech اعلام کرد اطلاعات ۴۲ میلیون کاربر توسط نسخهی غیررسمی پیامرسان تلگرام که در ایران استفاده میشده فاش شده است و هیچگونه احراز هویتی برای دسترسی به آنها نیاز نیست. این وبسایت با همکاری باب دیاچنکو، محقق امنیتی گزارش مربوطه یعنی فاش شدن نام کاربری، شمارهی تلفن و سایر اطلاعات کاربران نسخهی غیررسمی تلگرام را نوشته است. بهگفتهی این وبسایت، اطلاعات توسط گروهی بهنام «سامانهی شکار» فاش شده است که برای دسترسی به آن نیازی به رمز عبور یا احراز هویت نیست؛ این اطلاعات بعد از اینکه توسط دیاچنکو در تاریخ ۲۵ مارس (۶ فروردینماه) به ارائهدهندهی میزبان گزارش داده شد، پاک شد.
تلگرام میگوید اطلاعات فاش شده مربوط به یکی از نسخههای غیررسمی تلگرام است که هیچ ارتباطی با این شرکت یعنی تلگرام ندارد. تلگرام یک اپلیکیشن متن باز است که به اشخاص ثالث اجازه میدهد که نسخهی خودشان را از روی نسخهی اصلی بسازند. تلگرام همچنین در ادامه گفته است که به دلیل فیلتر شدن نسخهی اصلی اپلیکیشن تلگرام در ایران، کاربران زیادی از نسخههای غیررسمی این اپلیکیشن استفاده میکردند. سخنگوی تلگرام به وبسایت Comparitech گفت:
ما میتوانیم تأیید کنیم که این اطلاعات از نسخهی غیررسمی استخراج فاش شده است. متأسفانه با وجود هشدارهای ما، مردم ایران هنوز هم از نسخههای غیررسمی تلگرام استفاده میکنند. اپلیکیشنهای تلگرام متن باز هستند، بنابراین بسیار مهم است که کاربران از نسخههای رسمی ما که نسخههای قابل تأیید پشتیبانی میکنند، استفاده کنند.
مشابه این اتفاق در سال ۲۰۱۶ نیز پیش آمده بود که به گزارش رویترز، ۱۵ میلیون شناسهی کاربری تلگرام بههمراه شماره تلفن و کدهای تأیید توسط هکرهای ایرانی شناسایی شده و نتیجه این بود که حسابهای کاربری زیادی در معرض خطر قرار گرفتند.
دادههایی که بهتازگی فاش شدهاند به مدت ۱۱ روز پیش از اینکه پاک شوند، در دسترس قرار داشتند، زمان انتشار دادهها عبارت است از:
۱۵ مارس (۲۵ اسفند ۹۸): پایگاه داده توسط موتور جستجوی inaryEdge ایندکس شده است.
۲۱ مارس (۲ فروردین ۹۹): دیاچنکو متوجه دادههای فاش شده میشود و تحقیقات خود را آغاز میکند.
۲۴ مارس (۵ فروردین ۹۹): دیاچنکو گزارش سوءاستفاده را به ارائهدهندهی میزبان ارسال میکند.
۲۵ مارس (۶ فروردین ۹۹): دادهها حذف میشوند.
وبسایت Comparitech در گزارش خود نوشته است که بهنظر میرسد سایر کاربران غیرمجاز به این دادهها دسترسی داشتند و حداقل یک کاربر این دادهها را به یکی از انجمنهای هکرها ارسال کرده است. پایگاهداده شامل اطلاعات بیش از ۴۲ میلیون کاربر ایرانی از جلمه شناسهی حساب کاربری، نام کاربری، شماره تلفن، هشها و کلیدهای مخفی است. سخنگوی تلگرام میگوید هشها و کلیدهای مخفی پایگاه داده نمیتوانند برای دسترسی به حسابهای کاربری استفاده شوند و تنها از داخل حساب کاربری که به آن تعلق دارند کار میکنند.
خطر اطلاعات فاش شده
اطلاعات منتشر شده در این پایگاه داده، کاربران را در معرض خطر قرار میدهد؛ زیرا نهتنها مشخص میکند که چه شخصی در ایران از تلگرام یا نسخههای غیررسمی تلگرام استفاده میکند بلکه آنها را در معرض حملهی Sim swap قرار میدهد. SIM swap یا تعویض سیمکارت زمانی رخ میدهد که مهاجم، اپراتور تلفن همراه را قانع میکند که شمارهی موبایل را به سیمکارت جدیدی منتقل کند (اپراتور سیمکارت جدیدی برای شمارهی مورد نظر صادر میکند)، بنابراین مهاجم میتواند به پیامها و تلفنهای دریافتی و ارسالی کاربر دسترسی داشته باشد؛ همچنین مهاجم میتواند کدهای تأیید دسترسی را دریافت کند و درنتیجه به حساب کاربری و پیامهای اپلیکیشن دسترسی کامل داشته باشد. همچنین قربانیانی که شماره تلفن همراه آنها در پایگاه داده فاش شده وجود دارد میتوانند در معرض حملههای فیشینگ و اسکم قرار بگیرند.
وبسایت Comparitech در پایان گزارش خود نوشته است که با همکاری باب دیاچنگو برای پیدا کردن پایگاه دادهی لورفته تلاش کرده است و بعد از پیدا کردن آن، این اتفاق را گزارش داده است؛ سپس در مورد دادهها و آسیب احتمالی که به کاربران وارد میکند تحقیق کردهاند. درنهایت بعد از کسب اطمینان از پاک شدن یا ایمن شدن اطلاعات، گزارشی را برای افزایش آگاهی منتشر کرده است.
از طرفی این موضوع یعنی فاش شدن اطلاعات بیش از ۴۲ میلیون کاربر ایرانی که از نسخهی غیررسمی تلگرام استفاده میکردند واکنشهایی را در شبکههای اجتماعی بههمراه داشت. محمد جرجندی، از فعالان توییتری در حساب کاربری خود نوشته است که این پایگاه داده با قیمت ۵۰۰ دلار قابل خرید است. او همچنین نوشته است که بهنظر میرسد فروشنده، پایگاه دادهی سامانهی شکار را تا این لحظه به چهار نفر فروخته است و براساس اطلاعات منتشر شده یکی از این خریداران از گروههای دزدان فیشینگ است.
امیر ناظمی، رئیس سازمان فناوری اطلاعات ایران نیز به این موضوع واکنش نشان داد و با انتشار توییتی نوشته:
گزارش مرکز ماهر:
در دی۹۶ در مورد عدم امنیت پوستههای تلگرام هشدار دادیم. البته شواهدی وجود دارد که این اطلاعات به شیوهی دیگری جمعآوری شده است! سایت ادعا شده با نام شکار که در شرکت رسپینا میزبانی میشده، شناسایی شد. گزارش برای رسیدگی قضایی به دادستانی ارجاع خواهد شد.
از طرفی وبسایت دیگری بهنام hackread اعلام کرده است که اطلاعات فاش شده از هاتگرام و طلاگرام (تلگرام طلایی)، دو نسخهی غیررسمی تلگرام فاش شده است. بهگفتهی این وبسایت یکی از محققان امنیتی، دادهها را مورد بررسی قرار داده و میگوید این پایگاه داده به کمک اسکرپ کردن یعنی فرآیندی که دادهها از وبسایتها و سایر سرورها جمعآوری میشوند ساخته شده است. او گفت:
دادهها شامل اطلاعاتی است که ازطریق اسکرپ کردن به دست آمدهاند و هیچ ارتباطی به پیامرسان داخلی ندارند. من معتقدم فرایند اسکرپ کردن توسط شرکتی در ایران انجام شده و سپس به اشخاص ثالث فروخته شده است.
این محقق همچنین در پاسخ به این سؤال که «آیا فاش شدن پایگاه داده ارتباطی با همهگیری ویروس کرونا داشته است یا خیر؟» گفت:
از این اطلاعات میتوان برای پخش کردن اخبار جعلی استفاده کرد. بهعنوان مثال میتواند گروههای بزرگی ساخت و اطلاعات غلط را در آن منتشر کرد. با این حال من فکر نمیکنم که هدف این بوده باشد.
بهروزرسانی: شرکت دادهپردازی رسپینا در خصوص هکشدن اطلاعات کاربران نسخههای غیررسمی تلگرام و میزبانی وبسایت شکار بیانیهای را منتشر کرد:
پیرو اخبار منتشر شده در خصوص افشای اطلاعات کاربران سرویسهای غیررسمی تلگرام و اطلاعاتی که در فضای مجازی توسط مسئولین ذیربط مبنی بر میزبانی وبسایت مذکور بیان شده است، شرکت رسپینا ضمن ابراز تأسف از اظهارنظرهای غیرکارشناسی انجامشده، به جهت شفافسازی اذهان عمومی در این خصوص به اطلاع میرساند که وبسایت مذکور از یکی از شرکتهای ارائهدهندهی خدمات هاستینگ سرویس دریافت میکرده است و شرکت رسپینا صرفا با اجارهی فضای دیتاسنتر (کولوکیشن) به شرکت مذکور، سرورهای شرکت ارائهدهندهی خدمات هاستینگ را میزبانی نموده است. لازم به توضیح است در سرویس کولوکیشن برخلاف سرویس هاستینگ امکان هیچگونه دخل و تصرفی در تنظیمات امنیتی سرورهای مشتری توسط شرکت ارائهدهندهی خدمات وجود ندارد (قابل ذکر است سرویس هاستینگ نیز جزو خدمات شرکت رسپینا نیست)، همچنین اپراتورهای ارائهدهندهی خدمات ارتباطی از جمله شرکت رسپینا، اجازهی رصد فعالیت یا ورود به حریم خصوصی سرویسگیرندگان خود را قانونا و اخلاقا نداشته و این مهم در حیطهی اختیارات شرکتهایی مانند رسپینا نیست.
لازم به ذکر است که ارائهی کلیهی خدمات شرکت دادهپردازی رسپینا همواره مطابق با مصوبات، الزامات و قوانین سازمان تنظیم مقررات و ارتباطات رادیویی بوده و در خصوص چگونگی استفاده از این سرویسها، قانونا مسئولیتی متوجه این شرکت نیست.