اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام افشا شده است. این اطلاعات اکنون در سطح اینترنت با ۵۰۰ دلار فروخته می‌شود و منبع آن یکی از نسخه‌های غیر رسمی این اپلیکیشن ذکر شده است. «باب دیاچنکو» (Bob Diachenko)، پژوهشگر امنیت سایبری که این دیتابیس را در سطح وب کشف کرده، گفته که داده‌های دیتابیس شامل اطلاعات بیشتر از ۴۲ میلیون کاربر ایرانی تلگرام، مانند آی‌دی تلگرام، نام کاربری، شماره تماس، هش‌ها و کلید‌های دیجیتالی می‌شود.

این گزارش اولین بار در 12 فروردین 99 توسط وب‌سایت «Comparitech» منتشر شد. این وب‌سایت با همکاری همین کارشناس امنیتی، دیتابیس را بررسی کرده‌اند. به شکل مشخص اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام «از یک نسخه شخص ثالث (غیر رسمی) اپلیکیشن تلگرام»، منبع افشای اطلاعات ذکر شده است.

البته گفته می شود که با توجه به در ارتباط بودن کاربران تلگرام رسمی و غیررسمی با یکدیگر، احتمالا اطلاعات درز شده تنها مربوط به کاربران نسخه‌های غیررسمی نیست و اطلاعات بخش عمده‌ای از کاربران ایرانی تلگرام فاش شده است.

اطلاعات این دیتابیس لو رفته شامل دیتای ۴۲ میلیون کاربر ایرانی است و شامل موارد زیر بوده و این اطلاعات شامل محتوای چت کاربران نیست و با گزارش به شرکت میزبان، این دیتابیس فعلا از روی وب حذف شده است:

1.  آی دی اکانت (شناسه عددی که منحصفربفرد است و بطور عادی قابل نمایش نیست)
   
2.  یوزرنیم (نام کاربری که با علامت @ شروع می‌شود و ممکن است همه کاربران این یوزرنیم را نساخته باشد )
   
3. شماره تلفن
   
4. هش ها و کلیدهای امنیتی
   

طبق اطلاعات بدست آمده و همانطور که در تصویر زیر دیده می‌شود در دیتابیس اصلی دسترسی به تصاویر پروفایل کاربران هم وجود داشته است.

این گزارش می‌گوید اطلاعات توسط  «سامانه شکار» که احتمالا مربوط به یک ارگان دولتی هست، ظاهرا به شکل ناخواسته منتشر شده است. پس از دانلود دیتابیس هم هیچ رمز عبوری برای استفاده از آن نیاز نبوده است.

این داده‌ها پیش از آنکه توسط ارائه دهنده هاست حذف شوند، به مدت ۱۱ روز در دسترس بود.

• ۱۵ مارچ (۲۵ اسفند ۹۸): دیتابیس توسط موتور جستجوگر بایتری‌اج (BinaryEdge) ایندکس شد.
  
• ۲۱ مارچ (۲ فروردین ۹۹): دیاچنکو لو رفتن دیتاها را شناسایی و تحقیقات خود را آغاز کرد.
  
• ۲۴ مارچ (۵ فروردین ۹۹): باب دیاچنکو گزارش وجود فایل حساس را به ارائه‌دهنده هاستینگ داد.
  
• ۲۵ مارچ (۶ فروردین ۹۹): الستیک سرچ کلاستر مذکور حذف شد.
  

اطلاعات کاربران تلگرام ۱۱ روز قبل منتشر شده بود. این پایگاه داده به شکل جست وجو قابل دسترس بود. در ۲۱ مارس کارشناسی به نام دیاچنکو این دیتا را کشف کرد و تحقیقات خود را روی آن شروع کرد. در ۲۴ ماه مارس دیاچنکو گزارش تخلفی را به شرکت میزبان این اطلاعات ارسال کرد و در ۲۵ مارس این دیتابیس از روی شرکت میزبان حذف شد.

به نظر می رسد در مدتی که این اطلاعات روی این سرور قرار داشته کسان دیگری هم به آن دسترسی داشته‌اند از جمله سایت Comparitech متوجه شده که این اطلاعات در یک فروم هکرها منتشر شده است.

ماجرا در عین ترسناک بودن، نسبتاً ساده است، اطلاعات 42 میلیون کاربر تلگرام در ایران توسط سازندگان نسخه های غیر رسمی تلگرام یا به واسطه سوء استفاده هکرها از حفره‌های امنیتی موجود در آن جمع آوری می‌شود و بر روی یک سرور متعلق به دامنه ایرانی «سامانه شکار» قرار می‌گیرد. دیتابیس اطلاعات و شماره تماس کاربران ایرانی بدون هرگونه رمزنگاری بر روی سرور یا سرورهای متعلق به «سامانه شکار» نگهداری شده است که در نهایت به واسطه موتور جستجوی BinaryEdge شناسایی و استخراج می‌شود. اطلاعاتی در خصوص ماهیت «سامانه شکار» در دست نیست و کسی نمی داند اطلاعات 42 میلیون کاربر ایرانی تلگرام دست آنها چه می کند و چطور آن را به دست آورده اند. هرچند با توجه به دسترسی داشتن این سامانه به اطلاعات میلیون ها کاربر احتمال اینکه سامانه برای یک شخص عادی باشد بعید است!

آدرس سامانه شکار که اطلاعات ۴۲ میلیون کاربر تلگرام رو فاش کرد ظاهرا اینجا بوده :

سخنگوی تلگرام در گفتگو با وب‌سایت Comparitech اعلام کرده است که «داده‌ها مربوط به یک نسخه غیر رسمی از تلگرام است؛ نسخه‌ای که هیچ ارتباط مستقیمی با این کمپانی ندارد. ما می‌توانیم تایید کنیم که این اطلاعات کاربری، از یک نسخه‌ی غیر رسمی تلگرام استخراج شده است. متاسفانه، علی‌رغم هشدارهای ما، مردم ایران همچنان از اپلیکیشن‌های تایید نشده استفاده می‌کنند. اپلیکیشن‌های تلگرام متن باز هستند و به همین دلیل، مهم است که از اپلیکیشن‌های رسمی ما استفاده شود که از نسخه‌های قابل تایید پشتیبانی می‌کنند. »

تلگرام یک اپلیکیشن متن باز است که به سایر اپلیکیش‌ها اجازه می‌دهد نسخه‌ای با ویژگی‌های مورد نظر خود را بر بستر هسته‌ی اصلی تلگرام بسازند. از آنجایی که تلگرام در اردیبهشت ۹۷ در ایران فیلتر شد، بسیاری از کاربران برای ادامه‌ی استفاده از این پیام‌رسان و ارتباط با آشنایان خود از نسخه‌های غیر رسمی در ایران استفاده کردند که به شکل غیرقابل باور و پر هزینه‌ای قادر بودند فیلترینگ تلگرام را دور بزنند.

نکته بسیار مهم اینجاست که در دیتابیس منتشر شده، در کنار نام، نام کاربری تلگرام و شماره تماس افراد، هش‌ها و کلیدهای دیجیتالی نیز منتشر شده‌اند. اما به گفته‌ی سخنگوی تلگرام، با استفاده از همین داده‌ها نمی‌توان وارد حساب کاربری افراد شد. در واقع، او گفته که این داده‌ها صرفاً در داخل حساب کاربری، قابل کارکرد هستند و کسی که به آن‌ها دسترسی داشته باشد نمی‌تواند از کلید دیجیتالی برای ورود به حساب شخص دیگری استفاده کند.

در ساعات اولیه بامداد ۱۲ فروردین باب دیاچنکو  اطلاعات بیشتری از نحوه کشف این دیتابیس و خطری که کاربران را تهدید می‌کند را اعلام کرد. او می‌گوید اگرچه اطلاعات و شماره تماس‌ها منتشر شده‌اند، اما او در این دیتابیس هیچ اثری از داده‌های شخصی کاربران،‌ یا اطلاعاتی که به هکر کمک کند تا بتواند به حساب کاربری آن‌ها وارد شوند، پیدا نکرده است.

خطر داده‌ها برای کاربران ایرانی این است که دیتابیس به شکل مشخص نشان می‌دهد که چه کاربری در ایران از این پیام‌رسان استفاده می‌کند. همین مسئله، می‌تواند افراد را هدف حمله‌های بعدی کند: «یکی از این حمله‌ها، ممکن است SIM Swap به معنای تعویض سیم‌کارت کاربر باشد. در واقع، هکر با اطلاعاتی که دارد، به نوعی بتواند اپراتور موبایل را قانع کند که صاحب سیم‌کارت است تا اپراتور موبایل یک سیم‌کارت جدید برای او صادر کند. این مسئله کنترل کامل خط موبایل از جمله پیامک و شماره تماس قربانی را به هکر می‌دهد. از سوی دیگر در این مرحله، هکر می‌تواند وارد حساب تلگرام کاربر شود و دسترسی کاملی به پیام‌های او نیز داشته باشد.»

او به این سوال که آیا داده‌ها نشان نمی‌دهند که این اطلاعات از طریق کدام نسخه‌ی غیر رسمی تلگرام منتشر شده است، پاسخ منفی می‌دهد و می‌گوید اگرچه مطمئنا لو رفتن داده‌ها مربوط به یک نسخه‌ی غیر رسمی بوده، اما هیچ نشانه‌ای از سورس اصلی داده‌ها و نام یک اپلیکیشن خاص در این داده‌ها پیدا نمی‌شود.

اما مهم‌تر از این‌ موارد، چگونگی لو رفتن این دیتابیس است. دیاچنکو در پاسخ به این سوال که آیا اعتقاد دارد نسخه‌ی غیر رسمی به نوعی در انتشار داده دخیل بوده، یا آیا ممکن است یک «در پشتی» (Back door) در نسخه غیر رسمی وجود داشته که هکرها به آن دسترسی پیدا کرده‌اند، می‌گوید: «انتشار این دیتابیس به این شکل، به دلیل خطای پیکربندی نشدن آن بوده است. به این معنا که هر کسی این سرور را مدیریت می‌کرده، فراموش کرده تا روی دیتابیس یک رمز عبور قرار دهد! به همین شکل دیتابیس به شکل سهوی، توسط موتورهای جستجوی IoT ایندکس شده است.»

این دیتابیس هم‌اکنون در سطح وب منتشر شده است: «قطعا اطمینان دارم که داده‌ها هم اکنون به دست افراد سودجویی رسیده که تلاش می‌کنند آن را در بازار سیاه بفروشند. یکی از انجمن‌های دارک وب اطلاعات را برای فروش عرضه کرده بود.» ( «محمد جرجندی» یک فعال رسانه‌ای دیگر که در آمریکا زندگی می‌کند در حساب توییترش اعلام کرد که دیتابیس اطلاعات ۴۲ میلیون کاربر ایرانی با رقم ۵۰۰ دلار قابل فروخته می‌شود.)

این اطلاعات نشان می‌دهد شخص فروشنده دیتابیس ساکن ترکیه بوده است:

نکته بسیار مهم در این میان، این است که تلگرام هم به جای هشدار دادن به کاربران در راستای عدم استفاده از اپلیکیشن‌های غیر رسمی، می‌توانست دسترسی کلاینت‌های غیر رسمی را قطع کند در حالی که چنین اتفاقی رخ نداد.

دیاچنکو هم در پاسخ به این سوال که تلگرام آیا در این میان نمی‌توانست کار بیشتری برای حفاظت از کاربران ایرانی انجام دهد، می‌گوید: «شاید، اما تلگرام هم خودش را به عنوان یک اپلیکیشن متن باز معرفی می‌کند و همین مسئله باعث می‌شود تا کنترل نسخه‌های غیر رسمی بسیار مشکل باشد.»

یک پژوهشگر امنیتی دیگر که به دیتابیس مورد بحث دسترسی پیدا کرده، می‌گوید اطلاعات منتشر شده صرفاً مربوط به کاربرانی که از نسخه غیر رسمی تلگرام استفاده می‌کردند نیست، بلکه تقریباً اطلاعات تمام کاربران ایرانی تلگرام در آن جمع آوری شده است.

او در پاسخ به این سوال که استدلال و دلیل این موضوع چیست، می‌گوید: «زمانی که یک کاربر از نسخه غیر رسمی تلگرام استفاده می‌کند و با شخص دیگری چت می‌کند که نسخه رسمی را دارد، اطلاعات فردی که از نسخه رسمی استفاده می‌کند هم در نسخه‌ی غیر رسمی ذخیره می‌شود. در واقع اطلاعات تماس فردی که نسخه رسمی دارد وارد دفترچه تلفن فردی می‌شود که از نسخه غیر رسمی بهره می‌برد.»

در صورتی که این استدلال درست باشد، که شواهد نشان می‌دهد به احتمال بسیار قوی اینطور است، می‌توان گفت که بخش بسیار زیادی از کاربران ایرانی افشا شده است.

این پژوهشگر همچنین در پاسخ به این سوال که در حال حاضر پیشنهاد می‌شود که کاربران چه اقدامی انجام دهند، می‌گوید تنها راهی که وجود دارد، تغییر شناسه کاربری در تلگرام است که البته اثر چندانی هم نخواهد داشت، چراکه داده‌های منتشر شده، شامل شماره تلفن افراد نیز می‌شود.

هش‌ها و کلیدهای مخفی نمی‌توانند برای دسترسی به اکانت‌ها مورد استفاده قرار بگیرند، چرا که تنها در داخل اکانت مربوط به خود قابل استفاده هستند. اما چیزی که واضح است این است که درز اطلاعاتی از قبیل نام کاربری و شماره تلفن می‌تواند کاربران را در معرض خطرات بالقوه‌ای قرار دهد.

با استفاده از این داده‌ها می‌توان متوجه شد چه کسانی در ایران از تلگرام استفاده می‌کنند، هکرها می‌توانند از روش جعل سیم کارت هم استفاده کنند. در این روش، هکرها با اطلاعاتی که در دست دارند، به نوعی اپراتور را قانع می‌کنند که صاحب خط تلفن همراه هستند و یک سیم کارت جدید برای خود تهیه می‌کنند. پس از دسترسی به این سیم کارت هم می‌توانند کنترل شماره را در دست گرفته و حتی برای ورود به اکانت تلگرام از آن استفاده کنند. (البته با توجه به سخت‌گیری‌هایی که اپراتورهای ایرانی در صدور سیم کارت دارند، به نظر نمی‌رسد این مورد مشکلی جدی برای کاربران ایرانی تلقی شود).

از دیگر خطرات احتمالی هم می‌توان به حملات فیشینگ و کلاهبرداری از طریق شماره تلفن همراه اشاره کرد که این مورد متأسفانه در کشورمان قربانی‌های نسبتاً‌ زیادی دارد.

وب‌سایت دیگری به‌نام hackread اعلام کرده است که اطلاعات فاش شده از هاتگرام و طلاگرام (تلگرام طلایی)، دو نسخه‌ی غیررسمی تلگرام فاش شده است. به‌گفته‌ی این وب‌سایت یکی از محققان امنیتی، داده‌ها را مورد بررسی قرار داده و می‌گوید این پایگاه داده به کمک اسکرپ کردن یعنی فرآیندی که داده‌ها از وب‌سایت‌ها و سایر سرورها جمع‌آوری می‌شوند ساخته شده است. او گفت:
داده‌ها شامل اطلاعاتی است که ازطریق اسکرپ کردن به دست آمده‌اند و هیچ ارتباطی به پیام‌رسان داخلی ندارند. من معتقدم فرایند اسکرپ کردن توسط شرکتی در ایران انجام شده و سپس به اشخاص ثالث فروخته شده است.

این محقق همچنین در پاسخ به این سؤال که «آیا فاش شدن پایگاه داده ارتباطی با همه‌گیری ویروس کرونا داشته است یا خیر؟» گفت:  از این اطلاعات می‌توان برای پخش کردن اخبار جعلی استفاده کرد. به‌عنوان مثال می‌تواند گروه‌های بزرگی ساخت و اطلاعات غلط را در آن منتشر کرد. با این حال من فکر نمی‌کنم که هدف این بوده باشد.

متاسفانه بیش از 100 نمونه نسخه رسمی تلگرام وجود دارد که با اسامی و عنواین مختلف و بعضا مضحک و با گاها با عنوان تلگرام ضد فیلتر یا تلگرام بلاکچین و.. منتشر شده و می شوند که به علت متن باز (open source ) بودن تلگرام قابل تولید و انتشار هستند. این نسخه ها به هیچ عنوان از طریق موسسین تلگرام تایید و پشتیبانی نمی شوند و تضمینی بابت امنیت اطلاعات و حفظ حریم خصوصی کاربران وجود ندارد.

پیام رسان اصلی و تایید شده تلگرام فقط و فقط همان نسخه ای است که در سایت رسمی تلگرام منتشر شده است. تلگرام اصلی برای سیستم عامل های مختلف مثل اندروید، آی‌او اس، ویندوز، مک ، لینوکس ارائه شده و نسخه دیگری به نام تلگرام ایکس هم برای اندروید وجود دارد که در سایت تلگرام قابل دسترسی است.

طبیعتاً 42 میلیون کاربر ایرانی از نسخه‌های غیررسمی تلگرام استفاده نکرده‌اند. این یعنی کاربران این نسخه‌های غیررسمی باوجود هشدارهایی که مبنی بر عدم امنیت این برنامه‌ها داده شده، نه تنها حساب خود، بلکه مخاطبین خود را نیز در معرض خطر قرار داده‌اند.

امیر ناظمی، معاون وزیر ارتباطات در واکنش به افشای اطلاعات 42 میلیون کاربر تلگرام، به نقل از گزارش مرکز ماهر گفت: در دی‌ماه 96 در مورد عدم امنیت پوسته‌های تلگرام هشدار دادیم. البته شواهدی وجود دارد که این اطلاعات به شیوه‌ دیگری جمع‌آوری شده است!  او همچنین اعلام کرد سایت شکار که در شرکت رسپینا میزبانی می‌شد، شناسایی شده است و قرار است که گزارش رسیدگی قضایی به دادستانی ارجاع داده شود.

*به روز رسانی

واکنش شرکت داده‌پردازی رسپینا
پیرو اخبار منتشر شده در خصوص افشای اطلاعات کاربران سرویس‌های غیررسمی تلگرام و اطلاعاتی که در فضای مجازی توسط مسئولین ذیربط مبنی بر میزبانی وب‌سایت مذکور بیان شده است، شرکت رسپینا ضمن ابراز تأسف از اظهارنظرهای غیر‌کارشناسی انجام‌شده، به جهت شفاف‌سازی اذهان عمومی در این خصوص به اطلاع می‌رساند که وب‌سایت مذکور از یکی از شرکت‌های ارائه‌‌دهنده‌ی خدمات هاستینگ سرویس دریافت می‌کرده است و شرکت رسپینا صرفا با اجاره‌ی فضای دیتاسنتر (کولوکیشن) به شرکت مذکور، سرور‌های شرکت ارائه‌دهنده‌ی خدمات هاستینگ را میزبانی نموده ‌است. لازم به توضیح است در سرویس کولوکیشن بر‌خلاف سرویس هاستینگ امکان هیچگونه دخل و تصرفی در تنظیمات امنیتی سرورهای مشتری توسط شرکت ارائه‌دهنده‌ی خدمات وجود ندارد (قابل ذکر است سرویس هاستینگ نیز جزو خدمات شرکت رسپینا نیست)، همچنین اپراتورهای ارائه‌دهنده‌ی خدمات ارتباطی از جمله شرکت رسپینا، اجازه‌ی رصد فعالیت یا ورود به حریم خصوصی سرویس‌گیرندگان خود را قانونا و اخلاقا نداشته و این مهم در حیطه‌ی اختیارات شرکت‌هایی مانند رسپینا نیست.

لازم به ذکر است که ارائه‌ی کلیه‌ی خدمات شرکت داده‌پردازی رسپینا همواره مطابق با مصوبات، الزامات و قوانین سازمان تنظیم مقررات و ارتباطات رادیویی بوده و در خصوص چگونگی استفاده از این سرویس‌ها، قانونا مسئولیتی متوجه این شرکت نیست.