افشای ذخیره اطلاعات در بات‌های «پیام ناشناس» تلگرام؛ چه‌قدر باید نگران باشیم؟

در روزهای اخیر اعضای یک گروه ایرانی فعال در امنیت سایبری ادعا کرده‌اند که به سرور چند بات ارسال «پیام ناشناس» نفوذ کرده‌اند و دیده‌اند که همه پیام‌های ارسال‌شده در سرور این بات‌ها ذخیره شده‌اند. این گروه برای ادعاهای خود تصاویری از روند نفوذ خود و فایل‌های ذخیره‌شده منتشر کرده‌ است. به گفته کارشناسان این تصاویر برای تائید گفته‌های آن‌ها کافی نیست.

سرورها رایانه‌های متصل به اینترنتی هستند که برای ذخیره یا پردازش اطلاعات از آنها استفاده می‌شود. مشخص نیست سرورهای این بات‌ها کجا قرار داشتند.

خود این بات‌های «پیام ناشناس» می‌گفتند این پیام‌ها را «ذخیره نمی‌کنند». این ادعا مایه نگرانی کسانی شده که در این سال‌ها پیام‌هایی به این بات‌ها فرستاده‌اند و تصور می‌کردند که هم محتوای این پیام‌ها و هم هویت فرستنده‌ها پنهان می‌ماند. این بات‌ها حداقل هفت سال است که در دسترس هستند.

بات پیام ناشناس چیست؟

با فراگیرشدن استفاده از اپلیکیشن تلگرام در ایران در یک دهه گذشته، ابزارهای آنلاین متعددی هم که با اتکا به دسترسی ایرانیان به تلگرام کار می‌کنند، بین کاربران ایرانی رایج شدند. یکی از آنها بات‌های «پیام ناشناس» بوده است. این ابزارها مختص ایرانی‌ها و محدود به تلگرام نیستند و در سامانه‌های آنلاین دیگر هم بسیار رایج هستند.

کاربران با استفاده از این بات‌ها پیام‌های متنی و تصویری خود را برای دیگران می‌فرستند که در آنها فرستنده ناشناس باقی می‌ماند، یا دست‌کم امیدوار است که ناشناس بماند!

این ابزار به خصوص برای کاربران شبکه‌های اجتماعی بزرگی مثل توییتر (ایکس) و اینستاگرام به درد می‌خورد که با انتشار یک لینک، به مخاطبانشان اجازه بدهند به طور ناشناس هرچه دلشان می‌خواهد به آنها بگویند. این‌طور که از پیام‌های بازنشرشده کاربران می‌شود حدس زد، بیشترین استفاده از این ابزار، ارسال پیام‌های عاشقانه یا انتقادهای گزنده‌ای بوده که در هر دو نوع این پیام‌ها، فرستنده جرات گفتن مستقیم این حرف‌ها را به مخاطبش نداشته است.

دیده شده است که این بات‌های ارسال پیام ناشناس دست‌کم در مواردی خدمات پیشرفته‌تری را به کاربران فروخته‌اند یا در کانال‌های تلگرامی‌شان آگهی‌هایی گذاشته‌اند که می‌تواند نشان دهد این ابزارها برای مدیرانشان درآمد هم داشته‌اند.

بات‌های متعددی برای فرستادن و دریافت‌کردن «پیام ناشناس» به زبان فارسی وجود دارد و آن‌چه به‌تازگی افشا شده، درباره همه بات‌های پیام ناشناس نیست. اما گروهی که این اطلاعات را منتشر کرده می‌گوید مشت، نمونه خروار است و بقیه بات‌ها هم قابل‌اعتماد نیستند.

این اولین بار نیست که کارشناسان امنیت وب درباره ناامنی بات‌های «پیام ناشناس» هشدار داده‌اند. از همان اول که این ابزارها رایج شدند، کارشناسان هشدار می‌دادند «پیام ناشناس» حداکثر فقط برای گیرنده‌اش، ناشناس است؛ نه برای کسی که بات را راه انداخته و یا کسانی که (به هر نحوی) به سرور آن دسترسی دارند یا پیدا می‌کنند.

«نفوذکنندگان» چه ادعایی کرده‌اند؟

یاشار شاهین‌زاده و گروه ووریوکس که درباره امنیت وب و «شکار باگ»های امنیتی آموزش می‌دهند و فعال هستند، ادعا کرده‌اند که توانسته‌اند به سرور یا سرورهایی که اطلاعات سه بات «پیام ناشناس» در آنها ذخیره شده بوده، رخنه کنند.

بر اساس گزارش رسانه‌ها در ایران آقای شاهین‌زاده پیش‌تر هم اشکالات امنیتی شرکت مخابرات ایران را پیدا کرده و مورد تقدیر وزیر ارتباطات ایران قرار گرفته بود.

نفوذکنندگان می‌گویند از حجم اطلاعاتی که ذخیره شده، «شوکه» شده‌اند. به ادعای آنها اطلاعات «۱۴ میلیون کاربر، ۴۵۰ میلیون پیام متنی، ۱۱ میلیون عکس و ۳ میلیون ویدیو» روی این سرورها ذخیره شده بود. هرچند استفاده بالا از بات‌های پیام ناشناس غافل‌گیرکننده نیست. هرچه باشد، خود این بات‌های پیام ناشناس ادعا می‌کنند ماهانه چند صد هزار کاربر از این ابزارها استفاده می‌کنند.

این گروه هشدار داده که اطلاعات کاربران زیر ۱۸ سال هم بین این اطلاعات ذخیره‌ شده بوده است. تصور می‌شود افشای این اطلاعات می‌توانست به تهدید جانی و روانی برای کاربران منجر شود.

نگاهی به پیام‌های کاربران در ایکس که همراه با لینک فرستادن «پیام ناشناس» به آنها منتشر کرده‌اند، نشان می‌دهد خیلی از آنان گفته‌اند تصاویر عریان کاربران را دریافت می‌کنند. می‌توان حدس زد عده زیادی از کاربرانی که چنین محتوایی را برای دیگران فرستاده‌اند، از احتمال دسترسی افراد دیگر به این محتوا نگران شوند.

یاشار شاهین‌زاده که خودش هم درباره این اطلاعات جدید توضیح داده بود، بعد از واکنش‌ها در یک استوری در اینستاگرامش گفته هدف اصلی این گروه همین بوده که کاربران «با گوشت و پوستشان درک کنند که بات‌های تلگرام می‌توانند راحت دروغ بگویند که اطلاعات کاربران را ذخیره نمی‌کنند، و در واقع همه‌چیز را ذخیره کنند.»

آقای شاهین‌زاده تا زمان انتشار این گزارش به درخواست ما برای گفت‌وگو در این زمینه پاسخ نداد.

برخی کاربران تصویری از همین اطلاعات ذخیره‌شده از پیام‌های «ناشناس» خودشان منتشر کرده‌اند که از طرف یاشار شاهین‌زاده برای آنان فرستاده شده است.

داوود سجادی، کارشناس امنیت وب در ونکوور کانادا، از این خبر متعجب نشده است. او به من گفت: «برای من هیچ خبر تازه‌ای نبود که هویت کاربران در این بات‌های پیام ناشناس محفوظ نمی‌ماند.» او هم‌چنین گفت که اساسا دیگر الآن ناشناس‌بودن مطلق در اینترنت، «یک توهم» شده است: «موارد متعددی بوده که حتی افراد بسیار مسلط به امنیت وب هم در نهایت هویتشان را در یک اشتباه لو داده‌اند.»

این اطلاعات چه‌طور به دست آمده است؟

گروه ووریوکس می‌گویند از طریق «اطلاعات منبع‌باز» (OSINT) به داده‌‌های برنامه‌نویس این بات‌ها دست پیدا کرده‌اند که به گفته آنها در یکی از «پنج شرکت بزرگ» این حوزه در ایران کار می‌کند.

این گروه ادعا کرده که «اطلاعات را از روی این سرورها پاک کرده ولی معلوم نیست آیا کسی هم قبل از آنان و مانند آنان با رخنه به این اطلاعات دسترسی داشته یا نه، و طراح(های) این بات‌های پیام ناشناس نسخه پشتیبان (بک‌آپ) از این اطلاعات داشته، یا اصلا حالا که این اطلاعات پاک شده، آیا امکان بازیابی دارد یا نه».

با این حال منتقدان این اقدام می‌گویند این گروه اطلاعات کافی نداده است که با دسترسی به کدام اطلاعات منبع‌باز و در دسترس عموم به هویت این برنامه‌نویس پی‌برده‌اند.

از جمله یک کارشناس امنیت وب که با ما در این باره گفت‌وگو کرد ولی خواست هویتش پنهان بماند، گفت: «به جز آن‌چه این گروه خودش منتشر کرده، ما هیچ اطلاعات دیگری نداریم که بتوانیم ادعاهای آنها را تایید کنیم. اطلاعاتی که این گروه داده‌اند برای تایید ادعاهای آنان کافی نیست. اگر همان‌طور که ادعا می‌کنند اطلاعات افراد زیر سن هم روی سرورها بوده، باید پی‌گیری حقوقی می‌شده است.»

این کارشناس درباره عملکرد گروه ووریوکس گفت: «به نظر می‌رسد این گروه درباره این اقدامشان هیجان‌زده و شتاب‌زده بوده‌اند و حرفه‌ای برخورد نکرده‌اند. آنها هنوز از اقدامشان نمونه‌ای (سمپل) برای جامعه هکرها منتشر نکرده‌اند. این‌که امکان نشان‌کردن (فلگ‌کردن) کاربران بوده، باید معلوم می‌شد چه کاربرانی نشان شده بودند و آیا آنها در دسته به‌خصوصی قرار می‌‌گیرند، یا در هم بوده است. برای من عجیب است که سرورها را صرفا پاک کرده‌اند در حالی که صاحب آن بات‌ها شاید نسخه پشتیبان داشته باشد و اطلاعات را برگرداند.»

هکرهای کلاه سفید که برای کشف و برطرف کردن ضعف‌های امنیتی دست به نفوذ می‌زنند در همه کشورها فعال هستند و اطلاعات خود را به صورت «اخلاقی و مسئولانه» در اختیار شرکت‌ها یا نهادهای مربوطه قرار می‌دهند. اما در ایران نگرانی‌های امنیتی همواره باعث حساسیت و پرسش‌های بیشتری درباره هویت این گروه از هکرها و انگیزه آنها می‌شود؛ منشاء این حساسیت و موشکافی، احتمالا خطر و تبعات بالقوه‌ای است که درز اطلاعات به نهادهای امنیتی می‌تواند در پی داشته باشد؛ چه این اطلاعات از طریق ارتباط و همکاری احتمالی هکرها با نهادهای حکومتی درز کند، و چه تحت فشار و اجبار بدست بیاید.

آقای سجادی می‌گوید: «در حوزه امنیت وب درباره افراد داخل ایران سخت می‌شود مطمئن شد که ارتباطی با حکومت یا نهادهای حکومتی ندارند. «باگ بانتی» (شکار باگ‌های وبسایت‌ها) الان در ایران به یک کسب‌وکار برای افراد آشنا با این کار تبدیل شده و به نظر می‌رسد درآمد ارزی خوبی هم دارند. اما بعضی از افرادی که داخل ایران هستند شاید خودشان هم ندانند با شرکت‌های حکومتی کار می‌کنند تا جایی که حتی مدیران مجموعه‌هایی که در آن کار می‌کنند در فهرست تحریم‌های آمریکا و اروپا هستند.» اما آقای سجادی در این مورد مشخص تاکید کرد «نام‌هایی که درباره این اطلاعات تازه مطرح شده، در فهرست افراد تحت‌تعقیب و تحت‌تحریم دولت‌های غربی نیستند.»

اگر از بات «پیام ناشناس» استفاده کردید …

اگر با وجود هشدارهای قبلی، با این بات‌های پیام ناشناس برای کسی پیام داده‌اید یا گرفته‌اید، پیش از هر چیز فرض کنید پیام متنی یا تصویری که فکر کردید دارید به طور خصوصی برای کسی می‌فرستید یا دریافت می‌کنید، آن‌قدرها هم خصوصی نبوده است!

از محتوای پیام‌ها که بگذریم، با اطلاعاتی که روی سرور این چند بات «پیام ناشناس» بوده، احتمالا می‌توان یک کاربر در شبکه ایکس (توییتر سابق) یا اینستاگرام را به شناسه کاربری‌اش در اینستاگرام ربط داد و بعد اگر شماره تلفنی که با آن در تلگرام حساب درست کرده هم معلوم باشد، می‌توان کاربر توییتر یا اینستاگرام را به شماره تلفن ربط داد و به این ترتیب هویت واقعی و شناسنامه‌ای کاربر مشخص شود.

دست‌کم کسی که این بات‌ها را راه انداخته بوده، و هکرهایی که تازگی گفته‌اند متوجه وجود این اطلاعات شده‌اند، به این اطلاعات دسترسی داشته‌اند.

وجود این اطلاعات دست‌کم از دو جنبه می‌تواند نگران‌کننده باشد. یکی دسترسی احتمالی به این اطلاعات از طرف کسانی که می‌خواهند از کاربرها کلاه‌برداری اینترنتی یا اخاذی کنند. و دومی که به‌خصوص در ایران خیلی نگران کننده است، سواستفاده نهادهای حکومتی و امنیتی از این اطلاعات تا مثلا هویت کاربرهای ناشناس ایکس (توییتر سابق) را پیدا کنند یا از اطلاعات خصوصی افراد برای فشارآوردن به آنها استفاده کنند.

اگر می‌خواهید این نگرانی‌ها برای شما رفع شود و خیال‌تان راحت شود، تغییر نام کاربر در ایکس و تلگرام کافی نیست. باید از اول یک پروفایل جدید درست کنید. پروفایل جدیدتان روی تلگرام هم نباید هیچ ربطی به شماره تلفن قبلی‌تان داشته باشد.

در سال‌های گذشته گزارش‌های دیگری هم درباره تلاش‌های عوامل وابسته به حکومت ایران برای پیداکردن کاربران توییتر (ایکس) و تلگرام بر اساس شماره تلفن‌شان منتشر شده بود. در این شرایط ادغام اطلاعات به‌دست‌آمده از شهروندان در کارزارهای اطلاعاتی مختلف می‌تواند به نتایج خطرناکی از جمله تشخیص هویت کاربران یا شبکه ارتباطات آنان منجر شود.

داوود سجادی، کارشناس امنیت دیجیتالی، می‌گوید: «سوالی که دوباره تقویت می‌شود این است کسی که این بات‌ها را طراحی و مدیریت کرده، چه هدفی داشته و آیا نقشه‌ای برای استفاده از اطلاعات کاربران داشته است یا نه. کاملا محتمل است که این بات‌ها یا موارد مشابه را حکومت یا افراد وابسته به حکومت راه انداخته باشند. چه برای باج‌گیری و چه برای تشخیص هویت آنها.»

در نهایت توصیه کلی آقای سجادی و خیلی دیگر از کارشناسان امنیت سایبری به کاربران این است که «اگر می‌خواهید پیام یا تصویری بفرستید که نگرانید بعدا مایه شرم و دردسر شود، اصلا آن پیام را نفرستید.»