اخاذی چت‌بات‌های ناشناس تلگرام از شهروندان؛ ذخیره ۴۵۰میلیون چت و ۱۱ میلیون تصویر تنها در ۳ چت‌بات ناشناس تلگرام

اقتصاد۲۴- خبر هک سه چت‌بات ناشناس تلگرام این روز‌ها در فضای مجازی سروصدای زیادی بپا کرده است؛ داستان از این قرار است که ۱۰ روز پیش امیر (نام یکی از هکر‌های کلاه سفید) به ۳ تا از بات‌های ناشناس تلگرام نفوذ کرد و اطلاعات عظیمی از هزاران کاربر تلگرام را در حالت ذخیره شده پیدا کرد؛ گزارش این هکر‌ها حاکی از آن است که از ۱۴ میلیون یوزر، ۴۵۰ میلیون چت، ۱۱ میلیون عکس و ۳ میلیون ویدیو ذخیره شده بود!

کاربر در مقابل این هک هیچ کاری نمی‌تواند انجام دهد

در راستای این اتفاق وحید فرید، فعال آی‌تی، در گفتگو با خبرآنلاین، گفت: «کار هکر‌ها این است که قسمت‌های آسیب‌پدیر اپلیکیشن‌ها و سیستم‌ها را شناسایی کنند و از طریق این ضعف‌ها به سرور نفوذ کنند و سرور را دست بگیرند؛ براساس نقاط آسیب‌پذیر ممکن است که این دسترسی محدود باشد و هکر‌ها به بانک اطلاعاتی دسترسی پیدا کنند و یا دسترسی بیشتر باشد و هکر‌ها به روت سرور دسترسی پیدا کنند.»
او در ادامه گفت: «در هک اخیر که اتفاق افتاده است، دو هکر ایرانی برای اینکه کاربران تلگرام را از خطرات ربات‌های تلگرام مطلع کنند، پس از کشف اتفاقی آسیب‌پذیری، قدم به قدم رفتند تا به روت سرور رسیده‌اند و دسترسی کامل به بانک اطلاعاتی، فضا‌ها و اپلیکیشن داشته‌اند. گفتنی است که کاربر در مقابل این هک هیچکاری از دستش بر نمی‌آید و وظیفه سرویس‌دهنده است که سرور، زیرساخت و اپلیکیشن خود را امن کند.»

فرید در ادامه افزود: «در هک اخیر دو هکر ایرانی خیلی شفاف عملکرد ربات‌های ناشناس را برای کاربران باز کردند؛ در واقع هر آنچه از سوی کاربر تلگرام با استفاده از این ربات‌های ناشناس ارسال می‌شود، در جایی ذخیره می‌شود و حتی ممکن است هدف تجارت قرار گیرد و یا طرف مقابل بتواند ببیند که چه کسی این مطالب را فرستاده است.»

ربات‌های ناشناس تلگرام اصلا ناشناس نیستند

فرید در ادامه با اشاره به اینکه ربات‌های ناشناس تلگرام أصلا ناشناس نیستند، گفت:« ما به تلگرام اعتماد داریم و نگران نیستیم که داده ما را تبادل کند و چت‌های معمولی ما بر روی سرورهای تلگرام هاست می‌شود و از طرفی چت‌های امن تلگرام نیز رمزنگاری سراسری می‌شود و حتی تلگرام نیز قادر به خواندن آن‌ها نیست. مهمترین نقطه آسیب‌پذیری و ناامنی ربات تلگرام آن‌جایی است که بر خلاف چت‌های تلگرام که بر روی سرورهای تلگرام هاست می‌شود، یک سرور واسط وجود دارد و در واقع پیغامی که به ربات‌های تلگرام داده می‌شود از زیرساخت تلگرام خارج می‌شود و بر روی سرور سرویس‌دهنده قرار می‌گیرد.»

به عنوان مثال:« من رباتی طراحی کردم و آن را عرضه کرده‌ام، زمانی که کاربری به این ربات پیام می دهد، تلگرام آن پیام را برای سرور من ارسال می‌کند که در این مورد خاص سروری بوده است که خدمات چت ناشناس ارائه می‌کرده است. همراه این پیام اطلاعات هویتی که تلگرام به صورت عمومی نمایش می‌دهد به ربات فرستاده می‌شود؛ اطلاعات هویتی که در پروفایل کاربر قرار دارد و به صورت عمومی قابل دیدن است و در واقع هرآنچه که کاربر از عکس پروفایل گرفته تا تلفن همراه را محدود نکرده باشد، برای ربات قابل دیدن خواهد بود.»

بیشتر بخوانید:  سهم ۴۹ درصدی ایران از بزرگ‌ترین حمله هکر‌ها

او در ادامه افزود:« ربات چت‌ناشناس در واقعیت برعکس است؛ به این معنا که ربات برای شما ناشناس است اما شما برای ربات ناشناس نیستید. ربات و سرور سرویس‌دهنده کاملا پروفایل تلگرام شما را می‌بینند. برخی از ربات‌ها هستند که با دریافت هزینه‌ای پروفایل کاربر را به طرف مقابل نمایش می‌دهند.» وحید فرید در ادامه گفت:«ربات چت ناشناس که بیشتر از همه شایع است و در پروفایل کاربران در توییتر استفاده می‌شود، این سرویس را به صورت عمومی ارائه نمی‌کند اما باید به خاطر داشته باشیم که کسی که این خدمات را ارائه می‌کند منفعتی از آن می‌برد و ما باید نگران این موضوع باشیم.»

سرویس API در چت‌بات‌های تلگرام

این فعالی آی‌تی در ادامه با اشاره به اینکه در این مورد خاص یک اتفاق خیلی بدی رخ داده است؛ گفت:« این سیستم یک سرویس API داشته است که شخصی که به این API دسترسی داشته است، می‌توانسته پیام کاربران را بخواند و احتمالا این API به جای دیگری فروخته می‌شده است. ربات سرویس‌دهنده نیاز ندارد که محتوا را نگه دارد اما در این مورد خاص که اطلاعات آن درز کرده است ما شاهد این موضوع هستیم که بیش از ۱۱ میلیون تصویر ذخیره شده است و نگهداری اطلاعات هزینه دارد و مالک این ربات هزینه پرداخت می‌کرده است تا فضای بیشتری تهیه کند و داده‌ها را ذخیره نگه دارد و احتمال می‌رود که از این اطلاعات استفاده می‌شده است. نگرانی اینجا است که آیا این اطلاعات را می‌فروخته است، با آن‌ها تجارت می‌کرده است و یا افراد را تهدید می‌کرده است. مشخص نیست که دقیقا چه استفاده‌ای از این اطلاعات می‌شود و تنها با ورود دادستانی و پیدا کردن قربانیان مشخص خواهد شد که چه اتفاقی افتاده است.»