close button
آیا می‌خواهید به نسخه سبک ایران‌وایر بروید؟
به نظر می‌رسد برای بارگذاری محتوای این صفحه مشکل دارید. برای رفع آن به نسخه سبک ایران‌وایر بروید.
بلاگ

فروش اطلاعات میلیون‌ها کاربر کلاب‌هاوس در بازار سیاه

۷ مرداد ۱۴۰۰
امنیت دیجیتال با احمد باطبی
خواندن در ۶ دقیقه
اطلاعات دست‌کم ۳ میلیارد و ۸۰۰ میلیون کاربر شبکه اجتماعی «کلاب‌هاوس» (Clubhouse)  توسط هکرها به سرقت رفته است.
اطلاعات دست‌کم ۳ میلیارد و ۸۰۰ میلیون کاربر شبکه اجتماعی «کلاب‌هاوس» (Clubhouse) توسط هکرها به سرقت رفته است.
اطلاعات کاربران در «وب تاریک» (Dark Web) به فروش گذاشته شده است.
اطلاعات کاربران در «وب تاریک» (Dark Web) به فروش گذاشته شده است.

دست‌کم سه میلیارد و ۸۰۰ میلیون شماره تلفن کاربران شبکه اجتماعی «کلاب‌هاوس» (Clubhouse) و آشنایان آن‌ها، که شاید هیچ وقت از این شبکه استفاده نکرده باشند، توسط هکرها به سرقت رفته و در «وب تاریک» (Dark Web) به فروش گذاشته شده‌اند.

سارقان برای اثبات صحت ادعای خود مبنی بر سرقت این اطلاعات و معتبر بودن آن‌ها، شماره تلفن بیش از ۸۰ میلیون کاربر کلاب‌هاوس را به صورت مجانی در دسترس عموم قرارداده‌اند. هکرها گفته‌اند بسته کامل این اطلاعات، شامل شماره تلفن ثابت، تلفن همراه و شماره تلفن‌های شرکت‌ها و افراد خصوصی را در ماه سپتامبر سال جاری در یک مزایده اینترنتی در وب تاریک به فروش خواهند رساند.

شبکه اجتماعی کلاب‌هاوس به عنوان یک برنامه ارایه دهنده اتاق‌های گفت‌وگوی صوتی، هنگام ثبت‌نام کاربران، اجازه دسترسی به دفترچه تلفن آن‌ها را نیز درخواست می‌کند. دلیل این‌که از تنها ۱۰ میلیون کاربر این شبکه اجتماعی، میلیاردها شماره تلفن سرقت شده، همین دسترسی به شماره‌های دفترچه تلفن کاربران است.

پیش‌تر، «مرکز نوآوری در حاکمیت بین‌الملل»  ((The Centre for International Governance Innovation (CIGI)  که از جمله اتاق فکرهای مستقل فعال در عرصه فناوری است، در یک مقاله تحقیقی به ضعف‌های امنیتی کلاب‌هاوس به عنوان یک شبکه اجتماعی پرداخته بود.

نسخه آزمایشی کلاب‌هاوس ابتدا در ماه مارچ سال گذشته میلادی برای استفاده در سیستم‌عامل‌های «IOS» منتشر شد. اما فراگیر شدن ویروس کرونا و خانه‌نشین شدن ساکنان زمین، فرصتی طلایی برای این شبکه اجتماعی فراهم کرد که خلاقانه، ترکیبی از پادکست و ویژگی‌های برنامه‌های رادیویی را در چارچوب یک برنامه جدید به علاقه‌مندان ارایه کند. دیری نپایید که بسیاری از چهره‌های سرشناس امروز، مانند «ایلان ماسک» (Elon Musk) بنیان‌گذار شرکت «تسلا» (Tesla) و «اسپیس ایکس» (SpaceX) به جمع کاربران کلاب‌هاس پیوستند؛ تاجایی که امروز تعداد کاربران فعال این شبکه اجتماعی بیش از ۱۰ میلیون تن تخمین زده شده و ارزش شرکت «آلفا اکسپلوریشن»، متعلق به «آندرسن هوروویتز» (Andreessen Horowitz) که مالک کلاب‌هاوس است نیز به بیش از چهار میلیارد دلار رسیده است.

اما از همان ابتدا، کارشناسان امنیتی نسبت به آن‌چه که بی‌توجهی گردانندگان کلاب‌هاوس به حریم خصوصی کاربر و هم‌چنین امنیت این نرم‌افزار خوانده می‌شد، هشدار می‌دانند. بسیاری از این انتقادها و هشدارها، پیش پا افتاده‌ترین موضوعات محسوب می‌شدند و رفع آن ها بسیار ساده بود؛ به عنوان نمونه، در ابتدای فعالیت علنی کلاب‌هاوس، این شبکه اجتماعی فاقد سیاست‌های مربوط به حریم خصوصی کاربران بود که داشتن آن توسط گردانندگان شبکه‌های اجتماعی، دست‌کم در قالب یک صفحه وب‌سایت در بسیاری از کشورها، از جمله کشورهای اروپایی لازم و اجتناب‌ناپذیر است.
براساس سندی که «ویتنی مریل» (Whitney Merrill)، حقوق‌دان، فعال حوزه حریم خصوصی و بنیان‌گذار مرکز آموزشی (Crypto & Privacy Village) در توییتر منتشر کرده است، تا ماه فوریه سال جاری میلادی نیز کلاب‌هاوس کماکان فاقد صحفه‌ای به نام سیاست‌های مربوط به حریم خصوصی بود.

کلاب‌هاوس از همان ابتدا، بی محابا و بدون توجه به عواقب امنیتی و حتی آسیب‌های اقتصادی، استفاده از شیوه موسوم به الگوهای تاریک (dark patterns) را در دستور کار خود قرار داده بود و از این طریق از کاربران خود می‌خواست قبل از دریافت خدمات از کلاب‌هاوس و ارسال دعوت‌نامه به کاربری دیگر، به نرم‌افزار اجازه دهند که به شماره‌های موجود در دفترچه تلفن گوشی آن‌ها دسترسی پیدا کند.

این شبکه اجتماعی از همان آغاز، فاقد سازوکاری بود که در صورت بروز مشکل امنیتی و یا استفاده هکرها از دسترسی کلاب‌هاوس به دفترچه تلفن همراه، موضوع را به  کاربر اطلاع داده و یا حتی پیام هشدار آمیز ارسال کند. از این رو، سرقت هویت یک کاربر کلاب‌هاوس به هر شکلی از انواع، برابر بود با سرقت بسته‌ای از شماره تلفن‌های افرادی که هیچ‌گاه برنامه کلاب‌هاوس را بر روی گوشی خود نصب نکرده بودند اما تلفن و مشخصات آن‌ها در دفترچه تلفن گوشی کاربر هک شده وجود داشت.   

فاجعه بزرگ‌تر این بود که پرونده‌های صوتی و متنی که کلاب‌هاوس از کاربران خود ایجاد و ذخیره می‌کرد، فاقد هرگونه الگوی رمزنگاری بود و به سادگی امکان شنود و یا خواندن محتوی آن برای هرکس که به سرور‌های کلاب‌هاوس دسترسی داشت، امکان‌پذیر بود.  وب‌سایت «Engadget Masthead» بازتاب‌دهنده اخبار تکنولوژی و فناوری، در مقاله‌ای بلند به نحوه عملکرد کلاب‌هاوس در سرویس‌دهی به کاربران و هم‌چنین نقاط ضعف و قوت آن، از جمله عدم وجود سازوکار رمزنگاری پرداخته است.

کلاب‌هاوس بعد از حدود یک سال فعالیت، در واکنش به اوج گرفتن انتقاد‌ها به این ضعف‌ها و بی توجهی‌ها، تغییراتی را در شیوه عملکرد خود ایجاد کرد که به گفته کارشناسان امنیتی، هیچ‌کدام از آن‌ها در نهایت آن چیزی نبود که پاسخ مناسبی باشد برای مشکلات و نگرانی‌های موجود درباره حریم خصوصی و یا امنیت اطلاعات. به عنوان مثال، با وجود این که کلاب‌هاوس از سراسر جهان کاربر دارد و درخواست عضویت می‌پذیرد، برخلاف شبکه‌های مشابه، محتوای مربوط به حریم خصوصی خود را تنها به زبان انگلیسی ارایه می‌کرد؛ آن هم بدون این که مشخص کند آیا اطلاعات کاربران متقاضی را بدون رضایت آن‌ها از تلفن همراه‌شان استخراج می‌کند یا خیر و یا این که این شبکه اجتماعی در نقاط دیگر دنیا، از جمله کشورهای اروپایی که قوانین متفاوتی با ایالات متحده در حوزه حریم خصوصی دارند، چه‌گونه عمل خواهد کرد.

واقعیت این است که اطلاعات لو رفته کاربران پیش از آن که از سوی هکرها به سرقت رفته باشد، از سوی خود کلاب‌هاوس در معرض لو رفتن بوده است. در ماه‌های ابتدایی سال جاری میلادی، «رصدخانه اینترنتی استفورد» (The Stanford Internet Observatory)، از جمله مراکز تحقیقاتی فعال در حوزه امنیت سایبری و حریم خصوصی فاش کرد که کلاب‌هاوس صداها و متون تولید شده توسط کاربران خود را بر روی یک سرور در کشور چین ذخیره می‌کند. این ذخیره سازی به شکلی بود که دولت چین قادر بود به تمامی آن‌ها دسترسی داشته و آن‌ها را بشنود و یا بخواند. در حالی که استفاده از کلاب‌هاوس در چین، به دلیل طرح انتقاد‌هایی در این شبکه اجتماعی از نحوه رفتار دولت این کشور با ایغورهای چین شده بود، ممنوع اعلام شده است.

اولین بار خبر نشت اطلاعات کاربران کلاب‌هاوس حدود دو چهار ماه پیش منتشر شد. در این خبر گفته شده بود که اطلاعات حدود یک میلیون و ۳۰۰ تن، شامل نام، نام کاربری، حساب توییتر و اینستاگرام و غیره در یکی از انجمن‌های هکری در دسترس عموم قرار گرفته است.  در خصوص چگونگی لو رفتن این اطلاعات گفته شد که ضعف برنامه‌نویسی در پایگاه داده (SQL database) کلاب‌هاوس به هکرها امکان داده است تا از بخش مربوط به ذخیره اطلاعات کاربران دسترسی بگیرند. 

به گفته کارشناسان، کلاب‌هاوس از روش شماره‌گذاری متوالی برای ایجاد پروفایل استفاده کرده است. این روش یکی از شیوه‌های نامطمئن و قدیمی خلق صفحات پروفایل است که به مهاجم امکان می‌دهد با استفاده از اسکریپت‌های کاشف و یا ابزارهایی مانند «اسکراپر» (scraper) به صورت متوالی اطلاعات مربوط به صفحات را حدس زده و یکی پس از دیگری به آن‌ها دسترسی پیدا کنند.

کلاب‌هاوس این شیوه از کاوش و استخراج اطلاعات را هک ندانسته و گفته بود هر کسی که «API» کلاب‌هاوس را داشته باشد،  می تواند به اطلاعات آن دسترسی پیدا کند و این از نظر فنی، هک محسوی نمی‌شود. درحالی که چنین ظرفیتی به هکرها اجازه می‌دهد حجم عظیمی از داده‌ها را از سرورهای کلاب‌هاوس استخراج و به کامپیوترهای شخصی خود منتقل کنند؛ عملی که در اصطلاح فنی، به آن «اسکرَپینگ» (scraping) گفته شده و برای یک شبکه اجتماعی مانند کلاب‌هاوس نه تنها غیرمعمول بلکه خطرناک محسوب می‌شود.

فروش اطلاعات دست‌کم سه میلیارد و ۸۰۰ میلیون کاربر کلاب‌هاوس در بازار سیاه، بزرگ‌ترین نشت اطلاعات تاریخ سایبری این دست محسوب می‌شود. این اطلاعات می‌توانند به عنوان یک بانک اطلاعات برای هکرها استفاده شوند ویا توسط نهاد‌های اطلاعاتی کشورهای مختلف خریداری شده و برای شناسایی افراد و حتی حملات سایبری مورد استفاده قرار گیرند. در ساده‌ترین شکل نیز اطلاعات کاربران می‌تواند توسط شرکت‌های تجاری خریداری شده و آن‌ها را درگیر تبلیغات ناخواسته‌ای کند که به صورت اسپم، انرژی و زمان کاربران را صرف فعالیت‌های بی حاصل کند

ثبت نظر

خبرنگاری جرم نیست

تلاش ناموفق جمهوری اسلامی برای ربودن سه خبرنگار صدای امریکا

۷ مرداد ۱۴۰۰
خواندن در ۲ دقیقه
تلاش ناموفق جمهوری اسلامی برای ربودن سه خبرنگار صدای امریکا