- آسیبپذیری موجود در ویژگی افزودن مخاطبان(Contact Import) اپلیکیشن تلگرام برای انتشار اطلاعات شخصی میلیونهای کاربر تلگرام در دارکوب مورد استفاده قرار گرفته است. اطلاعات منتشر شده کاربران ایرانی و روسی شرکت تلگرام را شامل میگردد.
انتشار اطلاعات کاربران ایرانی شرکت تلگرام در دارکوب
آسیبپذیری اپلیکیشن پیامرسانی تلگرام که بر اساس حفظ حریم شخصی کاربران ساخته شده است، انتشار اطلاعات کاربران تلگرام را در دارکوب موجب شده است.
نشریهی روسی کُد در روز سهشنبه گزارش کرد که اطلاعات موجود در یکی از پایگاههای دادهی شرکت تلگرام که اطلاعات شخصی میلیونها کاربر تلگرام را شامل میگردد، در فروم دارکوب منتشر شده است.
بر اساس این گزارش، پایگاه دادهی شرکت تلگرام شمارههای تلفن و شناسهی کاربران شرکت تلگرام را شامل میگردد. در حالی که فایل پایگاه داده 900 مگابایت حجم دارد، هنوز مشخص نیست که اطلاعات منتشر شده دقیقا چه تعداد از کاربران شرکت تلگرام را شامل میگردد.
تقریبا 40 درصد از مجموع اطلاعات کاربران شرکت تلگرام سرقت شده است
شرکت تلگرام نشت اطلاعات کاربران را تایید کرده است. این شرکت گزارش کرده است که اطلاعات منتشر شده از طریق آسیبپذیری موجود در ویژگی وارد کردن اطلاعات مخاطبین(Contact Import) جمعآوری شده است.
شرکت تلگرام اعلام کرد که اطلاعات منتشر شده از این پایگاه داده عمدتا منسوخ هستند. بر اساس این گزارش، 84 درصد از کل اطلاعات موجود در این پایگاه داده پیش از اواسط سال 2019 جمعآوری شده است. در نتیجه حداقل 60 درصد از اطلاعات منتشر شده، «منسوخ» محسوب میشود.
تمامی برنامههای مبتنی بر تلفنهمراه در برابر این نوع از حملات آسیبپذیر هستند
سخنگوی شرکت تلگرام اعلام کرد که آسیبپذیری گزارش شده یک مشکل مهم برای تمامی پیامرسانهای مبتنی بر فهرست مخاطبین محسوب میشود که بزرگترین رقیب این شرکت یعنی واتساپ(WhatsApp) را نیز شامل میگردد. وی اظهار داشت:
تلگرام همانند دیگر پیامرسانهای مبتنی بر تلفنهمراه همانند پیامرسان فیسبوک، واتساپ، وایبر(Viber) و … امکان مشاهدهی کسانی که از این برنامه استفاده میکنند و در فهرست مخاطبان شما قرار دارند را فراهم میکند. متاسفانه تمامی برنامههای مبتنی بر فهرست مخاطبین با مشکل مهاجمانی که تلاش میکنند با ایجاد پایگاه دادهی گسترده از شمارههای تلفن آنها را با شناسهی کاربران انطباق دهند، مواجه هستند. سخنگوی شرکت تلگرام
اطلاعات حساس در دسترس مهاجمان قرار نگرفته است
نمایندهی شرکت تلگرام اعلام کرد که اطلاعات منتشر شده تنها ارتباط میان شمارههای تلفن و نام کاربری افراد را شامل میشود و هیچ یک از حسابهای کاربری در دسترس مهاجمان قرار نگرفته است:
پیامها، کلمههای عبور و دادههای حساس کاربران منتشر نشده است. سخنگوی شرکت تلگرام
در گذشته نیز اطلاعات کاربران شرکت تلگرام تحت حملات مهاجمان قرار گرفته است. فعالان هنگکنگی در سال 2019 آسیبپذیری را در اپلیکیشن شرکت تلگرام گزارش کردهاند که سازمانهای مجری قانون چینی به کمک آن معترضین را ردیابی میکردهاند.
شرکت تلگرام در تاریخ سپتامبر 2019 و در واکنش به این گزارشها امکانات حفظ حریم خصوصی کاربران را گسترش داد. این شرکت ویژگی را معرفی کرد که امکان پنهان ساختن شمارهی تلفن را برای کاربران فراهم میکند.
همچنین بر اساس گزارش کوینیت، کارشناسان امنیتی با اشاره به آسیبپذیریهای بالقوه امنیت سرویس پاسپورت این شرکت(Telegram Passport) را مورد پرسش قرار داده بودند.
نظر شما نسبت به انتشار اطلاعات میلیونها کاربر شرکت تلگرام در دارکوب چیست؟ با توجه به اینکه اطلاعات منتشر شده غالباً کاربران ایرانی را شامل میگردد آیا مهاجم این دسته از کاربران شرکت تلگرام را هدف قرا داده است؟ آیا شرکتهای پیامرسانی برای حفظ اطلاعات کاربران در موضع ضعف قرار دارند.؟ نظر خود را به صورت کامنت با ما درمیان بگذارید.
