هک‌شدن سه ربات ناشناس تلگرامی به‌دست افرادی از تیم آکادمی ووریکس اطلاعات تکان‌دهنده‌ و نگران‌کننده‌ای درباره‌ی به‌خطرافتادن امنیت و حریم خصوصی کاربرانی را افشا کرد که از این ربات‌های ناشناس برای چت، ارسال عکس و ویدئو و... استفاده می‌کردند.

این هک نشان داد که سه بات تلگرامی یادشده اطلاعات بیش از ۱۴ میلیون کاربر را ذخیره کرده‌اند. این اطلاعات ۴۶۹ میلیون متن و حدود ۱۱ میلیون عکس و ۳ میلیون ویدیو را شامل می‌شد که افشای بسیاری از آن‌ها می‌توانست به‌خطر‌افتادن امنیت این کاربران منجر شود.

محمد عربی

فاجعه ترسناک بات‌های ناشناس تلگرام؛ اطلاعات خصوصی ۱۴ میلیون کاربر ذخیره‌ شده است

مطالعه '4

در سال‌های اخیر که استفاده‌ی کاربران از این ربات‌های ناشناس افزایش یافته بود، کارشناسان بارها درباره‌ی استفاده از این بات‌ها هشدار داده و تأکید کرده بودند که هیچ ربات ناشناسی کاملاً ناشناس نیست و ناامنی این بات‌ها می‌تواند عواقب جدی به‌دنبال داشته باشد.

وحید فرید، فعال حوزه‌ی تکنولوژی و امنیت، در گفت‌وگو با زومیت به فرض اشتباه افراد درباره‌ی این ربات‌های اصطلاحاً ناشناس اشاره کرد. وی توضیح می‌دهد: «افراد فرض می‌کنند وقتی با ربات ناشناس کار می‌کنند، این ربات آن‌ها را نمی‌شناسد. این فرض کاملاً اشتباه است و ربات ناشناس اطلاعات پابلیک اکانت کاربر را می‌بیند. اسم این ربات‌ها اساساً غلط‌انداز است. ربات ناشناس، ناشناس نیست. فقط خود کاربر نمی‌بیند که چه اطلاعاتی دارد تبادل می‌شود. درواقع، ربات برای شما ناشناس است؛ اما شما برای ربات ناشناس نیستید.»

آرین اقبال، کارشناس حوزه‌ی فناوری اطلاعات، هم توضیح می‌دهد: «هر مدلی از چت ناشناس با هر شیوه‌ای که پیاده‌سازی شده باشد، ناامن است. امکان ندارد بتوانید ربات چت ناشناس امن داشته باشید؛ چون در سمت کلاینت، تنها راه ایجاد امنیت رمزنگاری انتهابه‌انتها (end-to-end Encryption) است. ازآنجاکه تلگرام برای ربات‌ها چنین امکانی ایجاد نمی‌کند؛ ربات چت ناشناس ذاتاً ناامن است و انگیزه‌ی راه‌اندازی چنین رباتی هم بسیار مشکوک است.»

نکته‌ی دیگر درباره‌ی ربات‌های ناشناس این است که اساساً برای ما ناشناخته‌اند و کسی نمی‌داند چه کسی آن‌ها را راه انداخته است. درواقع، این ربات‌ها موجودیت حقیقی یا حقوقی شناخته‌شده ندارند و کسی که این ربات‌ها را می‌نویسد، به هیچ سازوکاری هم پاسخ‌گو نیست.

این پاسخ‌گو‌نبودن و ناشناخته‌بودن سازندگان این ربات‌ها را آزاد می‌گذارد تا به هر طریقی که دوست دارند، از کاربران و اطلاعاتشان سوءاستفاده کنند. فرید درباره‌ی این موضوع می‌گوید:

این سازنده‌ی ربات است که تصمیم می‌گیرد تا با اطلاعاتی که از کاربر دارد، چه کار کند. وی می‌تواند این اطلاعات را به طرف ثانویه بفروشد. در نمونه‌ی اخیری که سرور ربات‌های ناشناس هک شدند، دیدیم که صاحبان این ربات‌ها اطلاعات را نگه داشته بودند و برایشان کاملاً مشخص بود که هر اکانت تلگرام چه فایلی را برای چه کسی فرستاده است.

- وحید فرید، فعال حوزه‌ی تکنولوژی و امنیت

اقبال نیز به همین آزادی صاحب ربات در استفاده از اطلاعات در‌اختیارش اشاره می‌کند: «ما اصلاً نمی‌دانیم در سمت سرور ربات چه اتفاقی می‌افتد. کدی که آن طرف وجود دارد، مشخص نیست و کسی که کد را نوشته است. چون هویت هر دو طرف چت ناشناس را می‌داند و محتوا، یعنی متن و ویدئو و عکس را به‌صورت شفاف در‌اختیار دارد، هر کاری بخواهد می‌تواند انجام دهد.»

ربات‌های تلگرامی به شناسه‌ی تلگرام کاربر متصل هستند و سازوکارشان به‌گونه‌ای است که وقتی به ربات پیغام می‌دهید، تلگرام اطلاعات اکانت شما را به سروری خارج از سرورهای تلگرام ارسال می‌کند. این یعنی اگر شما در تنظیمات تلگرام خود شماره موبایلتان را برای همه به‌نمایش گذاشته باشید، سرور ربات هم آن را می‌بیند؛ اما اگر اطلاعات خاصی را فقط برای مخاطبانتان و نه به‌صورت عمومی نمایش داده باشید، ربات تلگرامی و سرور ثانویه این اطلاعات را نمی‌بیند.

علاوه‌بر این اطلاعات، متن‌ها و تصاویر ردوبدل‌شده بین فرستنده و گیرنده هم به‌واسطه‌ی سازنده‌ی ربات ذخیره می‌شود که نشان می‌دهد قصد و نیت خاصی از ساختن این ربات‌ها وجود داشته است. وحید فرید در‌این‌باره می‌گوید:

سازنده‌ی این ربات‌ها احتمالاً هدفی داشته‌ که همه‌ی این اطلاعات را نگه داشته‌ است؛ چون این امکان را داشته است که اطلاعات را ذخیره نکند. صاحب این ربات می‌توانست انتقال اطلاعات به اکانت ثانویه (گیرنده) را On the Fly انجام دهد و آن‌ها را نگه ندارد؛ اما این کار را انجام نداده و همه‌ی آن‌ها را ذخیره کرده است.

- وحید فرید، فعال حوزه‌ی تکنولوژی و امنیت

هر ربات در‌صورتی‌که پیام یا فایلی را پس از انتقال از طرف اول به طرف دوم از بین ببرد و ذخیره نکند، می‌تواند امن باشد؛ اما درباره‌ی ربات‌ها مسئله این است راهی برای فهمیدن این موضوع وجود ندارد که اطلاعات ذخیره شده است یا نه.

فرید به امکاناتی اشاره می‌کند که در بعضی از کشورها برای شناسایی میزان امن‌بودن ربات‌ها وجود دارد. وی می‌گوید: «در سایر کشورها شخصی ثالث مثلاً شرکت‌هایی که در این حوزه‌ کار می‌کنند، می‌توانند امنیت سرور ربات را تضمین کنند. به‌عنوان نمونه، شرکت بگوید هر سه ماه یک بار سرور ربات ناشناس را بررسی می‌کنم و می‌دانم که اطلاعات را ذخیره نمی‌کند؛ اما در کشور ما چنین شرکت‌هایی نداریم و کسی نمی‌تواند تضمین کند که ربات امن است.»

آرین اقبال انگیزه‌ی پشت ساخت ربات‌های ناشناس را مشکوک می‌داند و این سؤال را مطرح می‌کند که سازنده‌ی این ربات از اینکه برای سروری که بتواند این حجم از دیتا را پردازش کند و برای فضای ذخیره‌سازی که بتواند این حجم از اطلاعات را ذخیره کند، چه هدف و نیتی داشته است؟» او می‌گوید:

بعید است که صرفاً برای سرگرمی یا فراهم‌کردن بستری برای چت ناشناس دیگران این کار را کرده باشد و قطعاً قصد و نیتی وجود داشته است! حالا یا این قصد و نیت برنامه‌ریزی‌شده و از طرف فرد یا گروهی بوده که می‌خواسته است از مردم اطلاعات داشته باشد یا فقط سرگرمی احمقانه دولوپر بوده است. هدف اصلی را نمی‌دانم؛ اما قطعاً به‌صورت عمدی در حال مانیتور‌کردن اطلاعات مردم بوده است و این کار صرف‌نظر از جرم‌بودنش، بسیار هم خطرناک است.

- آرین اقبال، کارشناس حوزه‌ی فناوری اطلاعات

وحید فرید هم با اشاره به اینکه ذخیره‌کردن چندین ترابایت اطلاعات پول زیادی می‌خواهد، توضیح می‌دهد که حتماً این هزینه از یک جایی تأمین می‌شود و صاحب ربات احتمالاً منفعت خاصی می‌برد که برای چنین فضای ذخیره‌سازی بزرگی هزینه می‌کند: «ممکن است در پسِ داشتن چنین رباتی منفعت اقتصادی باشد یا شاید صاحب ربات به‌دنبال کسب قدرت است؛ یعنی اطلاعاتی را از اشخاص دریافت و نگه‌داری کند تا کسانی را زیر فشار قرار دهد یا آن‌ها را تهدید کند.»

او در‌ادامه نیز توضیح می‌دهد که کل منفعت مالی این ربات‌ها یکی این است که از کاربر پول می‌گیرد تا اطلاعاتی بیشتر از آنچه به همه نشان می‌دهد، به او نشان دهد؛ مثلاً پول بیشتر می‌گیرد که به کاربر بگوید پیام از چه اکانتی ارسال شده است.

اقبال هم به موضوع اطلاعات مربوط به کودکان اشاره می‌کند و به زومیت می‌گوید: «در این ربات‌ها بحث چت‌کردن افراد زیر سن قانونی باهم یا این افراد با افراد بزرگ‌تر از خود مطرح شده است. به‌علاوه، افراد در این فضاهای ناشناس تهدید هم می‌شوند. کسی که این ربات را نوشته است، با داشتن محتوای خصوصی کاربران ابزار فشار بسیار قدرتمندی در‌اختیار دارد. اطلاعات خصوصی‌ای در دست آن‌هاست که خود کاربران هم حاضر نیستند آن‌ها را به‌صورت عمومی منتشر کنند. بنابراین، کسی که این اطلاعات را در‌اختیار دارد، می‌تواند از آن برای باج‌گیری و سوءاستفاده از افراد استفاده کند.»

این کارشناس حوزه‌ی فناوری اطلاعات در پایان به نکته‌ای مهم و درخورتأمل نیز اشاره می‌کند:

وقتی یک نفر به همین راحتی این ربات را هک کرده است، قطعاً گروه هکری کلاه‌سیاه یا سازمان اطلاعاتی خیلی راحت‌تر می‌توانستند این کار را انجام دهد. با‌توجه‌به ناامن‌بودن این ربات‌ها و دیتای مهمی که در آن وجود دارد، به‌احتمال زیاد این ربات قبل از این هم هک و از اطلاعاتش سوءاستفاده شده است. برای مثال، ممکن است اطلاعات، چت‌ها، عکس‌ها و ویدئوها دراختیار گروه‌های هکری یا نهادهای خاصی قرار گرفته باشد.

- آرین اقبال، کارشناس حوزه‌ی فناوری اطلاعات

این موضوعی است که خود هکرهای آکادمی ووریکس هم به آن اشاره کرده بودند. امیرمحمد صفری که هک این ربات‌ها را انجام داده، در صفحه توییترش نوشته است: «وقتی به ربات‌ها دسترسی پیدا کردم و حجم اطلاعات را دیدم، تا ساعت‌ها گیج بودم و نمی‌دانستم باید خوشحال باشم که قرار است دیتا‌ها را پاک کنم یا ناراحت باشم که چه کسایی تا الان از این اطلاعات سوء‌استفاده کردند؟»

اینکه تا امروز اطلاعات میلیون‌ها کاربر چطور رصد شده و چند نمونه از آن‌ها افشا شده و چه آسیب‌هایی به امنیت افراد وارد شده، نکات مهمی است که در‌نتیجه‌ی هک ربات‌های ناشناس مطرح شده است. ربات‌هایی که فقط به اسم ناشناس هستند، می‌توانند به‌راحتی هر‌یک از کاربران را شناسایی کنند و در‌معرض تهدید و سوءاستفاده قرار دهند. ربات‌‌هایی که تابه‌امروز بسیاری از کاربران ایرانی از آن‌‌ها استفاده کرده‌اند، حالا چهره‌ عریانشان پیش روی ما قرار گرفته و این عریانی به ما ثابت کرده است که ربات‌های ناشناس محبوب به‌هیچ‌وجه ابزار مطمئن و سالمی نیستند.