لو رفتن شماره موبایل ۴۲ میلیون ایرانی در تلگرام!
پائول بیشوف (Paul Bischoff) متخصص حریم خصوصی کاربران و نویسنده وبسایت «کامپریتک» ، روز گذشته با انتشار مقالهای در این وبسایت از لو رفتن شماره موبایل ۴۲ میلیون ایرانی در تلگرام به همراه آیدی حساب کاربریشان خبر داده است.
تلگرام روز گذشته آپدیت جدیدی از اپلیکیشن خود ارائه داد و از امکان ساخت پوشه چت در تلگرام رونمایی کرد. موضوعی که به سرعت به تیتر نخست اخبار بدل شد. اما به نظر میرسد، در بحبوحه دنیاگیری ویروس کرونای جدید (SARS-COV-2) موضوعی دیگر از چشم اذهان به دور مانده است؛ لو رفتن شماره موبایل ۴۲ میلیون ایرانی در تلگرام به همراه ID حساب کاربریشان.
چهل و دو میلیون آیدی حساب کاربری تلگرام و شماره تلفن مرتبط با آن که به نسخههای غیررسمی (third-party) تلگرام مربوط میشود (احتمالاً اشاره به تلگرام طلایی، هاتگرام، موبوگرام و نظیر آن) بدون هیچ پسوردی به صورت آنلاین لو رفته است. بررسی هک تلگرام ۴۲ میلیون ایرانی نشان میدهد این اکانتها به کاربران در ایران تعلق دارد؛ جایی که دسترسی به تلگرام بلاک شده است.
کامپریتک با باب دیاچنکو (Bob Diachenko)، محقق امنیت سایبری، برای گزارش هک تلگرام ۴۲ میلیون ایرانی همکاری کرد. این درز امنیتی نام کاربری، شماره تلفن و اطلاعات دیگری از ۴۲ میلیون اکانت را شامل میشود. این دیتاها توسط گروهی به نام «سامانه شکار» بر روی یک الستیک سرچ کلاستر (Elasticsearch cluster) منتشر شده که به هیچ پسورد یا اعتبارسنجی دیگری برای دسترسی نیاز ندارد. پس از آنکه در ۲۵ مارس ۲۰۲۰ (۲۵ اسفند ۹۸) دیاچنکو این اتفاق را به هاست ارائه دهنده گزارش داد، دادهها حذف شدند.
تلگرام میگوید این دادهها از یک نسخه غیرسمی تلگرام که ارتباطی با کمپانی اصلی ندارند به بیرون درز کرده است. تلگرام یک اپلیکیشن اوپنسورس یا متن باز است؛ به این معنا که اشخاص ثالث این اجازه را میدهد که نسخههای تلگرام خودشان را بسازند. به دلیل آنکه نسخه اصلی تلگرام در ایران بلاک شده است، بسیاری از کاربران به نسخههای غیررسمی روی آوردند.
یک سخنگوی تلگرام در این زمینه به کامپریتگ میگوید:
تأیید میکنیم که این دادهها به نظر میرسد از یک نسخه غیررسمی که مخاطبان کاربر را استخراج میکند، منشاء گرفته است. متأسفانه علیرغم هشدارهای ما مردم در ایران کماکان از نسخههای تایید نشده اپلیکیشن استفاده میکنند. اپلیکیشن تلگرام اوپن سورس است، بنابراین مهم است که از اپلیکیشنهای رسمی ما که از ساختارهای قابل تایید پشتیبانی میکنند استفاده شود.
در سال ۲۰۱۶ نیز رویترز گزارش داده بود که ۱۵ میلیون آیدی (ID) تلگرام، شماره تلفن و کدهای اعتبارسنجی مرتبط به آن توسط هکرهای ایرانی شناسایی شد.
تایملاین لو رفتن شماره موبایل ۴۲ میلیون ایرانی در تلگرام
این دادهها پیش از آنکه توسط ارائه دهنده هاست حذف شوند، به مدت ۱۱ روز در دسترس بود.
۱۵ مارس (۲۵ اسفند ۹۸): دیتابیس توسط موتور جستجوگر بایتریاج (BinaryEdge) ایندکس شد.
۲۱ مارس (۲ فروردین ۹۹): دیاچنکو لو رفتن دیتاها را شناسایی و تحقیقات خود را آغاز کرد.
۲۴ مارس (۵ فروردین ۹۹): دیاچنکو به ارائهدهنده هاستینگ موضوع را گزارش داد.
۲۵ مارس (۶ فروردین ۹۹): الستیک سرچ کلاستر مذکور حذف شد.
به نظر میرسد سایر افراد پس از لو رفتن دادهها امکان دسترسی به آنها را داشتهاند. ما دست کم یک کاربر را پیدا کردیم که دیتاها را در یک فروم هکر پست کرده است.
چه دادههایی لو رفتهاند؟
این دیتابیس بیش از ۴۲ میلیون رکورد دارد که به کاربرانی در ایران تعلق دارد. اطلاعاتی که از ۴۲ میلیون کاربر ایرانی منتشر شده به قرار زیر است:
- آیدی (ID) اکانتهای کاربران
- نام کاربری یا یوزرنیم
- شماره تلفن همراه
- هشها (Hash) و کلیدهای رمز
آنطور که سخنگوی تلگرام گفته است از هشها و کلیدهای رمز برای دسترسی به حسابهای کاربری نمیتوان استفاده کرد. آنها فقط با دسترسی پیشین به اکانت قابل استفاده هستند.
چه خطراتی کاربران را تهدید میکند؟
اطلاعاتی که در این دیتابیس لورفته وجود دارند یک ریسک آشکار برای کاربران به شمار میروند. این دادهها نه تنها مشخص میکنند که چه کسانی در ایران از تلگرام و نسخههای غیررسمیاش استفاده میکند، بلکه هرگونه حفاظتی برای جلوگیری از انجام حملات امنیتی به سوی آنها را از میان برده است.
یکی از این حملات میتواند «حمله تعویض سیمکارت» یا SIM swap attack باشد. حمله سیم سواپ زمانی رخ میدهد هکر شخص مورد حمله را متقاعد کرده تا شماره تلفن خود را به سیم کارت جدیدی انتقال دهد. موضوعی که آنها را قادر میسازد تماسهای تلفنی و پیامکهای فرد قربانی را دریافت و ارسال کنند. با این کار میتوانند کد اعتبارسنجی ورود به حساب کاربری تلگرام قربانی را دریافت کنند و در نهایت دسترسی به تمامی پیامها و اکانتهای قربانی را به دست بگیرند.
این قربانیان همچنین در خطر فیشینگ یا اسکمها (Scam) با استفاده از شماره تلفنهای موجود در دیتابیس قرار دارند.
تاریخچه مختصری از فعالیت تلگرام در ایران
تلگرام با بیش از ۵۰ میلیون کاربر در سراسر ایران، محبوبترین اپلیکیشن پیامرسان در این کشور به شمار میرود. این پیامرسان به دلیل امنیت بالا، مثلا ارائه رمزنگاری End-to-End برای پیامها، محبوبیت پیدا کرده است. این به آن معناست که اشخاص ثالث نمیتوانند به محتوای گفتگوهای میان افراد پی ببرند.
همانطور که اشاره شد در سال ۲۰۱۶ هکرها اطلاعات حساب کاربری بیش از ۱۵ میلیون کاربر در ایران را شناسایی کردند. متخصصان میگویند ارائهدهندگان خدمات موبایل در ایران احتمالا پیامکهای مورد استفاده از برای فعال کردن اکانتهای جدید تلگرام را قطع کردهاند. کامپریتک مینویسد این کمپانیها در ادامه پیامکها و شماره تلفنها را به هکرها دادهاند و هکرها با استفاده از این اطلاعات به حسابهای کاربری وارد شدهاند.
مقامات ایرانی چندین مرتبطه در حدفاصل سالهای ۲۰۱۵ تا ۲۰۱۷ تلگرام را مسدود کردند. همچنین از اوایل سال ۲۰۱۸ پس از وقوع ناآرامیهایی در ایران تلگرام به طور دائم مسدود شد. علیرغم این اتفاق، تلگرام کماکان محبوبترین پیامرسان در ایران است. بسیاری از کابران از طریق پروکسیها و vpnها دسترسی خود را برقرار میکنند. برخی نیز به سوی نسخههای غیررسمی که مسدود نشده بودند روی آوردند.
اپلیکیشن تلگرام اوپن سورس است، به این معنا که هر شخص ثالثی میتواند نسخه ای از آن شخصیسازی کند. نسخهها غیررسمی بسیاری از این پیامرسان در طول مدت اندکی ساخته شد. اپراتورهای این نسخههای غیررسمی اگرچه کد اپلیکیشن را به اشتراک میگذاشتند، اما ارتباطی به تلگرام اصلی نداشتند. آنها همچنین لزوماً سنجشهای امنیتی لازم نداشتند و حتی در مورادی اهمیتی به حریم خصوصی کاربران نمیدهند.
هک تلگرام ۴۲ میلیون ایرانی چگونه کشف شد؟
لو رفتن شماره موبایل ۴۲ میلیون ایرانی در تلگرام چگونه کشف شد؟ تیم کامپریتک با همکاری «باب دیاچنکو» دیتابیسهایی بر روی وب پیدا کرد که امنیت مناسبی نداشتند. پس از آنکه درز این اطلاعات یافت شد، بر اساس گایدلاینهای مسئولیت افشا، بلافاصله موضوع گزارش شد. در ادامه این تیم برای مشخص کردن اینکه دیتاها شامل چه مواردی هستند و به چه کسانی تعلق دارند، مطالعه آنها را آغاز کردند. هدف این مطالعه بررسی پتانسیل آسیبی است که ممکن است به کاربران وارد آید.
مهم نیست از نسخه اصل استفاده میکردند یا نه، همه قربانی شدند. عامل تلگرامهای غیر اصل بودند و تلاش شده اطلاعات کاربران را در بازار سیاه بفروشند.
