به گزارش «تابناک»، با رونق گرفتن تب و تاب فضای مجازی و استفاده روزمره از شبکههای اجتماعی، کاربران در معرض آسیبهایی قرار دارند که بعضا با ساده انگاری، از آنها و خطراتی که متوجه شان میکند، بی اطلاع هستند. خطرات بزرگی که حالا به روایت مستندات یک نمونه از آنها افشا شده و ابعاد هولناکی دارد.
ماجرا درباره رباتهایی است که به عنوان «ربات ناشناس» (یا به اصطلاح رایجتر، "بات ناشناس") شناخته میشود و کاربران شبکههای اجتماعی مانند تلگرام، ایکس (یا اکس=توییتر سابق) و... به آنها اجازه دسترسی به پروفایلشان را میدهند تا افرادی که قصد دارد به صورت ناشناس به آنها پیام دهند، از این بات استفاده کنند.
ظاهر ماجرا همینقدر ساده و حتی بانمک است، چون میتوانید با استفاده از بات ناشناس به کسی که دوستش دارید یا به اصطلاح، رویش کراش دارید، پیام دهید و از سویدای دل برایش بنویسید و یا به افراد پیشنهاد دوستی و حتی پیشنهادات عجیب و غریب دهید و خلاصه به صورت ناشناس، هر فعالیت و تبادل آرایی با افراد دیگر داشته باشید، اما این فقط ظاهر ماجراست!
در واقعیت، همان گونه که همه دیتاهای رد و بدل شده در شبکههای اجتماعی و حتی دیتاهای ذخیره شده (درفت یا سیو شده) در سرورهای پیام رسانها و شبکههای اجتماعی ذخیره میشود و کاربرانی از آن شرکت به آنها دسترسی دارند و علاوه بر این، ممکن است با حملات هکرها، این دیتاها به دست دیگران برسد، پشت پرده رباتهای ناشناس هم افرادی حضور دارند که به اطلاعات رد و بدل شده دسترسی دارند.
البته شعار سازندگان رباتهای چت ناشناس این است که دیتاهای کاربران را ذخیره نمیکنند و سرورهایشان در زمانهایی مقرر این اطلاعات را پاک میکنند، اما حالا اطلاعاتی منتشر شده که نشان میدهد شعار یاد شده اصلا صحت نداشته و نه تنها اطلاعات افرادی که از این باتها استفاده میکنند (چه گیرنده و چه فرستنده پیام به بات)، ذخیره شده، که ابزارهایی ویژه تدارک دیدهاند تا با آن روی برخی کاربران استفاده کننده از بات، تمرکز (فوکوس) کرده و اطلاعات خاصی از ایشان به دلایل ویژه، ذخیره نمایند!
«۱۰ روز پیش امیر به ۳ تا از باتهای ناشناس نفوذ کرد و صحنههایی دیدیم که شوکه شدیم؛ از ۱۴ میلیون یوزر، ۴۵۰ میلیون چت، ۱۱ میلیون عکس و ۳ میلیون ویدیو ذخیره شده بود!»؛ این مقدمه و شروع رشته توییت (رشتو) نوشته شده توسط یکی از کاربران ایکس است که در ادامه آن توضیحاتی مفصل تری از ماجرا ارائه کرده و یک فایل ویدئویی هم به آن پیوست شده که ماجرا در آن کاملتر توضیح داده شده است.
افشاگری هولناکی نقطه شروع آن، کنجکاوی و نقل به مضمون، بیکاری یک هکر کلاه سفید بوده است که با برخوردن به یکی از باتهای چت ناشناس (به نام تله کامنتس بات، TeleComentsBot)، کمی درباره آن کنجکاوی کرده و پی برده که آسیب پذیریهایی دارد، بعد توانسته سرور این بات را بیابد و با کنکاش در آن، به دیتاهای ذخیره شده رویش دسترسی پیدا کند و در نهاد با کارهای فنی، به نوعی اطلاعات را رمزگشایی کرده و از نتیجه کار شوکه شده است.
فرایندی که روی دو بات چت ناشناس دیگر (به نامهای بی چت و B چت (bicatbot, bcatbot)) تکرارش کرده و به میلیونها اطلاعاتی دسترسی یافته که سازندگان باتهای فوق همه مدعی بودند ذخیره نمیشود و امن هستند، در حالی که این گونه نبوده است. به جدول زیر که چکیدهای از اطلاعات به دست آمده از این هک است، دقت کنید:
|
بررسی دیتاهای استخراح شده مربوط به 3 بات چت ناشناس
|
تعداد کاربران (یوزرها): 14 میلیون نفر
|
|
تعداد پیام متنی (تکست=Text, Message):
|
نزدیک به 495 میلیون
|
|
تعداد فیلم (ویدئو=Video):
|
بالغ بر 2.3 میلیون
|
|
تعداد تصویر (عکس=Photo):
|
بیشتر از 11 میلیون
|
|
تعداد صدا (فایل صوتی=Audio, Voice):
|
نزدیک به 18 میلیون
|
اطلاعاتی که از سه سرور مجزای مربوط به این باتها استخراج شده و آن گونه که هکرها گفتهاند، هم بات را به نوعی از بین بردهاند و هم اطلاعات ذخیره شده روی آنها را نابود کردهاند، هرچند به اطلاعات دیگری دست یافتهاند که به شدت نگران کننده است و این ابهام را به دنبال دارد که ممکن است برخی اطلاعات در جاهای دیگری هم ذخیره شده باشد.
۲ فیچر ترسناک باتهای چت ناشناس
آن گونه که «امیر»، هکری که شروع کننده این بررسی بوده، میگوید، در بررسی بزرگترین بات پی برده نفری که این بات را نوشته، دو فیچر [به معنای ویژگی یا خصیصه]نوشته و در بطن آن قرار داده که دو کار میکرده است:
۱- کاربر (یا یوزر) را فلگ میکند. یعنی فردی که فلگ شده (اصطلاحا با "پرچم" نشاندار شده است)، اگر وارد بات ناشناس شود و در آن فعالیت کند، نویسنده بات میفهمد و خبردار میشود!
۲- با استفاده از یک ایپیآی (API) میتواند چتهای کامل افراد، شامل پیامهای متنی، فیلمها و عکسها و حتی استیکرهای ارسال شده را ببیند! یعنی آی دی فرد (شناسه هویتی کاربر) را در این بخش وارد میکرده و کل اطلاعات رد و بدل شده در بات را دریافت میکرده و میدیده است.
درست مثل اینکه جز فرستنده و گیرنده پیام ناشناس، همه مکالمات و ارتباطات این دو نفر با نفر سوم (و شاید نفرات سوم به بعد!) به اشتراک گذاشته شده و آن فرد قابلیت ذخیره سازی این پیامها برای هرنوع استفاده و سواستفادهای را دارد! اطلاعاتی که به عنوان نمونه برخی از آنها در فیلم منتشر شده، مورد تست و سنجش قرار گرفته و صحت آنها مهر تایید خورده است.
اطلاعاتی که اگر در اختیار هکرهای کلاه سیاه قرار گیرد، خدا میداند که چه امکان وسیعی برای باج گیری و سو استفاده در اختیار خواهند داشت و در نتیجه اقدامات شان، چه جمع بزرگی از کاربران، به ویژه نوجوانان و جوانان تحت فشارهای وسیع قرار خواهند گرفت، ممکن است احساس بی آبرویی کرده و دست به اقدامات کنترل نشده و خطرآفرین بزنند یا خطرات جانبی تهدیدشان کند!
سایه شوم تهدیدهایی که هنوز معلوم نیست از سر آنهایی که از این باتها استفاده کرده اند، دور شده باشد، چراکه ممکن است بخشهایی از اطلاعات ذخیره شده (که شامل فیلم و عکس هم هست)، در سرورها و حتی فضاهای ذخیره شخصی و غیر آنلاین ذخیره نشده باشد و سودجویان قصدی برای استفاده از آنها یا انتشار و افشایشان نداشته باشند.
اگر از بات چت ناشناس استفاده کردهاید، بخوانید!
اما اگر از این باتها استفاده کردهاید، چه باید بکنید؟ این سوالی است که پاسخ به آن کمی دشوار است، چراکه مشخص نیست آیا همه اطلاعات از بین رفته یا بخشی از آن در جای دیگری ذخیره شده است؟ دیتاهایی که به تاکید هکرها شامل حجم زیادی دیتاهای دارک (سیاه) است.
این در حالی است که هکرهای افشاکننده این ماجرا تاکید دارند اطلاعات سرورهای شناسایی شده را پاک کرده و ربات را به گونهای بازنویسی کرده اند که در صورت استفاده از آن و ارسال پیام به واسطه آن، به مخاطب اطلاع میدهد که اطلاعاتش امن نمانده و در اختیار فرد یا افرادی قرار دارد!
با علم به اینکه ممکن است بخشی از اطلاعات از جمله اطلاعات کاربران در جایی ذخیره شده باشد، راه جلوگیری از سواستفادههای بعدی این است که استفاده کنندگان از باتهای چت ناشناس آی دی تلگرام شان را پاک کرده و ترجیحا تلگرام را پاک کرده (آن اینستال کرده) و دوباره نصب نمایند.
پای یک برنامه نویس مشهور در میان است!
از جمله نکات بسیار تلخ و شوک آور دیگر این ماجرا، حضور یک دولوپر (توسعه دهنده) مشهور و شناخته شده ایرانی در پشت پرده ماجراست. برنامه نویسی که بر اساس گفتههای هکرها و ادعایشان، ظاهرا در یکی از شرکتهای بزرگ ایرانی مشغول به کار است، اما هویتش افشا نشده و تنها به وی تذکر و هشدار داده اند که کارش را جمع کند و در ازای آن، هویتش افشا نشود!
پایانی که انتظار میرود متفاوتتر رقم بخورد و با ورود پلیس فتا و دستگاه قضایی و حتی نهادهای امنیتی، شناسایی این فرد و هم دستان احتمالی اش در دستور کار قرار بگیرد و اطلاعاتی که از میلیونها کاربر جمع آوری کرده، نابود گردد. انتظاری که سوای آن، امید میرود کاربران بیاموزند که در دنیای مجازی و اینترنت، هرچقدر هم که روی ناشناس ماندن و حذف دیتا تاکید شود، باز باید مراقب بود و یا از امثال بات چت ناشناس استفاده نکرد و یا آگاه بود که دیتاها و اطلاعاتی که ارسال میکنید و با دیگران به اشتراک میگذارید، در دسترس دیگران هم قرار دارد!
