فاجعه ترسناک باتهای ناشناس تلگرام؛ اطلاعات خصوصی ۱۴ میلیون کاربر ذخیره شده است
محققان و پژوهشگران امنیت سایبری از مدتها پیش در مورد امن نبودن رباتهای پیام ناشناس تلگرام هشدار داده بودند و از کاربران میخواستند از این رباتها حداقل برای ارسال اطلاعات مهم استفاده نکنند؛ اما شواهد نشان میدهد که متأسفانه کاربران زیادی توصیهی آنها را نادیده گرفتهاند و حالا اطلاعات ارسالی بیش از ۱۴ میلیون کاربر سه ربات معروف تلگرام شامل ۴۶۹ میلیون متن، ۱۱ میلیون عکس و تقریباً ۳ میلیون ویدیو در سرورهای سه ربات مذکور ذخیره شده است.
بیایید در ابتدا نگاهی به ساختار رباتهای ناشناس داشته باشیم
ربات ناشناس درواقع واسطهای بین فرستنده و دریافتکنندهی پیام ناشناس محسوب میشود. گفتوگوی ناشناس به این صورت است که کاربر دریافتکنندهی پیام متوجه نخواهد شد که ارسالکنندهی پیام کیست؛ اما این گفتوگو کاملاً هم ناشناس نیست؛ زیرا سرور ربات به اطلاعات چتها دسترسی دارد و بهراحتی میتواند آنها را ذخیره کند.
نگاهی به آسیبپذیری
به نظر میرسد IP سرور از روی درگاه پرداخت لو رفته است و یک تیم (آکادمی ووریکس) که به این اطلاعات دسترسی پیدا کردهاند، با اسکن فایلهای روی سرور، آسیبپذیری را پیدا کردهاند و در نهایت موفق به گرفتن RCE روی سرور اول شدهاند؛ سپس بعد از آنالیز فایلهای php دانلودشده از سرور اول، به دو سرور دیگر نفوذ کردهاند.
نکتهی جالب اینجا است که آکادمی ووریکس در نهایت تمام دیتای ذخیرهشده شامل عکس، ویدیو و پیامها را ار روی سرورها بهصورت کامل حذف کردهاند، اما مشخص نیست که مدیران باتها از این اطلاعات بکاپ داشتهاند یا نه!
نگاهی به مقوله باتهای ناشناس تلگرام
تصور ناشناس بودن در باتهای ناشناس تلگرام صرفاً به این موضوع برمیگردد که دریافتکنندهی پیام متوجه هویت ارسالکنندهی پیام نخواهد شد، اما در این میان، سرور ربات که در اختیار سازنده ربات است، اطلاعات ارسالی هر دو طرف پیام را دارد، یعنی هم فرستنده و هم گیرنده.
شاید سازندهی ربات ادعا کند که اطلاعات خیره نمیشوند، اما واقعیت این است که راهی برای اثبات ادعایش وجود ندارد، حتی اگر ربات ناشناسی سورس کدش را در دسترس عموم قرار دهد، باز هم نمیدانیم که آیا آن سورس کد روی سرور اجرا میشود یا خیر.
حتی اگر سورس کد همان سورس کدی باشد که بهصورت عمومی در دسترس کاربران قرار گرفته است، باز هم وبسرور ربات میتواند کل درخواستها از سمت تلگرام را در جای دیگر لاگ کند که شامل پیامهای ارسالشده میشود.
نکتهی مهم دیگر این است که حتی اگر ربات ناشناس اطلاعات را نه در دیتابیس و نه در وبسرور لاگ نکند، کاربر صاحب ربات (دارندهی توکن) این امکان را دارد که با تابع copyMessages تلگرام، تمامی پیامها را از ابتدا تا انتها برای خودش یا شخص دیگری ارسال کند.
از رباتهای ناشناس تلگرام استفاده کنیم یا نه؟
همیشه در هنگام تعامل با با رباتهای ناشناس فرض را بر این بگیرید که صاحب و سازندهی آن ربات به پیامهای ردوبدلشدهی بین شما و ربات دسترسی دارد. اگر رباتی را به گروهی اضافه میکنید، آن ربات بسته به ماهیتی که دارد، شاید به کل پیامهای گروه دسترسی داشته باشد و شاید هم نه؛ اما در گفتوگوهای خصوصی در رباتهای ناشناس سازندهی ربات همواره به محتوای ارسالی شما دسترسی دارد.
حالا چهکار کنیم؟!
تنها راهی که رباتهای ناشناس نتوانند اطلاعات ذخیرهشده را به اکانت شما ربط دهند، این است که اکانت تلگرام خود را حذف کنید و سپس مجدداً حساب کاربری بسازید و از نام کاربری جدیدی استفاده کنید. تغییر نام کاربری بهتنهایی فایدهای ندارد؛ چراکه تلگرام از User ID برای ثبت شدن اطلاعات استفاده میکند.
در نهایت، به نظر میرسد عاقلانهترین کار، توجه به توصیهی پژوهشگران و کارشناسان امنیت اینترنت است؛ حتی اگر ربات تأکید داشته باشد که اطلاعات را ذخیره نمیکند.
با تشکر از امیرحسین بانوی که در نوشتن این مطلب کمک کرد.
نظرات