مدیر سروش موضوع ثبت‌نام ناخواسته کاربران را یک تخریب‌ سازمان یافته‌ می‌داند

در روزهای اخیر تعدادی از کاربران در شبکه‌های اجتماعی مدعی شده‌اند که در سروش حساب کاربری ایجاد نکرده‌اند اما شماره آنها گاهی به همراه نام و گاهی حتی به همراه عکس پروفایل آنها در این پیام رسان وجود دارد. روز گذشته دیجیاتو مطلبی را منتشر کرد که در همین رابطه با چند کارشناس امنیت اطلاعات نیز گفتگو شده بود اما اکنون مدیرعامل پیام رسان سروش تصمیم گرفته است تا به سوالات ما در رابطه با همین موضوع پاسخ دهد. در ادامه این پرسش و پاسخ را بدون کم و کاست منتشر می‌کنیم.

• امیر مستکین - دیجیاتو: زمانی که وزیر ارتباطات موضوع را به مرکز ملی فضای مجازی ارجاع می‌دهد آیا همچنان می‌توان گفت که تمام این اخبار کذب است؟

سیدمیثم سیدصالحی، مدیرعامل پیام‌رسان سروش: مسلماً همینطور است. وزیر ارتباطات صحبتی که کردند این بود که مستنداتی در این باره به مرکز ملی فضای مجازی ارجاع دادند. به احتمال قوی این مستندات، مربوط به برائت سروش است و خوشحال می‌شدیم قبل از اینکه این مستندات را به جایی ارجاع دهند ابتدا به خود ما یا دست کم در حالتی موازی به ما هم می‌دادند تا موضوع را بررسی می‌کردیم.

آنچه در سروش بررسی شده، این است که ما یک روال ثبت نام بیشتر نداریم و پس از نصب اپلیکیشن، کاربر یک پیامک احراز هویت دریافت می‌کند که وقتی این کد وارد شود، کاربر ثبت و به جمع کاربران سروش افزوده می‌شود. به جز همین مسیر، به هیچ عنوان مسیر ثبت یوزر دیگری نداشته و نداریم.

در روزهای گذشته از زمانی که همین شبهه مطرح شد موضوع را به طور جدی بررسی کردیم که آیا باگ یا حفره و مشکلی در جایی وجود داشته یا نه. نتایج نشان می‌دهد که هرگز از مسیر دیگری به جز مسیری که عرض کردم این امکان وجود ندارد. اطلاع رسانی کردیم که اگر دوستانی هستند که چنین اتفاقی برایشان افتاده، از ایمیل ساپورت پیام رسان سروش اقدام کنند و ما حتما بررسی می‌کنیم.

در این لحظه که با هم صحبت می‌کنیم صرفاً ۸ مورد به پشتیبانی ما اعلام شده که هر ۸ مورد را بررسی کردیم و زمان ثبت نام، دستگاهی که با آن ثبت نام کردند و آخرین زمان لاگین شان را در اختیارشان قرار دادیم.

• قانع شدند؟ 

سیستم بر اساس تیکت است و دوستان ایمیل زده بودند و ما هم به همین شکل پاسخ دادیم. به هر حال مستنداتی وجود دارد که قابل ارائه است و ما هم مستندات خودمان را به مرکز ملی فضای مجازی ارائه خواهیم کرد.

• کارشناسان امنیتی از نظر فنی این امکان را رد نمی‌کنند که شماره‌ها می‌توانند بدون اطلاع صاحبان آنها به اکانت سروش تبدیل شده باشند. اگر شخصی بخواهد شماره فرد دیگری را در یک پیام رسان ثبت کند قطعاً به کد تایید نیاز دارد اما خود پیام رسان چطور؟ 

اگر ما چنین کاری کرده بودیم ابایی نداشتیم تا شفاف اعلام کنیم که اینکار را می‌کنیم. وقتی یک اپلیکیشن بناست بر پایه اعتماد کاربر شکل بگیرد، هیچ وقت چنین خیانتی را در وهله اول به خودش، و این سلب اعتماد را از کاربرانش نمی‌کند. سروش از ابتدا شفاف بوده و اعتماد کاربران برایش اهمیت ویژه داشته. سروش با دقت نظر در این حوزه برخورد خواهد کرد.

در مورد دوستانی هم که این ادعا را مطرح کرده‌اند، توصیه می‌کنیم حتما با واحد پشتیبانی ما تماس بگیرند چون واحد حقوقی ما در حال پیگیری این موضوع است و مواردی که عملاً مطرح شده و ما دیتای آنها را داریم -برای مثال شماره‌شان بوده که در اسکرین شات پیداست- و بررسی کردیم و دیده‌ایم که خودشان ثبت کرده‌اند، اگر اقدام نکنند و مطالبشان را اصلاح نکنند، به دلیل تشویش اذهان عمومی از آنها در قوه قضاییه شکایت خواهیم کرد. چون دارند به اعتماد کاربران در سروش آسیب وارد می‌کنند و این مسئله برای سروش بسیار جدیست.

• در حال حاضر سایتی طراحی شده که می‌تواند به کاربران نشان دهد عضو سروش هستند یا خیر. این سایت چطور و با دسترسی به چه دیتایی می‌تواند چنین اطلاعاتی را به اشتراک بگذارد؟ 

اگر یک سایت به صورت رندوم به برخی پاسخ مثبت و به برخی هم پاسخ منفی دهد، به دیتابیس ما دسترسی دارد؟ ما تاکنون هیچ API یی در سروش منتشر و ایجاد نکرده‌ایم، بنابراین هیچ دسترسی به این شکل وجود ندارد که بتواند کاربر را در سروش سرچ و چک کند که او عضو سروش است یا خیر.

دست‌کم از مسیر اپلیکیشن سروش و دیتابیس آن چنین چیزی به هیچ وجه وجود ندارد. ثبت آن اکانت، عناوین و دامین آن نشان می‌دهد که چقدر واقعی است و اگر سازنده‌اش چنین ادعایی دارد می‌تواند خیلی شفاف با یک هویت مشخص و رسمی، این موضوع را به رسانه‌ها منتقل کند. چرا در قالب ناشناس؟

ما در چند روز اخیری که این شبهه به وجود آمده به طور کامل سیستم را بازبینی کرده‌ایم. بخش‌های مختلف را بررسی کردیم و هیچ راه ثبت نامی به جز ثبت عمومی سیستم در سروش وجود نداشته و ندارد. با همین اطمینان می‌گویم که این مسئله کذب محظ است. به هیچ وجه داده‌های این سایت را تایید نمی‌کنم.

• معمولاً یک نقطه اشتراک در مورد حساب‌هایی که صاحبانشان در شبکه‌های اجتماعی می‌گویند آنها را نساخته‌اند وجود دارد: چرا تاریخ آخرین فعالیت آنها مربوط به سال ۱۹۷۰ میلادی است؟

ببینید این یک باگ بوده.. این تاریخی که حالا ادعا می‌شود و باید واقعاً بررسی کرد. در نسخه‌های اخیر پیام‌رسان سروش که دقت می‌کنید تاریخ به این شکل ثبت و درج نمی‌شود. ما در نسخه‌های قدیم باگی داشتیم که تاریخ را درست کانورت نمی‌کرد به تاریخ میلادی. عملاً چون تاریخ شمسی خارج از رنج تاریخ میلادی بود، به مبداً تاریخ میلادی که در سامانه‌ها ثبت شده برمی‌گشت که در اندروید این تاریخ سال ۱۹۷۰ است. این بیس تاریخی است که اندروید ساپورت می‌کند. وگرنه این تاریخ درست نیست و چون تاریخ شمسی بوده و سیستم نمی‌توانست در کانورتش تشخیص دهد آن را نشان می‌داد.

این موضوع یک موضوع کاملاً فنی و قابل پیگیری و پیگرد است و این هم که من عرض می‌کنم از پایه کذب و تکذیب می‌کنیم، به جهت این است که کاملاً به لحاظ فنی بررسی شده و ما هیچ کاربری را به این شکل ثبت نکرده‌ایم.

• این احتمال برایتان وجود ندارد که شاید یکی از پرسنل خودتان، دیتابیسی را به کاربران سروش افزوده باشد؟ 

اگر مصداقش پیدا می‌شد می‌توانستم این مسئله را عرض کنم. علتی هم که داریم می‌گوییم کاربرانی که ادعا دارند اعلام بکنند که بررسی کنیم، به این جهت است که همه گزینه‌های ممکن را بررسی کرده باشیم. بر اساس تمام آنچه در سیستم وجود داشته و ما بررسی کرده‌ایم، چنین اتفاقی رخ نداده.

ثبت نام کاربر این نیست که یک نفر بتواند دیتابیسی را ایمپورت کند. زمانی که کاربر ثبت نام می‌کند در بیش از ۷۰ جدول اطلاعاتی، اطلاعاتش ثبت می‌شود که اگر یکپارچگی و هم‌بندی نداشته باشد، آن دیتا، دیتای غیرمعتبری در سیستم خواهد بود که نمی‌توانیم روی آن حساب کنیم.

به همین جهت ورود اطلاعات به این شکل، غیر از API ها و مسیری که اپلیکیشن کال می‌کند غیر ممکن است و یک نفر نمی‌تواند در آن ۷۰ جدول اطلاعاتی، کلیدهای یونیک را هم حفظ بکند.

یکی از مصدایقی که من گفته‌ام نشان می‌دهد که این دوستان دارند حرف غیرصحیحی را می‌زنند، این است که ادعا شده عکس پروفایل را هم گذاشته‌اند. یک مقدار فنی که به قضیه نگاه کنیم، می‌بینیم حتی اگر من بخواهم کاربری را ثبت هم کرده باشم، چطور عکسش را به دست آوردم و آن را در پروفایلش گذاشتم؟ این مسائل نشان می‌دهد این ادعاها بی پایه و اساس است.

• شما می‌گویید این اتفاق رخ نداده است. اما آیا این امکان از سمت خود سروش وجود ندارد که بتواند برای یک شماره موبایل حساب کاربری بسازد؟ 

نه فقط برای سروش، شما اپلیکیشنی بسازید که تمام شماره‌های موبایل را تولید کند. می‌توانید از ۰۹۰۰۰۰۰۰۰۰۰ شروع بکنید تا ۰۹۹۹۹۹۹۹۹۹۹ شماره جنریت کنید و بگویید این‌هاست. اما چکارش می‌خواهید بکنید؟ این شماره در سیستم شما نه کانتکت، نه پروفایل و نه اسمی دارد. هیچ‌جا هم قابل استفاده نیست.

اگر کسی بخواهد این کار را انجام دهد، ماهیتاً کار عبث و بیهوده‌ای است. ما هم اصرار داریم که این موضوع را تا انتها و شفافیت دنبال کنیم. ادعا شده مستنداتی در اختیار مرکز ملی فضای مجازی قرار گرفته و بالاخره مرکز ملی باید یک جواب روشن برای این جریان داشته باشد. ما هم در سروش به دنبال پاسخ روشن از سوی مرکز ملی [فضای مجازی] هستیم تا شبهات برطرف شود و مستندات خود را نیز ارائه کرده‌ایم.

به شدت این مسئله را از پایه و اساس دروغ و کذب محض می‌دانیم. این جزء تخریب‌های سازمان یافته‌ای است که در مورد سروش و پیام‌رسان ایرانی اتفاق می‌افتد. ما نسبت به این مسئله حساسیم، قطعاً منبای این امر، طرح آن و کسانی که کمک کردند به انتشار این محتوای کذب را به شرط آنکه نتوانند ادعای خود را اثبات کنند تحت پیگرد قرار خواهیم داد.

***

موضوع مهمی که باید به آن توجه کرد این است که فناوری اطلاعات در ذات خود با شفافیت همراه است و باید دید در نهایت وزارت ارتباطات در کنار مرکز ملی فضای مجازی پس از انجام تحقیقات خود چگونه در این رابطه شفاف‌سازی خواهند کرد.