دوشنبه 02 مهر 1403 - 08:02
فاجعه ترسناک باتهای ناشناس تلگرام؛ اطلاعات خصوصی ۱۴ میلیون کاربر ذخیره شده است
زومیت/ گزارشی جدید نشان میدهد که اطلاعات ردوبدلشده در سه ربات ناشناس تلگرام، روی سرورهای رباتها ذخیره شدهاند و در معرض خطر قرار دارند.
محققان و پژوهشگران امنیت سایبری از مدتها پیش در مورد امن نبودن رباتهای پیام ناشناس تلگرام هشدار داده بودند و از کاربران میخواستند از این رباتها حداقل برای ارسال اطلاعات مهم استفاده نکنند؛ اما شواهد نشان میدهد که متأسفانه کاربران زیادی توصیهی آنها را نادیده گرفتهاند و حالا اطلاعات ارسالی بیش از ۱۴ میلیون کاربر سه ربات معروف تلگرام شامل ۴۶۹ میلیون متن، ۱۱ میلیون عکس و تقریباً ۳ میلیون ویدیو در سرورهای سه ربات مذکور ذخیره شده است.
تصویری از نوع دیتاهای ذخیرهشده که امیرمحمد سفری در اکانت ایکس به اشتراک گذاشته است
بیایید در ابتدا نگاهی به ساختار رباتهای ناشناس داشته باشیم
ربات ناشناس درواقع واسطهای بین فرستنده و دریافتکنندهی پیام ناشناس محسوب میشود. گفتوگوی ناشناس به این صورت است که کاربر دریافتکنندهی پیام متوجه نخواهد شد که ارسالکنندهی پیام کیست؛ اما این گفتوگو کاملاً هم ناشناس نیست؛ زیرا سرور ربات به اطلاعات چتها دسترسی دارد و بهراحتی میتواند آنها را ذخیره کند.
نگاهی به آسیبپذیری
به نظر میرسد IP سرور از روی درگاه پرداخت لو رفته است و یک تیم (آکادمی ووریکس) که به این اطلاعات دسترسی پیدا کردهاند، با اسکن فایلهای روی سرور، آسیبپذیری را پیدا کردهاند و در نهایت موفق به گرفتن RCE روی سرور اول شدهاند؛ سپس بعد از آنالیز فایلهای php دانلودشده از سرور اول، به دو سرور دیگر نفوذ کردهاند.
نکتهی جالب اینجا است که آکادمی ووریکس در نهایت تمام دیتای ذخیرهشده شامل عکس، ویدیو و پیامها را ار روی سرورها بهصورت کامل حذف کردهاند، اما مشخص نیست که مدیران باتها از این اطلاعات بکاپ داشتهاند یا نه!
نگاهی به مقوله باتهای ناشناس تلگرام
تصور ناشناس بودن در باتهای ناشناس تلگرام صرفاً به این موضوع برمیگردد که دریافتکنندهی پیام متوجه هویت ارسالکنندهی پیام نخواهد شد، اما در این میان، سرور ربات که در اختیار سازنده ربات است، اطلاعات ارسالی هر دو طرف پیام را دارد، یعنی هم فرستنده و هم گیرنده.
شاید سازندهی ربات ادعا کند که اطلاعات خیره نمیشوند، اما واقعیت این است که راهی برای اثبات ادعایش وجود ندارد، حتی اگر ربات ناشناسی سورس کدش را در دسترس عموم قرار دهد، باز هم نمیدانیم که آیا آن سورس کد روی سرور اجرا میشود یا خیر.
حتی اگر سورس کد همان سورس کدی باشد که بهصورت عمومی در دسترس کاربران قرار گرفته است، باز هم وبسرور ربات میتواند کل درخواستها از سمت تلگرام را در جای دیگر لاگ کند که شامل پیامهای ارسالشده میشود.
نکتهی مهم دیگر این است که حتی اگر ربات ناشناس اطلاعات را نه در دیتابیس و نه در وبسرور لاگ نکند، کاربر صاحب ربات (دارندهی توکن) این امکان را دارد که با تابع copyMessages تلگرام، تمامی پیامها را از ابتدا تا انتها برای خودش یا شخص دیگری ارسال کند.
از رباتهای ناشناس تلگرام استفاده کنیم یا نه؟
همیشه در هنگام تعامل با با رباتهای ناشناس فرض را بر این بگیرید که صاحب و سازندهی آن ربات به پیامهای ردوبدلشدهی بین شما و ربات دسترسی دارد. اگر رباتی را به گروهی اضافه میکنید، آن ربات بسته به ماهیتی که دارد، شاید به کل پیامهای گروه دسترسی داشته باشد و شاید هم نه؛ اما در گفتوگوهای خصوصی در رباتهای ناشناس سازندهی ربات همواره به محتوای ارسالی شما دسترسی دارد.
نمونه رباتی که دسترسی پیام گروه را ندارد
نمونه رباتی که دسترسی پیام گروه را دارد
حالا چهکار کنیم؟!
تنها راهی که رباتهای ناشناس نتوانند اطلاعات ذخیرهشده را به اکانت شما ربط دهند، این است که اکانت تلگرام خود را حذف کنید و سپس مجدداً حساب کاربری بسازید و از نام کاربری جدیدی استفاده کنید. تغییر نام کاربری بهتنهایی فایدهای ندارد؛ چراکه تلگرام از User ID برای ثبت شدن اطلاعات استفاده میکند.
در نهایت، به نظر میرسد عاقلانهترین کار، توجه به توصیهی پژوهشگران و کارشناسان امنیت اینترنت است؛ حتی اگر ربات تأکید داشته باشد که اطلاعات را ذخیره نمیکند.
پربیننده ترین
-
عکس مسی درآمد؛ آخرین توپ طلا با آرایشگر ویژه!
-
10 جایزه 5 میلیون تومانی برای کاربران آخرین خبر (مهلت شرکت در مسابقه تا 9 آذر تمدید شد.)
-
10 جایزه 5 میلیون تومانی برای کاربران آخرین خبر (مهلت شرکت در مسابقه تا 9 آذر تمدید شد.)
-
آخرین وضعیت راهها در چهارمین روز از سال جدید؛ محور چالوس از شنبه دوباره بسته میشود
-
زنده؛ بیرانوند در یک قدمی استقلال
-
"دنا پلاس اتومات" بخریم یا "تارا اتومات؟"/ مقایسه اختصاصی "آخرینخودرو" از دو خودروی پرطرفدار
-
چالش/ بازیکن داخل تصویر رو حدس بزن (16)
-
5 نشانه ضعیف شدن ریه ها و بهترین روش تقویت آن چیست؟
-
لندکروزر یا ۲۰۶؟ / مقایسه جالب "آخرینخودرو" به بهانه سخنان جنجالی میرسلیم
-
سپ، برترین شرکت در خاورمیانه شد
-
چالش/ بازیکن داخل تصویر رو حدس بزن (28)
-
ویدیو تست و بررسی فیدلیتی پرایم جدید در آخرین خودرو
-
چالش/ بازیکن داخل تصویر رو حدس بزن (14)
-
لحظه به لحظه با جدال پرسپولیس مقابل النصر
-
چالش/ بازیکن داخل تصویر رو حدس بزن (22)
-
یحیی مچ ساپینتو را خواباند / برد ارزشمند پرسپولیس در صدمین شهرآورد
-
چالش/ بازیکن داخل تصویر رو حدس بزن (19)
-
چالش/بازیکن داخل تصویر رو حدس بزن (11)
آخرین اخبار
-
ضربه کاری مرسدس بنز به صنعت آلمان
-
مردم بجنورد از ترس زلزله شب را در بوستانها سپری کردند
-
حادثه رانندگی در شادگان یک کشته و ۳ مصدوم بر جای گذاشت
-
ورود اولین رام تراموا به تهران تا آخر مهرماه
-
پزشکیان در نیویورک: پیام ایران برای جهان، صلح و امنیت است
-
تفال/ بلبلی خون دلی خورد و گلی حاصل کرد
-
پشتیبانی رسمی دولت از تامین مالی بخش خصوصی
-
مهم ترین اخبار ساعت 7 را از آخرین خبر بشنوید.
-
صفحه اول روزنامه امروز دوشنبه ۲ مهر
-
صفحه اول روزنامه اطلاعات دوشنبه ۲ مهر
-
صفحه اول روزنامه شوت دوشنبه ۲ مهر
-
صفحه اول روزنامه دنیای اقتصاد دوشنبه ۲ مهر
-
صفحه اول روزنامه تعادل دوشنبه ۲ مهر
-
صفحه اول روزنامه اقتصاد مردم دوشنبه ۲ مهر
-
صفحه اول روزنامه ابرار اقتصادی دوشنبه ۲ مهر
سایر اخبار مرتبط
نظرات
ثبت نظر
مهمترین اخبار
پشتیبانی رسمی دولت از تامین مالی بخش خصوصی
دوشنبه 02 مهر 1403 - 07:44:11
رشد ۱۶ درصدی تامین بازار داخلی توسط فولاد خوزستان در نیمه نخست ۱۴۰۳
یکشنبه 01 مهر 1403 - 23:30:10
بحران مسکن با زندگی مردم چه کرد؟ روایت تجارت نیوز از کوچ اجباری مستاجران
یکشنبه 01 مهر 1403 - 21:36:34
بورس 1403 از بورس 1402 عقب ماند
یکشنبه 01 مهر 1403 - 22:10:00
بهرهمندی ۱۷ برابری ثروتمندها از یارانه بنزین
یکشنبه 01 مهر 1403 - 21:45:00