
آیا آگهی فروش اطلاعات تلگرام اهمیتی هم دارد؟
از دیروز یک محقق امنیتی شروع به نوشتن در مورد لو رفتن اطلاعات مرتبط با تلگرام ۴۲ میلیون ایرانی کرد. به گفته تلگرام، این اطلاعات مربوط به یکی از تلگرامهای غیررسمی است که در ایران استفاده میشود که «متاسفانه علی رغم اخطارهای ما، بعضی از ایرانیان هنوز از آنها استفاه میکنند». ظاهرا این بانک اطلاعاتی از اواخر اسفند توسط یک موتور جستجو در اینترنت کشف شده، در حالی که هیچ حفاظتی از آن نمیشده و توسط هرکسی که آدرس را داشته قابل مشاهده بوده. در اوایل فروردین یک هکر خارجی مساله را بررسی و به هاستینگ مورد نظر اطلاعرسانی میکند و فردایش، این اطلاعات حذف میشوند. ظاهرا سایت اصلی جمعکننده این اطلاعات سایتی بوده به نام «سامانه شکار».
اما خبر اصلی مربوط به امروز صبح است و توییتی که به مساله فروش این اطلاعات در یک فروم اشاره میکند. حالا هر کسی میتواند با پرداخت ۵۰۰ دلار، یک نسخه از اطلاعات تلگرامی ۴۲ میلیون ایرانی حاوی اسم و فامیل وارد شده، نام کاربری، شماره تلفن، لینک به عکس و آخرین بار آنلاین شدن را دریافت کند. شکل خبر و فروش اطلاعات هیجانانگیز است و باعث واکنش های زیادی بین کاربران می شود. از توضیحات دقیقتر تا پیگیری تا اعلام نگرانی و یادآوری تجربیات مشابه و تذکر دوباره اهمیت استفاده از نسخههای اصلی برنامه ها.
اولین سوال بسیاری از مردم این بود که «آیا من هم که از تلگرام اصلی استفاده می کنم در این درز اطلاعاتی حضور دارم؟». برای پاسخ به این سوال کافی است به این مساله توجه کنیم که احتمالا هیچ کدام از نسخههای غیررسمی تلگرام ۴۲ میلیون مشترک ندارند. پس منطقا برای اضافه شدن به این دیتابیس لازم نیست الزاما عضو تلگرامهای غیرامن باشید. برای اضافه شدن شما به این گونه دیتابیس ها کافی است یک نفر که تلگرام غیرامن دارد، مشخصات شما را به کانتکتهایش اضافه کند یا با شما گفتگو کند و حالا شما هم وارد این بانکهای اطلاعاتی شدهاید. این مساله مهاجرت بسیاری از مردم به تلگرامهای غیررسمی پس از فیلتر و سانسور تلگرام اصلی توسط وزارت مخابرات در اردیبهشت ۹۷ و استمرار امکان اتصال به تلگرام از طریق نمونههای غیررسمی تشدید شد.
دومین سوال هم میزان تبعات این درز اطلاعاتی و شیوه برخورد با آن است. حالا باید فرض کرد که هر کسی که در جهان اراده کند به شماره تلفن، اسم، اسم کاربری و عکس ما دسترسی دارد. احتمالا حتی به راحتی به اینکه عضو کدام گروهها هستیم. تمام اسمهای کاربری حالا به یک شماره تلفن وصل هستند پس ناشناسی در تلگرام برای عموم هیچ معنایی ندارد. از آنطرف هر کسی که به شما پیام میدهد ممکن است اسم و شماره تلفن شما را هم بداند. این مساله به شکل جدی باعث افزایش حملات فیشینگ / ماهیگیری خواهد شد. افراد میتوانند با دانستن شماره تلفن و نام کاربری شما، تظاهر به شناختن شما کنند. بهخصوص ترکیب این چنین درزهای بزرگی با دیتابیس های دیگر (مثلا حاوی شماره ملی و روابط خانوادگی و کارت بانکی و ..) میتواند به راحتی شما را در این مورد که تماس گیرنده واقعا شما را می شناسد یا نه، دچار شکهای جدی کند.
در نهایت هم لازم است توجه کنیم که این فقط نوک کوه یخی است که از آب بیرون زده. هیجان این روزها مربوط به این است که یک نفر اطلاعاتی که یکی از این پیامرسانها یا حتی فردی دیگر با تکنیکهای دیگر جمع میکرده را ۵۰۰ دلار میفروشد. این اطلاعات قبلا هم جمع میشده و در سایت مذکور و در بسیاری جاهای مشابه دیگر، در دسترس بوده. مطمئنا این اطلاعات برای کسانی که دسترسی دارند به راحتی قابل ترکیب با هر اطلاعات دیگر است. شرکتها و سازمانهای دیگر هم در نبود هیچ حمایت قانونی از مردم در مقابل سرقت اطلاعاتشان، به این شکل از جمع آوری اطلاعات ادامه خواهند داد و هر سیستمی که یک در پشتی برای ورود «دوستان» داشته باشه، مطمئنا زمانی مورد سرقت «دشمنان» هم قرار خواهد گرفت.
شاید همین حالا کسی جایی پشت پنلی نشسته باشد که در حال نمایش پیامهای یک گروه در هر کدام از پیامرسانها است. پنلی که کنار هر پیام از هر فرد، نام، تلفن، محل سکونت، درآمد ماهیانه، حسابهای بانکی، روابط خانوادگی، سن، جنس و چیزهای دیگر را نمایش میدهد و حتی شاید با یک کلیک بتواند پروسه وارد شدن به حساب بانکی شما – مثلا از طریق یک حمله فیشینگ – را شروع کند. این من و شما هستیم که با درکمان از ابزار و استفادهمان از تکنولوژیهای استاندارد و دستکاری نشده، امنیت را برای خودمان و دیگران تامین میکنیم و در سطحی بالاتر هم سیاستمداران و قانونگذاران هستند که انتظار میرود با ایجاد مکانیزمهای قانونی در مقابله با شنود و سانسور، حق خلوت و حریم شخصی آدمها را حفظ کنند.