افشای اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام، توسط یک نسخه غیر رسمی تلگرام

اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام افشا شده است. این اطلاعات اکنون در سطح اینترنت با ۵۰۰ دلار فروخته می‌شود و منبع آن، نه هک شدن تلگرام، بلکه یکی از نسخه‌های غیر رسمی این اپلیکیشن ذکر شده است. «باب دیاچنکو» (Bob Diachenko)، پژوهشگر امنیت سایبری که این دیتابیس را در سطح وب کشف کرده، در گفتگو با دیجیاتو اعلام می‌کند که داده‌های دیتابیس شامل اطلاعات بیشتر از ۴۲ میلیون کاربر ایرانی تلگرام، مانند آیدی تلگرام، نام کاربری، شماره تماس، هش‌ها و کلید‌های دیجیتالی می‌شود.

از افشای داده‌ها چه می‌دانیم؟

این گزارش اولین بار نیمه شب گذشته توسط وب‌سایت «Comparitech» منتشر شد. این وب‌سایت با همکاری همین کارشناس امنیتی، دیتابیس را بررسی کرده‌اند. به شکل مشخص اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام «از یک نسخه شخص ثالث (غیر رسمی) اپلیکیشن تلگرام»، منبع افشای اطلاعات ذکر شده است.

این گزارش می‌گوید اطلاعات توسط گروهی به نام «سامانه شکار» و ظاهرا به شکل ناخواسته منتشر شده است. پس از دانلود دیتابیس هم هیچ رمز عبوری برای استفاده از آن نیاز نبوده است.

خط زمانی انتشار داده‌ها به این شکل بوده است:

• ۲۵ اسفند: دیتابیس توسط موتور جستجوی BinaryEdge ایندکس می‌شود.
• ۲ فروردین: باب دیاچنکو دیتابیس را کشف و شروع به تحقیق می‌کند.
• ۵ فروردین: باب دیاچنکو گزارش وجود فایل حساس را به سرویس دهنده‌ی سایتی که دیتابیس از آنجا دانلود شده را می‌دهد.
• ۶ فروردین: داده‌ها حذف می‌شود.

تلگرام چه می‌گوید؟

سخنگوی تلگرام در گفتگو با وب‌سایت Comparitech اعلام کرده است که «داده‌ها مربوط به یک نسخه غیر رسمی از تلگرام است؛ نسخه‌ای که هیچ ارتباط مستقیمی با این کمپانی ندارد.»

تلگرام یک اپلیکیشن متن-باز است که به سایر اپلیکیش‌ها اجازه می‌دهد نسخه‌ای با ویژگی‌های مورد نظر خود را بر بستر هسته‌ی اصلی تلگرام بسازند. از آنجایی که تلگرام در اردیبهشت ۹۷ در ایران فیلتر شد، بسیاری از کاربران برای ادامه‌ی استفاده از این پیام‌رسان و ارتباط با آشنایان خود از نسخه‌های غیر رسمی در ایران استفاده کردند که به شکل غیرقابل باور و پر هزینه‌ای قادر بودند فیلترینگ تلگرام را دور بزنند.

سخنگوی تلگرام در همین رابطه گفته است:

«می‌توانیم تایید کنیم که این اطلاعات کاربری، از یک نسخه‌ی غیر رسمی تلگرام استخراج شده است. متاسفانه، علی‌رغم هشدارهای ما، مردم ایران همچنان از اپلیکیشن‌های تایید نشده استفاده می‌کنند. اپلیکیشن‌های تلگرام متن-باز هستند و به همین دلیل، مهم است که از اپلیکیشن‌های رسمی ما استفاده شود که از نسخه‌های قابل تایید پشتیبانی می‌کنند.»

نکته بسیار مهم اینجاست که در دیتابیس منتشر شده، در کنار نام، نام کاربری تلگرام و شماره تماس افراد، هش‌ها و کلیدهای دیجیتالی نیز منتشر شده‌اند. اما به گفته‌ی سخنگوی تلگرام، با استفاده از همین داده‌ها نمی‌توان وارد حساب کاربری افراد شد. در واقع، او گفته که این داده‌ها صرفاً در داخل حساب کاربری، قابل کارکرد هستند و کسی که به آن‌ها دسترسی داشته باشد نمی‌تواند از کلید دیجیتالی برای ورود به حساب شخص دیگری استفاده کند.

اطلاعات بیشتری که دیاچنکو به دیجیاتو می‌دهد

در ساعات ابتدایی بامداد امروز (۱۲ فروردین) باب دیاچنکو در گفتگو با دیجیاتو اطلاعات بیشتری از نحوه کشف این دیتابیس و خطری که کاربران را تهدید می‌کند را اعلام کرد. او می‌گوید اگرچه اطلاعات و شماره تماس‌ها منتشر شده‌اند، اما او در این دیتابیس هیچ اثری از داده‌های شخصی کاربران،‌ یا اطلاعاتی که به هکر کمک کند تا بتواند به حساب کاربری آن‌ها وارد شوند، پیدا نکرده است.

او به دیجیاتو می‌گوید خطر داده‌ها برای کاربران ایرانی این است که دیتابیس به شکل مشخص نشان می‌دهد که چه کاربری در ایران از این پیام‌رسان استفاده می‌کند. همین مسئله، می‌تواند افراد را هدف حمله‌های بعدی کند: «یکی از این حمله‌ها، ممکن است SIM Swap به معنای تعویض سیم‌کارت کاربر باشد. در واقع، هکر با اطلاعاتی که دارد، به نوعی بتواند اپراتور موبایل را قانع کند که صاحب سیم‌کارت است تا اپراتور موبایل یک سیم‌کارت جدید برای او صادر کند. این مسئله کنترل کامل خط موبایل از جمله پیامک و شماره تماس قربانی را به هکر می‌دهد. از سوی دیگر در این مرحله، هکر می‌تواند وارد حساب تلگرام کاربر شود و دسترسی کاملی به پیام‌های او نیز داشته باشد.»

نکته: البته با توجه به سخت‌گیری‌های موجود در ایران برای تعویض سیم‌کارت به شکل غیر حضوری، احتمال چنین حمله‌ای به شدت کم است.

او به این سوال که آیا داده‌ها نشان نمی‌دهند که این اطلاعات از طریق کدام نسخه‌ی غیر رسمی تلگرام منتشر شده است، پاسخ منفی می‌دهد و می‌گوید اگرچه مطمئنا لو رفتن داده‌ها مربوط به یک نسخه‌ی غیر رسمی بوده، اما هیچ نشانه‌ای از سورس اصلی داده‌ها و نام یک اپلیکیشن خاص در این داده‌ها پیدا نمی‌شود.

اما مهم‌تر از این‌ موارد، چگونگی لو رفتن این دیتابیس است. دیاچنکو در پاسخ به این سوال که آیا اعتقاد دارد نسخه‌ی غیر رسمی به نوعی در انتشار داده دخیل بوده، یا آیا ممکن است یک «در پشتی» در نسخه غیر رسمی وجود داشته که هکرها به آن دسترسی پیدا کرده‌اند، می‌گوید: «انتشار این دیتابیس به این شکل، به دلیل خطای پیکربندی نشدن آن بوده است. به این معنا که هر کسی این سرور را مدیریت می‌کرده، فراموش کرده تا روی دیتابیس یک رمز عبور قرار دهد! به همین شکل دیتابیس به شکل سهوی، توسط موتورهای جستجوی IoT ایندکس شده است.»

او همچنین به دیجیاتو می‌گوید که اطمینان دارد این دیتابیس هم‌اکنون در سطح وب منتشر شده است: «قطعا اطمینان دارم که داده‌ها هم اکنون به دست افراد سودجویی رسیده که تلاش می‌کنند آن را در بازار سیاه بفروشند. یکی از انجمن‌های دارک وب اطلاعات را برای فروش عرضه کرده بود.» (چند ساعت پس از مصاحبه دیاچنکو با دیجیاتو، «محمد جرجندی» یک فعال رسانه‌ای دیگر در حساب توییترش اعلام کرد که دیتابیس اطلاعات ۴۲ میلیون کاربر ایرانی با رقم ۵۰۰ دلار قابل فروخته می‌شود.)

نکته بسیار مهم در این میان، این است که تلگرام هم به جای هشدار دادن به کاربران در راستای عدم استفاده از اپلیکیشن‌های غیر رسمی، می‌توانست دسترسی کلاینت‌های غیر رسمی را قطع کند در حالی که چنین اتفاقی رخ نداد. دیاچنکو هم در پاسخ به این سوال که تلگرام آیا در این میان نمی‌توانست کار بیشتری برای حفاظت از کاربران ایرانی انجام دهد، می‌گوید: «شاید، اما تلگرام هم خودش را به عنوان یک اپلیکیشن متن-باز معرفی می‌کند و همین مسئله باعث می‌شود تا کنترل نسخه‌های غیر رسمی بسیار مشکل باشد.»

یک احتمال قوی: افشای اطلاعات تمام کاربران ایرانی تلگرام، نه فقط نسخه غیر رسمی

یک پژوهشگر امنیتی دیگر که به دیتابیس مورد بحث دسترسی پیدا کرده، به دیجیاتو می‌گوید اطلاعات منتشر شده صرفاً مربوط به کاربرانی که از نسخه غیر رسمی تلگرام استفاده می‌کردند نیست، بلکه تقریباً اطلاعات تمام کاربران ایرانی تلگرام در آن جمع آوری شده است.

او در پاسخ به این سوال که استدلال و دلیل این موضوع چیست، می‌گوید: «زمانی که یک کاربر از نسخه غیر رسمی تلگرام استفاده می‌کند و با شخص دیگری چت می‌کند که نسخه رسمی را دارد، اطلاعات فردی که از نسخه رسمی استفاده می‌کند هم در نسخه‌ی غیر رسمی ذخیره می‌شود. در واقع اطلاعات تماس فردی که نسخه رسمی دارد وارد کانتکت لیست فردی می‌شود که از نسخه غیر رسمی بهره می‌برد.»

در صورتی که این استدلال درست باشد، که شواهد نشان می‌دهد به احتمال بسیار قوی اینطور است، می‌توان گفت که بخش بسیار زیادی از کاربران ایرانی افشا شده است.

این پژوهشگر همچنین در پاسخ به این سوال که در حال حاضر پیشنهاد می‌شود که کاربران چه اقدامی انجام دهند، می‌گوید تنها راهی که وجود دارد، تغییر شناسه کاربری در تلگرام است که البته اثر چندانی هم نخواهد داشت، چراکه داده‌های منتشر شده، شامل شماره تلفن افراد نیز می‌شود.