لو رفتن شماره موبایل 42 میلیون ایرانی در تلگرام

پائول بیشوف (Paul Bischoff) متخصص حریم خصوصی کاربران و نویسنده وبسایت «کامپریتک» ، روز گذشته با انتشار مقاله‌ای در این وبسایت از لو رفتن شماره موبایل 42 میلیون ایرانی در تلگرام به همراه آی‌دی حساب کاربری‌شان خبر داده است.

تلگرام روز گذشته آپدیت جدیدی از اپلیکیشن خود ارائه داد و از امکان ساخت پوشه چت در تلگرام رونمایی کرد. موضوعی که به سرعت به تیتر نخست اخبار بدل شد. اما به نظر می‌رسد، در بحبوحه دنیاگیری ویروس کرونای جدید (SARS-COV-2) موضوعی دیگر از چشم اذهان به دور مانده است؛ لو رفتن شماره موبایل 42 میلیون ایرانی در تلگرام به همراه ID حساب کاربری‌شان.

در این نوشتار ابتدا متن کامل این گزارش را مرور خواهیم کرد و چندی و چون گفته‌های آن را در کنار نظرات کارشناسان به بحث خواهیم گذاشت. در ادامه با تکراتو همراه باشید!

چهل و دو میلیون آیدی حساب کاربری تلگرام و شماره تلفن مرتبط با آن که به به نسخه‌های غیررسمی (third-party) تلگرام {احتملا اشاره به تلگرام طلایی، هاتگرام،‌ موبوگرام و نظیر آن} بدون هیچ پسوردی به صورت آنلاین لو رفته است. بررسی هک تلگرام ۴۲ میلیون ایرانی نشان میدهد این اکانت‌ها به کاربران در ایران تعلق دارد؛ جایی که دسترسی به تلگرام بلاک شده است.

کامپریتک با باب دیاچنکو (Bob Diachenko)، محقق امنیت سایبری، برای گزارش هک تلگرام ۴۲ میلیون ایرانی همکاری کرد. این درز امنیتی یوزرنیم، شماره تلفن و اطلاعات دیگری از ۴۲ میلیون اکانت را شامل می‌شود. این دیتاها توسط گروهی به نام «سامانه شکار» بر روی یک الستیک سرچ کلاستر (Elasticsearch cluster) منتشر شده که به هیچ پسورد یا اعتبارسنجی دیگری برای دسترسی نیاز ندارد. پس از آنکه در ۲۵ مارچ ۲۰۲۰ {۲۵ اسفند ۹۸} دیاچنکو این اتفاق را به هاست ارائه دهنده گزارش داد، داده‌ها حذف شدند.

تلگرام می‌گوید این داده‌ها از یک نسخه غیرسمی تلگرام که ارتباطی با کمپانی اصلی ندارند به بیرون درز کرده است. تلگرام یک اپلیکیشن اوپن‌سورس یا متن باز است؛ به این معنا که اشخاص ثالث این اجازه را می‌دهد که نسخه‌های تلگرام خودشان را بسازند. به دلیل آنکه نسخه اصلی تلگرام در ایران بلاک شده است، بسیاری از کاربران به نسخه‌های غیررسمی روی آوردند.

یک سخنگوی تلگرام در این زمینه به کامپریتگ می‌گوید:

تایید می‌کنیم که این داده‌ها به نظر می‌رسد از یک نسخه غیررسمی که مخاطبان کاربر را استخراج می‌کند، منشاء گرفته است. متاسفانه علی‌رغم هشدارهای ما مردم در ایران کماکان از نسخه‌های تایید نشده اپلیکیشن استفاده می‌کنند. اپلیکیشن تلگرام اوپن سورس است، بنابراین مهم است که از اپلیکیشن‌های رسمی ما که از ساختارهای قابل تایید پشتیبانی می‌کنند استفاده شود.

در سال ۲۰۱۶ نیز رویترز گزارش داده بود که ۱۵ میلیون آی‌دی (ID) تلگرام، شماره تلفن و کدهای اعتبارسنجی مرتبط به آن توسط هکرهای ایرانی شناسایی شد.

تایم‌لاین لو رفتن شماره موبایل 42 میلیون ایرانی در تلگرام

این داده‌ها پیش از آنکه توسط ارائه دهنده هاست حذف شوند، به مدت ۱۱ روز در دسترس بود.

• ۱۵ مارچ (۲۵ اسفند ۹۸): دیتابیس توسط موتور جستجوگر بایتری‌اج (BinaryEdge) ایندکس شد.
• ۲۱ مارچ (۲ فروردین ۹۹): دیاچنکو لو رفتن دیتاها را شناسایی و تحقیقات خود را آغاز کرد.
• ۲۴ مارچ (۵ فروردین ۹۹): دیاچنکو به ارائه‌دهنده هاستینگ موضوع را گزارش داد.
• ۲۵ مارچ (۶ فروردین ۹۹): الستیک سرچ کلاستر مذکور حذف شد.

به نظر می‌رسد سایر افراد پس از لو رفتن داده‌ها امکان دسترسی به آنها را داشته‌اند. ما دست کم یک کاربر را پیدا کردیم که دیتاها را در یک فروم هکر پست کرده است.

دقیقا چه دیتاهایی لو رفته‌اند؟

این دیتابیس بیش از ۴۲ میلیون رکورد دارد که به کاربرانی در ایران تعلق دارد. اطلاعاتی که از ۴۲ میلیون کاربر ایرانی منتشر شده به قرار زیر است:

• آیدی (ID) اکانت‌های کاربران
• نام کاربری یا یوزرنیم
• شماره تلفن همراه
• هش‌ها (Hash) و کلیدهای رمز

آنطور که سخنگوی تلگرام گفته است از هش‌ها و کلیدهای رمز برای دسترسی به حساب‌های کاربری نمی‌توان استفاده کرد. آنها فقط با دسترسی پیشین به اکانت قابل استفاده هستند.

چه خطراتی کاربران را تهدید می‌کند؟

هک تلگرام 42 میلیون ایرانی خطرناک است؟

اطلاعاتی که در این دیتابیس لورفته وجود دارند یک ریسک آشکار برای کاربران به شمار می‌روند. این داده‌ها نه تنها مشخص می‌کنند که چه کسانی در ایران از تلگرام و نسخه‌های غیررسمی‌اش استفاده می‌کند،‌ بلکه هرگونه حفاظتی برای جلوگیری از انجام حملات امنیتی به سوی آنها را از میان برده است.

یکی از این حملات می‌تواند «حمله تعویض سیم‌کارت» یا SIM swap attack باشد. حمله سیم سواپ زمانی رخ می‌دهد هکر شخص مورد حمله را متقاعد کرده تا شماره تلفن خود را به سیم کارت جدیدی انتقال دهد. موضوعی که آنها را قادر می‌سازد تماس‌های تلفنی و پیامک‌های فرد قربانی را دریافت و ارسال کنند. با این کار می‌توانند کد اعتبارسنجی ورود به حساب کاربری تلگرام قربانی را دریافت کنند و در نهایت دسترسی به تمامی پیام‌ها و اکانت‌های قربانی را به دست بگیرند.

این قربانیان همچنین در خطر فیشینگ یا اسکم‌ها (Scam) با استفاده از شماره‌ تلفن‌های موجود در دیتابیس قرار دارند.

تاریخچه مختصری از فعالیت تلگرام در ایران

تلگرام با بیش از ۵۰ میلیون کاربر در سراسر ایران، محبوب‌ترین اپلیکیشن پیام‌رسان در این کشور به شمار می‌رود. این پیام‌رسان به دلیل امنیت بالا،‌ مثلا ارائه رمزنگاری اند تو اند (End-to-End) برای پیام‌ها، محبوبیت پیدا کرده است. این به آن معناست که اشخاص ثالث نمی‌توانند به محتوای گفتگوهای میان افراد پی ببرند.

همانطور که اشاره شد در سال ۲۰۱۶ هکرها اطلاعات حساب کاربری بیش از ۱۵ میلیون کاربر در ایران را شناسایی کردند. متخصصان می‌گویند ارائه‌دهندگان خدمات موبایل در ایران احتمالا پیامک‌های مورد استفاده از برای فعال کردن اکانت‌های جدید تلگرام را قطع کرده‌‌اند. کامپریتک می‌نویسد این کمپانی‌ها در ادامه پیامک‌ها و شماره تلفن‌ها را به هکرها داده‌اند و هکرها با استفاده از این اطلاعات به حساب‌های کاربری وارد شده‌اند.

مقامات ایرانی چندین مرتبطه در حدفاصل سال‌های ۲۰۱۵ تا ۲۰۱۷ تلگرام را مسدود کردند. همچنین از اوایل سال ۲۰۱۸ پس از وقوع ناآرامی‌هایی در ایران تلگرام به طور دائم مسدود شد. علی‌رغم این اتفاق، تلگرام کماکان محبوب‌ترین پیا‌م‌رسان در ایران است. بسیاری از کابران از طریق پروکسی‌ها و وی.پی.ان‌ها دسترسی خود را برقرار می‌کنند. برخی نیز به سوی نسخه‌های غیررسمی که مسدود نشده بودند روی آوردند.

اپلیکیشن تلگرام اوپن سورس است، به این معنا که هر شخص ثالثی می‌تواند نسخه ای از آن شخصی‌سازی کند. نسخه‌ها غیررسمی بسیاری از این پیام‌رسان در طول مدت اندکی ساخته شد. اپراتورهای این نسخه‌های غیررسمی اگرچه کد اپلیکیشن را به اشتراک می‌گذاشتند، اما ارتباطی به تلگرام اصلی نداشتند. آنها همچنین لزوما سنجش‌های امنیتی لازم نداشتند و حتی در مورادی اهمیتی به حریم خصوصی کاربران نمی‌دهند.

هک تلگرام ۴۲ میلیون ایرانی چگونه کشف شد؟

لو رفتن شماره موبایل 42 میلیون ایرانی در تلگرام چگونه کشف شد؟ تیم کامپریتک با همکاری «باب دیاچنکو» دیتابیس‌هایی بر روی وب پیدا کرد که امنیت مناسبی نداشتند. پس از آنکه درز این اطلاعات یافت شد، بر اساس گایدلاین‌های مسئولیت افشا، بلافاصله موضوع گزارش شد. در ادامه این تیم برای مشخص کردن اینکه دیتاها شامل چه مواردی هستند و به چه کسانی تعلق دارند، مطالعه آنها را آغاز کردند. هدف این مطالعه بررسی پتانسیل آسیبی است که ممکن است به کاربران وارد آید.

لو رفتن شماره موبایل 42 میلیون ایرانی در تلگرام ؛ کاربران چه می‌گویند؟

باب دیاچنکو (Bob Diachenko) محقق مذکور با انتشار متن گزارش در اکانت توئیتر خود نوشت:

{گزارش جدید} 42 میلیون آیدی کاربری تلگرام و شماره تلفن‌های مرتبط با آن به طور آنلاین نشت پیدا کرد. این دیتاها اکنون در یکی از فروم‌های هکرها در حال فروش است. در این مقاله توضیح دادم که چگونه این درز را یافتم.

میلاد نوری (MilaDnu)، توسعه دهنده اپلیکیشن و کابر فعال توئیتر،‌ در مورد لو رفتن شماره موبایل 42 میلیون ایرانی در تلگرام نوشت: «شت! ۴۲ میلیون شماره موبایل ایرانی تلگرام به همراه یوزر‌آی‌دی شون لو رفته. اینم آخر عاقبت استفده از تلگرام‌های غیر رسمی. ظاهرا دیتای یکی از فورک‌های غیر رسمی تلگرام روی الستیک سرچ ایندکس شده بوده و هیچ رمز عبوری روی اون ست نشده بوده.»

یک کاربر دیگر با نام مستعار milad na نیز نوشته بود: «دارن اطلاعات حساب کاربری تلگرام ۴۲ میلیون ایرانی رو ۵۰۰ دلار می فروشن. مرسی آدم خنگی که این دیتا رو گذاشتی روی ‌بستر اینترنت. مرسی تویی که تلگرام غیر اصل نصب کردی. مرسی تویی که تلگرام رو فیلتر کردی. مرسی از همتون.»

کاربر دیگری به نام AmiR Rashidi نیز در توئیتر خود با اشاره به این اتفاق نوشت:

گزارشی جدید نشان می‌دهد ۴۲ میلیون شماره تلفن و اطلاعات کاربران ایرانی #تلگرام در اینترنت منتشر شده است. این اطلاعات از نسخه‌های غیر اصل تلگرام جمع آوری شده است. بارها تکرار کردم از هیچ نسخه غیر اصلی استفاده نکنید. آقای@azarijahromi این زیر سایه حمایت شما از #تلگرام_طلایی رخ داده.

مهم نیست از نسخه اصل استفاده می‌کردند یا نه، همه قربانی شدند. عامل تلگرام‌های غیر اصل بودند و تلاش شده اطلاعات کاربران را در بازار سیاه بفروشند.

از چیزهای که روی سرور نصب شده می‌شود فهمید که این کار کاملا با برنامه انجام شده. ابزارهای تحلیل داده روش نصب است و احتمالا حالا که هر کاری می‌خواستند بکنند کردند و دیگه به درد نمی‌خورد میخوان داده‌های ملت رو به سایر هکرها بفروشند.

البته لازم به توضیح نیست که سرور هم داخل ایران است. اقایان@azarijahromi و @amirnazemy اراده‌ای برای مسدود کردن این وضعیت وجود دارد یا خیر؟ من اگر دو ثانیه وقت گذاشتم اینا رو فهمیدم شما قطعا میتونی با یک تلفن کل داستان رو جمع کنید و به مردم گزارش بدید. چنین اراده‌ای دارید؟

کاربر دیگر به نام mohammad jorjandi نیز به گفت خودش این دیتاها را برای بررسی خریداری کرده است. وی در این خصوص در طی یک رشته توئیت نوشت: «با توجه به اطلاعاتی که فروشنده در اختیار من قرار داد به نظر میاد که فروشنده ترک ترکیه باشه. قیمت این دیتابیس ۵۰۰ دلار. دیتابیس رو گرفتم بررسی کردم دیتا درسته، آی دی + شماره تلفن مرتبط با آی دی – گویا دیتابیس اصلی عکس ها رو هم ذخیره میکرده که این نداشت البته آی دی عکس رو داره که میشه از خود تلگرام گرفت. یه ‌API میذارم خودتون چک کنید.»

منبع: comparitech