هک دسته جمعی گروهی از اعضای موسسه خیریه "جمعیت امام علی"

موسسه خیریه امام علی، سازمانی غیر انتفاعی که برای کمک به زنان و کودکان آسیب‌پذیر در ایران کار می‌کند، اعلام کرده است که حساب‌های کاربری مختلف گروهی از اعضایش "به صورت سازماندهی شده" هک شده است.

به گفته این موسسه، حساب‌های هک شده شامل جی‌میل، فیس‌بوک، توئیتر و لینکدین و تلگرام بوده است. همه کسانی که حساب‌هایشان هک شده از خدمات "ورود دو مرحله‌ای" استفاده می‌کرده‌اند.

این خدمات که برای بالابردن امنیت حساب‌های کاربری ارائه می‌شود، برای ورود علاوه بر رمز عبور، یک رمز را (معمولا به صورت یک کد چند رقمی) به شماره موبایل کاربر پیامک (اس ام اس) می‌ کند که به عنوان رمز احراز هویت هم شناخته می‌شود. این لایه امنیتی اضافی برای جلوگیری از نفوذ هکرها به حساب‌های کاربری در صورت دست یافتن آنان به رمز عبور است.

اعضای جمعیت امام علی که هک شده‌اند می‌گویند در فاصله ساعت شش تا هفت و نیم صبح چندین پیامک (اس ام اس) احراز هویت برای حساب‌های مختلفشان دریافت کرده‌اند، و بعد از آن ظاهرا فرد یا افرادی وارد حساب‌های کاربریشان شده و رمزهایشان را تغییر داده‌اند.

از آنجا که کد‌های احراز هویت، به صورت پیامک به موبایل اعضا ارسال شده است، جمعیت امام علی در حساب توئیتر خود، این فرض را مطرح کرده است که مهاجمان، احتمالا به "پیامک‌های اعضایش دسترسی" داشته‌اند.

پای مخابرات در میان است؟

در ساعت‌های اخیر گروهی از کاربران شبکه‌های اجتماعی، موجی از اتهام علیه مخابرات ایران مطرح کرده‌اند. این کاربران می‌گویند "مخابرات مستقل نیست" و "پیامک‌های اعضای هک شده را شنود کرده است".

مسئولان مخابرات ایران تاکنون به این اتهام پاسخی نداده‌اند.

امیر رشیدی، پژوهشگر دسترسی به اینترنت در کمپین بین‌المللی حقوق بشر در ایران، اعتقاد دارد پیامک‌های اعضای جمعیت امام علی "شنود" شده است: "این اولین بار نیست، و مخابرات ایران در سه سال گذشته بارها پیامک‌ها را برای دست یافتن به رمز احراز هویت شنود کرده است، حتی تلگرام به همین دلیل و با فشار ما، قبول کرد رمز دوم را به ایمیل بفرستد، اما کاربران از پیامک برای احراز هویت جی‌میل خود استفاده می‌کنند که باعث می‌شود از راه جی‌میل حساب تلگرام هم هک شود."

بی‌بی‌سی، نمی‌تواند به صورت مستقل ارتباط حمله به حساب‌های کاربری گروهی از اعضای جمعیت امام علی را با مخابرات ایران تایید یا بررسی کند.

همچنین در حال حاضر امکان بررسی اینکه آیا مسیر دیگری برای دسترسی هکرها به پیامک‌های اعضای این موسسه وجود داشته است، وجود ندارد. اما امکان آلوده کردن گوشی‌های هوشمند و دسترسی به پیامک‌ها بدون استفاده از زیرساخت‌های مخابرات هم وجود دارد. همچنین این امکان هم می‌تواند در نظر گرفته شود که دسترسی به پیامک‌ها بدون اجازه مخابرات انجام شده باشد.

با این حال امیر رشیدی اعتقاد دارد که به دلیل "هماهنگ بودن حمله، امکان دسترسی هکرها به پیامک‌ها محتمل تر است."

با این حال بعضی از فعالان امنیت اینترنت، پیش از این به احتمال دسترسی "بعضی از نهادهای امنیتی" به پیامک‌های کاربران و یافتن رمزهای عبور دو مرحله‌ای هشدار داده بودند.

امین ثابتی، یکی دیگر از فعالان امنیت اینترنت، هم مخابرات را مسئول می‌داند.

درباره جمعیت امام علی

جمعیت "امداد دانشجویی-مردمی امام علی" یک سازمان مردم‌نهاد است که می‌گوید در ۱۹ سال گذشته در زمینه "حمایت از کودکان، زنان سرپرست خانوار، دختران آسیب دیده و پدیده کارتن‌خوابی" فعالیت کرده است. جمعیت امام علی در سال‌های اخیر علیه اعدام کودکان کمپین کرده و خانه‌هایی با نام "خانه ایرانی" برای کمک به کودکان و زنان در محله‌های فقیرنشین ایران برپا کرده است.

روزنامه کیهان در سال‌های گذشته شارمین میمندی نژاد، موسس جمعیت امام علی را به "تحریف احکام الهی و فریب دادن مردم به واسطه کارهای خیرخواهانه" متهم کرده بود. در یکی از این مقالات، روزنامه کیهان آقای میمندی نژاد را به "توهین به شهدا" متهم کرد. جمعیت امام علی در جوابیه‌ای این اتهامات را رد کرد و نوشت که این جمعیت، "همواره شرمنده حمایتها و الطاف خانواده بزرگوارانی چون شهید بابایی، شهید همت، شهید باکری، شهید کریمی و... بوده و نعمت حضور آنان را پاس داشته است."

جمعیت امام علی گاهی از سوی برخی تحلیلگران به عنوان نهادی مورد تایید حکومت توصیف شده است. این گروه البته چنین توصیف‌هایی را اتهام خوانده و نوشته: "اگر مقصود از تائید حکومت، داشتن مجوز از نهادهای رسمی کشور باشد، واضح است که امکان انجام فعالیت برای کودکان آسیب دیده و فعالیت در دهها عرصه اجتماعی دیگر، بدون مجوز مقدور نیست. اگر فرض این باشد که برقراری دیالوگ و چانه‌زنی با مسئولین قوا یا صاحبان قدرت در جایگاه‌های متعدد نشان از وابستگی است، باید گفت هر نهاد مردمی کارآمد، این توانایی را نقطه قوت خود میداند؛ همانطور که وکلای محترم نیز برای دفاع از موکلین خود یا حقوق عمومی، از این امر ناگزیرند."

فعالان امنیت اینترنت پیشنهاد کرده‌اند که برای جلوگیری از به گفته آنان "شنود" پیامک‌ها، بجای پیامک از اپلیکیشن هایی استفاده شود که کدهای اختصاصی احراز هویت می‌سازند.

برای نمونه گوگل یک اپلیکیشن تایید هویت Google Authenticator برای عبور دو مرحله‌ای ارائه کرده که نیازی به استفاده از خدمات مخابرات برای دریافت رمز تایید هویت نیست و تایید در موبایل کاربر انجام می‌شود.