واکنش رسمی تلگرام به ادعای هک ۱۵ میلیون کاربر ایرانی

روند ایجاد حساب کاربری در سرویس های پیام رسان از جمله تلگرام :

0- درخواست عضویت بواسطه یک شماره تلفن همراه در یک اپراتور تلفن همراه (از طریق نرم‌افزار مربوطه) .
1- فرستادن یک کد (چند کاراکتری) توسط کارگزار پیام رسان به درخواست کننده از طریق پیامک .
2-1 - وارد کردن کد دریافتی در نرم‌افزار پیام رسان و آغاز عضویت. این کد برای مدت زمان مشخصی معتبر است مثلاً تا 5 دقیقه , پس از آن دیگر اعتبار ندارد.
2-2 - تا این مرحله برای کاربرانی که از یک شماره تلفن همراه برای اولین بار عضو می‌شوند , سپس داریم :
2-3 - اگر کاربر مایل باشد می‌تواند سرویس تأیید دو مرحله‌ای را فعال کند. بدین شکل که گذرواژه ای تعیین شده تا پس از آن هرگاه به هر شیوه ای (سخت افزاری=گوشی همراه - تبلت - رایانه , نرم افزاری= نسخه مبتنی بر موبایل - دسکتاپ - وب ) خواست تا از پیام رسان استفاده کند علاوه بر کد پیامکی ارسالی از سوی کارگزار پیام رسان باید گذرواژه مذکور را نیز وارد کند. البته یک آدرس ایمیل هم می‌تواند به عنوان پشتیبان برای بازیابی گذرواژه هنگام فراموشی از سوی کاربر تعیین شود .

نکته 1 : منظور از هک تلگرام چیست؟ کارگزارهای تلگرام یا حساب کاربران تلگرام ؟
نکته 2 : رد و بدل داده‌ها در این پیام رسان (و البته در پیام رسان های دیگر) رمزنگاری می شود. بحث بر سر اعتبار شیوه و الگوریتم رمزنگاری مورد استفاده , سخن جداگانه ایست.

حال فرض کنیم کسی بخواهد حساب تلگرام شخصی را سرقت کند! با توجه به مراحل یادشده در بالا ; فرد سارق باید کد فعالسازی پیامکی ارسالی به شماره تلفن مورد نظر را بدست آورد. اگر هم سرویس تأیید دو مرحله‌ای فعال شده باشد داشتن این مورد هم الزامی ست.
نکته 3 : از دستیابی فیزیکی به دستگاهی که حساب روی آن فعال بوده یا روش‌های مهندسی اجتماعی برای سرقت حساب چشم‌پوشی شده است.

با مفروضات بالا , سارق چگونه و از چه راهی می‌تواند کد فعالسازی را بدست آورد؟
پاسخ روشن است : باید در سیستم مخابراتی اپراتور تلفن همراه مورد نظر نفوذ کند! در‌ واقع توانایی شنود پیامک های آن اپراتور را داشته باشد.
پرسش : آیا امکان نفوذ و جاسوسی در سیستم‌های مخابراتی بصورت تئوری یا عملی وجود دارد؟
پاسخ : بله , اما نه توسط هر فرد و هر گروهی! بعنوان نمونه پیمانکاران و نیروهای نظارتی قانونی مرتبط با این سیستم‌های مخابراتی , اولین گزینه های مظنون برای انجام چنین کاری به شمار می روند. همچنین سوء‌ استفاده از باگ های شناخته و معرفی شده‌ای چون آسیب‌پذیری SS7 در تجهیزات زیرساخت ارتباطی تلفن محتمل است.
نکته 4 : با فرض بدست آوردن کد فعالسازی پیامکی توسط سارق , اگر در حساب کاربر سرویس تأیید دو مرحله‌ای فعال شده باشد پس جناب سارق بایستی این گذرواژه را هم بدست آورد!
این گذر واژه نه در دستگاه کاربر ذخیره و نه بصورت پیامکی رد و بدل می‌شود , بلکه روی کارگزارهای پیام رسان بصورت رمزنگاری شده نگهداری می شوند. حال سارق باید کارگزار را هک نموده و پس از استخراج اطلاعات هر حساب اقدام به رمزگشایی (شکستن الگوریتم رمزنگاری) گذرواژه آن کند. یا اینکه در قالب شرکت های سرویس دهنده اینترنت , ارتباطات رمزشده را شنود کرده و سپس اقدام به رمزگشایی کند.
نکته 5 : تا بحال هیچ گزارش و ادعای معتبری مبنی بر شکستن الگوریتم رمزنگاری داده‌های تلگرام (و سرویس های پیام رسان دیگر) ارائه نشده است.
نکته 6 : روشی ابتدایی بنام Brute Force در حدس زدن گذرواژه ها وجود دارد که گمان نمی‌رود برای شمار بسیاری حساب کاربری (در حد چند میلیون) کارساز باشد. ضمن اینکه یک اقدام تدافعی ابتدایی از سوی طراحان پیام رسان در برابر چنین حملاتی مسدود و یا محدود کردن حسابی ست که با این روش به آن حمله شده است می باشد.

نکته آخر : اخبار مربوط به این ادعا بصورت گنگ و مبهمی منتشر شده و بنظرم فعلاً فقط می‌توان صرفاً آن را فقط و فقط یک ادعا دانست! چون به روشنی معلوم نشده آیا 15 میلیون حساب هک شده یا فقط توانستند بفهمند که چه شماره تلفن‌هایی از ایران در تلگرام عضویت دارند (این مورد چندان اهمیتی ندارد و هر کسی میتواند این کار را انجام دهد) و اینکه در خبر رویتر از 12 حساب یاد شده که قابل درک نیست!؟ نام بردن از گروه هکری ایرانی بنام Rocket Kitten که در کد (یا در برنامه خودشان) از زبان فارسی استفاده کردند ; من متوجه نشدم کدام کد یا برنامه؟
در این میان سایت‌های خبری هم اضافات من درآوردی و نامربوط و القایی را به اصل خبر افروده اند. به هر حال منتظر انتشار گزارش کامل و معتبر در روزهای آینده طبق گفته مدعیان خواهیم ماند.

لینک خبر مربوط به ادعای هک 15 میلیون حساب ایرانیان در تلگرامhttp://www.reuters.com/article/us-iran-cyber-telegram-exclusive-idUSKCN10D1AM

لینک پاسخ تیم تلگرام در رابطه با خبر بالا
https://telegram.org/blog/15million-reuters