ربات‌های به‌اصطلاح ناشناس می‌توانند امنیت و حریم خصوصی را حراج کنند

هک شدن سه ربات ناشناس تلگرامی توسط افرادی از تیم آکادمی ووریکس اطلاعات تکان‌دهنده‌ و نگران‌کننده‌ای درباره به خطر افتادن امنیت و حریم خصوصی کاربرانی که از این ربات‌های ناشناس برای چت کردن، ارسال عکس و ویدیو و... استفاده می‌کردند را افشا کرد. این هک نشان داد که این سه بات تلگرامی اطلاعات بیش از ۱۴ میلیون کاربر را ذخیره کرده‌اند. این اطلاعات ۴۶۹ میلیون متن، حدود ۱۱ میلیون عکس و ۳ میلیون ویدیو را شامل می‌شد که افشای بسیاری از آن‌ها می‌توانست منجر به خطر افتادن امنیت این کاربران شود.

محمد عربی

فاجعه ترسناک بات‌های ناشناس تلگرام؛ اطلاعات خصوصی ۱۴ میلیون کاربر ذخیره‌ شده است

مطالعه '4

در سال‌های اخیر که استفاده کاربران از این ربات‌های ناشناس اوج گرفته بود، کارشناسان بارها نسبت به استفاده از این بات‌ها هشدار داده و تاکید کرده بودند که هیچ ربات ناشناسی کاملا ناشناس نیست و ناامنی این بات‌ها می‌تواند عواقب جدی داشته باشد.

وحید فرید، فعال حوزه تکنولوژی و امنیت، در گفت‌وگو با زومیت به فرض اشتباهی که افراد درباره این ربات‌های اصطلاحا ناشناس دارند اشاره کرده و توضیح می‌دهد: «افراد فرض می‌کنند وقتی با ربات ناشناس کار می‌کنند، این ربات آن‌ها را نمی‌شناسد. این فرض کاملا اشتباه است و ربات ناشناس اطلاعات پابلیک اکانت کاربر را می‌بیند. اسم این ربات‌ها اساسا غلط‌انداز است. ربات ناشناس، ناشناس نیست. فقط خود کاربر نمی‌بیند که چه اطلاعاتی دارد تبادل می‌شود. در واقع، ربات برای شما ناشناس است اما شما برای ربات ناشناس نیستید.»

آرین اقبال، کارشناس حوزه فناوری اطلاعات، هم توضیح می‌دهد که «هر مدلی از چت ناشناس با هر شیوه‌ای که پیاده‌سازی شده باشد ناامن است. امکان ندارد شما بتوانید ربات چت ناشناس امن داشته باشید. چون در سمت کلاینت تنها راه ایجاد امنیت رمزنگاری انتهابه‌انتها (end-to-end Encryption) است و چون تلگرام در مورد ربات‌ها چنین امکانی را ایجاد نمی‌کند ربات چت ناشناس ذاتا ناامن است و انگیزه راه‌اندازی چنین رباتی هم بسیار مشکوک است.»

نکته دیگر درباره ربات‌های ناشناس این است که اساسا برای ما ناشناخته‌اند و کسی نمی‌داند چه کسی آن‌ها را راه انداخته؛ در واقع این ربات‌ها موجودیت حقیقی یا حقوقی شناخته‌شده ندارند و کسی که این ربات‌ها را می‌نویسد به هیچ سازوکاری هم پاسخ‌گو نیست.

این پاسخ‌گو نبودن و ناشناختگی به سازندگان این ربات‌ها را آزاد می‌گذارد که به هر طریقی که مایل باشند از کاربران و اطلاعات‌شان سوءاستفاده کنند. فرید درباره این موضوع این طور توضیح می‌دهد:

این سازنده ربات است که تصمیم می‌گیرد با اطلاعاتی که از کاربر دارد چه کار کند. می‌تواند این اطلاعات را به طرف ثانویه بفروشد. در مورد اخیری که سرور ربات‌های ناشناس هک شدند دیدیم که صاحبان این ربات‌ها اطلاعات را نگه داشته بودند و برایشان کاملا مشخص بود که یک اکانت تلگرام چه چیزی را به چه کسی فرستاده یا چه فایلی را برای چه کسی فرستاده است.

- وحید فرید، فعال حوزه تکنولوژی و امنیت

اقبال هم به همین آزادی صاحب ربات در استفاده از اطلاعاتی که در اختیار دارد اشاره می‌کند: «ما اصلا نمی‌دانیم در سمت سرور ربات چه اتفاقی می‌افتد. کدی که آن طرف وجود دارد مشخص نیست و کسی که کد را نوشته چون هویت هر دو طرف چت ناشناس را می‌داند و محتوا، یعنی متن، ویدیو و عکس، به‌صورت شفاف در اختیار دارد، بنابراین، هر کاری بخواهد می‌تواند انجام دهد.»

ربات‌های تلگرامی به شناسه تلگرام کاربر متصل هستند و سازوکارشان به صورتی است که وقتی به ربات پیغام می‌دهید، تلگرام اطلاعات اکانت شما را به سروری خارج از سرورهای تلگرام ارسال می‌کند. یعنی اگر شما در تنظیمات تلگرام خود شماره موبایل‌تان را برای همه به نمایش گذاشته باشید سرور ربات هم آن را می‌بیند؛ اما اگر اطلاعات خاصی را فقط برای مخاطبان‌تان -نه به‌صورت عمومی- نمایش داده باشید، ربات تلگرامی و سرور ثانویه این اطلاعات را نمی‌بیند.

علاوه بر این اطلاعات، متن‌ها و تصاویر ردوبدل شده بین فرستنده و گیرنده هم توسط سازنده ربات ذخیره شده که نشان می‌دهد قصد و نیت خاصی از ساختن این ربات‌ها وجود داشته است. وحید فرید در این خصوص می‌گوید:

سازنده این ربات‌ها احتمالا هدفی داشته‌ که همه این اطلاعات را نگه داشته‌ است، چون این امکان را داشته که اطلاعات را ذخیره نکند. صاحب این ربات می‌توانست انتقال اطلاعات به اکانت ثانویه (گیرنده) را On the Fly انجام دهد و آن‌ها را نگه ندارد اما این کار را انجام نداده و همه آن‌ها را ذخیره کرده است.

- وحید فرید، فعال حوزه تکنولوژی و امنیت

یک ربات در صورتی که پیام یا فایلی را پس از انتقال از طرف اول به طرف دوم از بین ببرد و ذخیره نکند می‌تواند امن باشد اما در مورد ربات‌ها مساله این است که راهی برای فهمیدن این که آیا اطلاعات ذخیره شده یا نه نداریم.

البته فرید به امکاناتی که در بعضی کشورها برای شناسایی میزان امن بودن ربات‌ها وجود دارد اشاره کرده و می‌گوید: «در سایر کشورها یک شخص ثالث، مثلا شرکت‌هایی که در این حوزه‌ کار می‌کنند، می‌توانند امنیت سرور ربات را تضمین کنند. مثلا شرکت بگوید هر سه ماه یک بار سرور ربات ناشناس را بررسی می‌کنم و می‌دانم که اطلاعات را ذخیره نمی‌کند. اما در کشور ما چنین شرکت‌هایی نداریم و کسی نمی‌تواند تضمین کند که یک ربات امن است.»

آرین اقبال انگیزه پشت ساخت ربات‌های ناشناس را مشکوک می‌داند و این سوال را مطرح می‌کند که «سازنده این ربات از این که برای سروری که بتواند این حجم از دیتا را پردازش کند و برای فضای ذخیره‌سازی که بتواند این حجم از اطلاعات را ذخیره کند چه هدف و نیتی داشته؟» او می‌گوید:

بعید است که صرفا برای سرگرمی یا فراهم کردن بستری برای چت ناشناس دیگران این کار را کرده باشد؛ قطعا قصد و نیتی وجود داشته است. حالا یا این قصد و نیت برنامه‌ریزی‌شده و از طرف فرد یا گروهی بوده که می‌خواسته از مردم اطلاعات داشته باشد یا فقط سرگرمی احمقانه یک دولوپر بوده است. هدف اصلی را نمی‌دانم اما قطعا به‌صورت عمدی در حال مانیتور کردن اطلاعات مردم بوده و این کار صرف نظر از جرم بودنش، بسیار هم خطرناک است.

- آرین اقبال، کارشناس حوزه فناوری اطلاعات

وحید فرید هم با اشاره به این که ذخیره کردن چندین ترابایت اطلاعات پول زیادی می‌خواهد، توضیح می‌دهد که حتما این هزینه از یک جایی تامین می‌شود و صاحب ربات احتمالا منفعت خاصی می‌برد که برای چنین فضای ذخیره‌سازی بزرگی هزینه می‌کند: «ممکن است در پس داشتن چنین رباتی منفعت اقتصادی باشد یا شاید صاحب ربات به دنبال کسب قدرت است. یعنی اطلاعاتی را از اشخاص دریافت و نگه‌داری کند تا کسانی را تحت فشار قرار دهد یا آن‌ها را تهدید کند.»

او در ادامه نیز توضیح می‌دهد که کل منفعت مالی این ربات‌ها یکی این است که از کاربر پول می‌گیرد تا اطلاعاتی بیشتر از آنچه به همه نشان می‌دهد را به او نشان دهد؛ مثلا پول بیشتر می‌گیرد که به کاربر بگوید یک پیام از چه اکانتی ارسال شده است.

اقبال هم به موضوع اطلاعات مربوط به کودکان اشاره می‌کند و به زومیت می‌گوید: «در این ربات‌ها بحث چت کردن افراد زیر سن قانونی باهم یا این افراد با افراد بزرگتر از خود مطرح شده؛ به علاوه، افراد در این فضاهای ناشناس تهدید هم می‌شوند. کسی که این ربات را نوشته با داشتن محتوای خصوصی کاربران ابزار فشار بسیار قدرتمندی در اختیار دارد. اطلاعات خصوصی‌ای در دست آن‌هاست که خود کاربران هم حاضر نیستند آن‌ها را به‌صورت عمومی منتشر کنند. بنابراین، کسی که این اطلاعات را در اختیار دارد می‌تواند از آن برای باج‌گیری و سوءاستفاده از افراد استفاده کند.»

این کارشناس حوزه فناوری اطلاعات در پایان به یک نکته مهم و قابل تامیل هم اشاره می‌کند:

وقتی یک نفر به همین راحتی این ربات را هک کرده، قطعا یک گروه هکری کلاه سیاه یا سازمان اطلاعاتی خیلی راحت‌تر می‌توانستند این کار را انجام دهند. با توجه به ناامن بودن این ربات‌ها و دیتای مهمی که در آن وجود دارد، به احتمال زیاد این ربات قبل از این هم هک شده و از اطلاعاتش سوءاستفاده شده است. مثلا ممکن است اطلاعات، چت‌ها، عکس‌ها و ویدیوها در اختیار گروه‌های هکری یا نهادهای خاصی قرار گرفته باشد.

- آرین اقبال، کارشناس حوزه فناوری اطلاعات

این موضوعی است که خود هکرهای آکادمی ووریکس هم به آن اشاره کرده بودند. امیرمحمد صفری که هک این ربات‌ها را انجام داده در صفحه توییترش نوشته: «وقتی دسترسی گرفتم به رباتا و حجم دیتا رو دیدم، تا ساعت‌ها گیج بودم، نمیدونستم باید خوشحال باشم که قراره دیتا‌ها رو پاک کنم یا ناراحت باشم که چه کسایی تا الان از این اطلاعات سوء‌استفاده کردن؟»

این که تا امروز اطلاعات میلیون‌ها کاربر چطور رصد شده و چند مورد از آن‌ها افشا شده و چه آسیب‌هایی به امنیت افراد وارد شده نکات مهمی است که در نتیجه هک ربات‌های ناشناس مطرح شده است. ربات‌هایی که فقط به اسم، ناشناس هستند می‌توانند به‌راحتی هر یک از کاربران را شناسایی کرده و در معرض تهدید و سوءاستفاده قرار دهند. ربات‌‌هایی که تا امروز بسیاری از کاربران ایرانی از آن‌‌ها استفاده کرده‌اند حالا چهره‌ عریان‌شان پیش روی ما قرار گرفته و این عریانی به ما ثابت کرده است ربات‌های ناشناس محبوب به هیچ وجه ابزار قابل اعتماد و سالمی نیستند.