۱
۰
plusresetminus
چهارشنبه ۱۳ مرداد ۱۳۹۵ ساعت ۱۲:۲۱

واکنش رسمی تلگرام به ادعای هک ۱۵ میلیون کاربر ایرانی

ایتنا- تلگرام در واکنش به خبر هک شدن کاربران می‌گوید داده‌های عمومی قابل دسترس از ۱۵ میلیون کاربر جمع‌آوری شده و حساب‌های فردی افراد در دسترس هکرها قرار نگرفته است.
واکنش رسمی تلگرام به ادعای هک ۱۵ میلیون کاربر ایرانی


تلگرام سرانجام به اخبار منتشر شده در مورد هک شدن اطلاعات ۱۵ میلیون کاربر ایرانی خود واکنش نشان داد و مدعی شد این واقعه به شدت ادعا شده نبوده و تنها داده‌های قابل دسترس به طور عمومی جمع‌آوری شده است.


به گزارش ایتنا از فارس، در بیانیه یاد شده با عنوان جالب آرام باشید و تلگرام بفرستید، تصریح شده که کاربران بهتر است خونسردی خود را حفظ کنند و به استفاده از این نرم‌افزار ادامه دهند، زیرا هیچ مشکلی وجود ندارد و اطلاعات خصوصی حساب‌های شخصی کاربران غیرقابل دسترس است.

براساس خبری که ابتدا در این مورد در خبرگزاری رویترز منتشر شد یک گروه هکری به نام Rocket Kitten عامل حملات مذکور بوده ولی تلگرام در واکنش به خبر یاد شده می‌گوید داده‌های عمومی قابل دسترس از ۱۵ میلیون کاربر جمع‌آوری شده و حساب‌های فردی افراد در دسترس هکرها قرار نگرفته است.

در بخشی از بیانیه تلگرام در این مورد آمده است: چنین کنترل‌های انبوهی از زمانی که ما امسال برخی محدودیت‌ها را بر روی رابط کاربری فایل برنامه تلگرام یا API اعمال کردیم، دیگر ممکن نیست. در این بیانیه آمده است: چون برنامه تلگرام بر مبنای شماره تماس‌های تلفن همراه عمل می‌کند، هر کس می‌تواند به طور بالقوه ثبت شدن یک شماره خاص در سیستم تلگرام را چک کند. امری که در برنام‌های مشابه مانند واتس‌آپ، پیام‌رسان فیس‌بوک و غیره هم ممکن است.

تلگرام همچنین مدعی شده از آنجا که شرکت‌های مخابراتی می‌توانند پیامک‌های کاربران را با هکرها به اشتراک بگذارند، استراق‌سمع و جاسوسی از پیامک‌ها ممکن است. در این بیانیه تاکید شده که تلگرام در این مورد به کاربران خود در دیگر کشورها هشدار داده است.

در انتهای این بیانیه از کاربران خواسته شده برای اطمینان از حفظ امنیتشان از سیستم تایید هویت دومرحله‌ای استفاده کنند و یک کلمه عبور اضافه را برای ورود به حساب کاربریشان در نظر بگیرند. قابلیتی که از مدتی پیش به این برنامه اضافه شده است.

برای مطالعه این بیانیه به آدرس https://telegram.org/blog/۱۵million-reuters مراجعه نمایید.
کد مطلب: 44584
نام شما
آدرس ايميل شما


feedback
Lithuania
روند ایجاد حساب کاربری در سرویس های پیام رسان از جمله تلگرام :

0- درخواست عضویت بواسطه یک شماره تلفن همراه در یک اپراتور تلفن همراه (از طریق نرم‌افزار مربوطه) .
1- فرستادن یک کد (چند کاراکتری) توسط کارگزار پیام رسان به درخواست کننده از طریق پیامک .
2-1 - وارد کردن کد دریافتی در نرم‌افزار پیام رسان و آغاز عضویت. این کد برای مدت زمان مشخصی معتبر است مثلاً تا 5 دقیقه , پس از آن دیگر اعتبار ندارد.
2-2 - تا این مرحله برای کاربرانی که از یک شماره تلفن همراه برای اولین بار عضو می‌شوند , سپس داریم :
2-3 - اگر کاربر مایل باشد می‌تواند سرویس تأیید دو مرحله‌ای را فعال کند. بدین شکل که گذرواژه ای تعیین شده تا پس از آن هرگاه به هر شیوه ای (سخت افزاری=گوشی همراه - تبلت - رایانه , نرم افزاری= نسخه مبتنی بر موبایل - دسکتاپ - وب ) خواست تا از پیام رسان استفاده کند علاوه بر کد پیامکی ارسالی از سوی کارگزار پیام رسان باید گذرواژه مذکور را نیز وارد کند. البته یک آدرس ایمیل هم می‌تواند به عنوان پشتیبان برای بازیابی گذرواژه هنگام فراموشی از سوی کاربر تعیین شود .

نکته 1 : منظور از هک تلگرام چیست؟ کارگزارهای تلگرام یا حساب کاربران تلگرام ؟
نکته 2 : رد و بدل داده‌ها در این پیام رسان (و البته در پیام رسان های دیگر) رمزنگاری می شود. بحث بر سر اعتبار شیوه و الگوریتم رمزنگاری مورد استفاده , سخن جداگانه ایست.

حال فرض کنیم کسی بخواهد حساب تلگرام شخصی را سرقت کند! با توجه به مراحل یادشده در بالا ; فرد سارق باید کد فعالسازی پیامکی ارسالی به شماره تلفن مورد نظر را بدست آورد. اگر هم سرویس تأیید دو مرحله‌ای فعال شده باشد داشتن این مورد هم الزامی ست.
نکته 3 : از دستیابی فیزیکی به دستگاهی که حساب روی آن فعال بوده یا روش‌های مهندسی اجتماعی برای سرقت حساب چشم‌پوشی شده است.

با مفروضات بالا , سارق چگونه و از چه راهی می‌تواند کد فعالسازی را بدست آورد؟
پاسخ روشن است : باید در سیستم مخابراتی اپراتور تلفن همراه مورد نظر نفوذ کند! در‌ واقع توانایی شنود پیامک های آن اپراتور را داشته باشد.
پرسش : آیا امکان نفوذ و جاسوسی در سیستم‌های مخابراتی بصورت تئوری یا عملی وجود دارد؟
پاسخ : بله , اما نه توسط هر فرد و هر گروهی! بعنوان نمونه پیمانکاران و نیروهای نظارتی قانونی مرتبط با این سیستم‌های مخابراتی , اولین گزینه های مظنون برای انجام چنین کاری به شمار می روند. همچنین سوء‌ استفاده از باگ های شناخته و معرفی شده‌ای چون آسیب‌پذیری SS7 در تجهیزات زیرساخت ارتباطی تلفن محتمل است.
نکته 4 : با فرض بدست آوردن کد فعالسازی پیامکی توسط سارق , اگر در حساب کاربر سرویس تأیید دو مرحله‌ای فعال شده باشد پس جناب سارق بایستی این گذرواژه را هم بدست آورد!
این گذر واژه نه در دستگاه کاربر ذخیره و نه بصورت پیامکی رد و بدل می‌شود , بلکه روی کارگزارهای پیام رسان بصورت رمزنگاری شده نگهداری می شوند. حال سارق باید کارگزار را هک نموده و پس از استخراج اطلاعات هر حساب اقدام به رمزگشایی (شکستن الگوریتم رمزنگاری) گذرواژه آن کند. یا اینکه در قالب شرکت های سرویس دهنده اینترنت , ارتباطات رمزشده را شنود کرده و سپس اقدام به رمزگشایی کند.
نکته 5 : تا بحال هیچ گزارش و ادعای معتبری مبنی بر شکستن الگوریتم رمزنگاری داده‌های تلگرام (و سرویس های پیام رسان دیگر) ارائه نشده است.
نکته 6 : روشی ابتدایی بنام Brute Force در حدس زدن گذرواژه ها وجود دارد که گمان نمی‌رود برای شمار بسیاری حساب کاربری (در حد چند میلیون) کارساز باشد. ضمن اینکه یک اقدام تدافعی ابتدایی از سوی طراحان پیام رسان در برابر چنین حملاتی مسدود و یا محدود کردن حسابی ست که با این روش به آن حمله شده است می باشد.

نکته آخر : اخبار مربوط به این ادعا بصورت گنگ و مبهمی منتشر شده و بنظرم فعلاً فقط می‌توان صرفاً آن را فقط و فقط یک ادعا دانست! چون به روشنی معلوم نشده آیا 15 میلیون حساب هک شده یا فقط توانستند بفهمند که چه شماره تلفن‌هایی از ایران در تلگرام عضویت دارند (این مورد چندان اهمیتی ندارد و هر کسی میتواند این کار را انجام دهد) و اینکه در خبر رویتر از 12 حساب یاد شده که قابل درک نیست!؟ نام بردن از گروه هکری ایرانی بنام Rocket Kitten که در کد (یا در برنامه خودشان) از زبان فارسی استفاده کردند ; من متوجه نشدم کدام کد یا برنامه؟
در این میان سایت‌های خبری هم اضافات من درآوردی و نامربوط و القایی را به اصل خبر افروده اند. به هر حال منتظر انتشار گزارش کامل و معتبر در روزهای آینده طبق گفته مدعیان خواهیم ماند.

لینک خبر مربوط به ادعای هک 15 میلیون حساب ایرانیان در تلگرامhttp://www.reuters.com/article/us-iran-cyber-telegram-exclusive-idUSKCN10D1AM

لینک پاسخ تیم تلگرام در رابطه با خبر بالا
https://telegram.org/blog/15million-reuters
نظر شما در باره طرح رجیستری موبایل چیست؟
طرح کاملا موفق بود
تا حدودی به نتیجه رسید
طرح کاملا شکست خورد
بنظرم طرح مبهمی است