اطلاعات ۴۲ میلیون کاربر ایرانی توسط نسخه‌های غیررسمی تلگرام فاش شد [به‌روزرسانی: بیانیه رسپینا]

شب گذشته وب‌سایت Comparitech اعلام کرد اطلاعات ۴۲ میلیون کاربر توسط نسخه‌ی غیررسمی پیام‌رسان تلگرام که در ایران استفاده می‌شده فاش شده است و هیچ‌گونه احراز هویتی برای دسترسی به آن‌ها نیاز نیست. این وب‌سایت با همکاری باب دیاچنکو، محقق امنیتی گزارش مربوطه یعنی فاش شدن نام کاربری، شماره‌ی تلفن و سایر اطلاعات کاربران نسخه‌ی غیررسمی تلگرام را نوشته است. به‌گفته‌ی این وب‌سایت، اطلاعات توسط گروهی به‌نام «سامانه‌ی شکار» فاش شده است که برای دسترسی به آن نیازی به رمز عبور یا احراز هویت نیست؛ این اطلاعات بعد از اینکه توسط دیاچنکو در تاریخ ۲۵ مارس (۶ فروردین‌ماه) به ارائه‌دهنده‌ی میزبان گزارش داده شد، پاک شد.

تلگرام می‌گوید اطلاعات فاش شده مربوط به یکی از نسخه‌های غیررسمی تلگرام است که هیچ ارتباطی با این شرکت یعنی تلگرام ندارد. تلگرام یک اپلیکیشن متن باز است که به اشخاص ثالث اجازه می‌دهد که نسخه‌ی خودشان را از روی نسخه‌ی اصلی بسازند. تلگرام همچنین در ادامه گفته است که به دلیل فیلتر شدن نسخه‌ی اصلی اپلیکیشن تلگرام در ایران، کاربران زیادی از نسخه‌های غیررسمی این اپلیکیشن استفاده می‌کردند. سخنگوی تلگرام به وب‌سایت Comparitech گفت:

ما می‌توانیم تأیید کنیم که این اطلاعات از نسخه‌ی غیررسمی استخراج فاش شده است. متأسفانه با وجود هشدارهای ما، مردم ایران هنوز هم از نسخه‌های غیررسمی تلگرام استفاده می‌کنند. اپلیکیشن‌های تلگرام متن باز هستند، بنابراین بسیار مهم است که کاربران از نسخه‌های رسمی ما که نسخه‌های قابل تأیید پشتیبانی می‌کنند، استفاده کنند.

مشابه این اتفاق در سال ۲۰۱۶ نیز پیش آمده بود که به گزارش رویترز، ۱۵ میلیون شناسه‌ی کاربری تلگرام به‌همراه شماره تلفن و کدهای تأیید توسط هکرهای ایرانی شناسایی شده و نتیجه این بود که حساب‌های کاربری زیادی در معرض خطر قرار گرفتند.

داده‌هایی که به‌تازگی فاش شده‌اند به مدت ۱۱ روز پیش از اینکه پاک شوند، در دسترس قرار داشتند، زمان انتشار داده‌ها عبارت است از:

۱۵ مارس (۲۵ اسفند ۹۸): پایگاه داده توسط موتور جستجوی ‌inaryEdge ایندکس شده است.

۲۱ مارس (۲ فروردین ۹۹): دیاچنکو متوجه داده‌های فاش شده می‌شود و تحقیقات خود را آغاز می‌کند.

۲۴ مارس (۵ فروردین ۹۹): دیاچنکو گزارش سوءاستفاده را به ارائه‌دهنده‌ی میزبان ارسال می‌کند.

۲۵ مارس (۶ فروردین ۹۹): داده‌ها حذف می‌شوند.

وب‌سایت Comparitech در گزارش خود نوشته است که به‌نظر می‌رسد سایر کاربران غیرمجاز به این داده‌ها دسترسی داشتند و حداقل یک کاربر این داده‌ها را به یکی از انجمن‌های هکرها ارسال کرده است. پایگاه‌داده شامل اطلاعات بیش از ۴۲ میلیون کاربر ایرانی از جلمه شناسه‌ی حساب کاربری، نام کاربری، شماره تلفن، هش‌ها و کلیدهای مخفی است. سخنگوی تلگرام می‌گوید هش‌ها و کلیدهای مخفی پایگاه داده نمی‌توانند برای دسترسی به حساب‌های کاربری استفاده شوند و تنها از داخل حساب کاربری که به آن تعلق دارند کار می‌کنند.

اطلاعات منتشر شده در این پایگاه داده، کاربران را در معرض خطر قرار می‌دهد؛ زیرا نه‌تنها مشخص می‌کند که چه شخصی در ایران از تلگرام یا نسخه‌های غیررسمی تلگرام استفاده می‌کند بلکه آن‌ها را در معرض حمله‌ی Sim swap قرار می‌دهد. SIM swap یا تعویض سیم‌کارت زمانی رخ می‌دهد که مهاجم، اپراتور تلفن همراه را قانع می‌کند که شماره‌ی موبایل را به سیم‌کارت جدیدی منتقل کند (اپراتور سیم‌کارت جدیدی برای شماره‌ی مورد نظر صادر می‌کند)، بنابراین مهاجم می‌تواند به پیام‌ها و تلفن‌های دریافتی و ارسالی کاربر دسترسی داشته باشد؛ همچنین مهاجم می‌تواند کدهای تأیید دسترسی را دریافت کند و درنتیجه به حساب کاربری و پیام‌های اپلیکیشن دسترسی کامل داشته باشد. همچنین قربانیانی که شماره تلفن همراه آن‌ها در پایگاه داده فاش شده وجود دارد می‌توانند در معرض حمله‌های فیشینگ و اسکم قرار بگیرند.

وب‌سایت Comparitech در پایان گزارش خود نوشته است که با همکاری باب دیاچنگو برای پیدا کردن پایگاه داده‌ی لورفته تلاش کرده است و بعد از پیدا کردن آن، این اتفاق را گزارش داده است؛ سپس در مورد داده‌ها و آسیب احتمالی که به کاربران وارد می‌کند تحقیق کرده‌اند. درنهایت بعد از کسب اطمینان از پاک شدن یا ایمن شدن اطلاعات، گزارشی را برای افزایش آگاهی منتشر کرده است.

از طرفی این موضوع یعنی فاش شدن اطلاعات بیش از ۴۲ میلیون کاربر ایرانی که از نسخه‌ی غیررسمی تلگرام استفاده می‌کردند واکنش‌هایی را در شبکه‌های اجتماعی به‌همراه داشت. محمد جرجندی، از فعالان توییتری در حساب کاربری خود نوشته است که این پایگاه داده با قیمت ۵۰۰ دلار قابل خرید است. او همچنین نوشته است که به‌نظر می‌رسد فروشنده، پایگاه داده‌ی سامانه‌ی شکار را تا این لحظه به چهار نفر فروخته است و براساس اطلاعات منتشر شده یکی از این خریداران از گروه‌های دزدان فیشینگ است.

امیر ناظمی، رئیس سازمان فناوری اطلاعات ایران نیز به این موضوع واکنش نشان داد و با انتشار توییتی نوشته:

گزارش مرکز ماهر:در دی۹۶ در مورد عدم امنیت پوسته‌های تلگرام هشدار دادیم. البته شواهدی وجود دارد که این اطلاعات به شیوه‌‌ی دیگری جمع‌آوری شده است! سایت ادعا شده با نام شکار که در شرکت رسپینا میزبانی می‌شده، شناسایی شد. گزارش برای رسیدگی قضایی به دادستانی ارجاع خواهد شد.

از طرفی وب‌سایت دیگری به‌نام hackread اعلام کرده است که اطلاعات فاش شده از هات‌گرام و طلاگرام (تلگرام طلایی)، دو نسخه‌ی غیررسمی تلگرام فاش شده است. به‌گفته‌ی این وب‌سایت یکی از محققان امنیتی، داده‌ها را مورد بررسی قرار داده و می‌گوید این پایگاه داده به کمک اسکرپ کردن یعنی فرآیندی که داده‌ها از وب‌سایت‌ها و سایر سرورها جمع‌آوری می‌شوند ساخته شده است. او گفت:

داده‌ها شامل اطلاعاتی است که ازطریق اسکرپ کردن به دست آمده‌اند و هیچ ارتباطی به پیام‌رسان داخلی ندارند. من معتقدم فرایند اسکرپ کردن توسط شرکتی در ایران انجام شده و سپس به اشخاص ثالث فروخته شده است.

این محقق همچنین در پاسخ به این سؤال که «آیا فاش شدن پایگاه داده ارتباطی با همه‌گیری ویروس کرونا داشته است یا خیر؟» گفت:  

از این اطلاعات می‌توان برای پخش کردن اخبار جعلی استفاده کرد. به‌عنوان مثال می‌تواند گروه‌های بزرگی ساخت و اطلاعات غلط را در آن منتشر کرد. با این حال من فکر نمی‌کنم که هدف این بوده باشد.

به‌روزرسانی: شرکت داده‌پردازی رسپینا در خصوص هک‌شدن اطلاعات کاربران نسخه‌های غیررسمی تلگرام و میزبانی وب‌سایت شکار بیانیه‌ای را منتشر کرد:

پیرو اخبار منتشر شده در خصوص افشای اطلاعات کاربران سرویس‌های غیررسمی تلگرام و اطلاعاتی که در فضای مجازی توسط مسئولین ذیربط مبنی بر میزبانی وب‌سایت مذکور بیان شده است، شرکت رسپینا ضمن ابراز تأسف از اظهارنظرهای غیر‌کارشناسی انجام‌شده، به جهت شفاف‌سازی اذهان عمومی در این خصوص به اطلاع می‌رساند که وب‌سایت مذکور از یکی از شرکت‌های ارائه‌‌دهنده‌ی خدمات هاستینگ سرویس دریافت می‌کرده است و شرکت رسپینا صرفا با اجاره‌ی فضای دیتاسنتر (کولوکیشن) به شرکت مذکور، سرور‌های شرکت ارائه‌دهنده‌ی خدمات هاستینگ را میزبانی نموده ‌است. لازم به توضیح است در سرویس کولوکیشن بر‌خلاف سرویس هاستینگ امکان هیچگونه دخل و تصرفی در تنظیمات امنیتی سرورهای مشتری توسط شرکت ارائه‌دهنده‌ی خدمات وجود ندارد (قابل ذکر است سرویس هاستینگ نیز جزو خدمات شرکت رسپینا نیست)، همچنین اپراتورهای ارائه‌دهنده‌ی خدمات ارتباطی از جمله شرکت رسپینا، اجازه‌ی رصد فعالیت یا ورود به حریم خصوصی سرویس‌گیرندگان خود را قانونا و اخلاقا نداشته و این مهم در حیطه‌ی اختیارات شرکت‌هایی مانند رسپینا نیست.لازم به ذکر است که ارائه‌ی کلیه‌ی خدمات شرکت داده‌پردازی رسپینا همواره مطابق با مصوبات، الزامات و قوانین سازمان تنظیم مقررات و ارتباطات رادیویی بوده و در خصوص چگونگی استفاده از این سرویس‌ها، قانونا مسئولیتی متوجه این شرکت نیست.