دستکم سه میلیارد و ۸۰۰ میلیون شماره تلفن کاربران شبکه اجتماعی «کلابهاوس» (Clubhouse) و آشنایان آنها، که شاید هیچ وقت از این شبکه استفاده نکرده باشند، توسط هکرها به سرقت رفته و در «وب تاریک» (Dark Web) به فروش گذاشته شدهاند.
سارقان برای اثبات صحت ادعای خود مبنی بر سرقت این اطلاعات و معتبر بودن آنها، شماره تلفن بیش از ۸۰ میلیون کاربر کلابهاوس را به صورت مجانی در دسترس عموم قراردادهاند. هکرها گفتهاند بسته کامل این اطلاعات، شامل شماره تلفن ثابت، تلفن همراه و شماره تلفنهای شرکتها و افراد خصوصی را در ماه سپتامبر سال جاری در یک مزایده اینترنتی در وب تاریک به فروش خواهند رساند.
شبکه اجتماعی کلابهاوس به عنوان یک برنامه ارایه دهنده اتاقهای گفتوگوی صوتی، هنگام ثبتنام کاربران، اجازه دسترسی به دفترچه تلفن آنها را نیز درخواست میکند. دلیل اینکه از تنها ۱۰ میلیون کاربر این شبکه اجتماعی، میلیاردها شماره تلفن سرقت شده، همین دسترسی به شمارههای دفترچه تلفن کاربران است.
پیشتر، «مرکز نوآوری در حاکمیت بینالملل» ((The Centre for International Governance Innovation (CIGI) که از جمله اتاق فکرهای مستقل فعال در عرصه فناوری است، در یک مقاله تحقیقی به ضعفهای امنیتی کلابهاوس به عنوان یک شبکه اجتماعی پرداخته بود.
نسخه آزمایشی کلابهاوس ابتدا در ماه مارچ سال گذشته میلادی برای استفاده در سیستمعاملهای «IOS» منتشر شد. اما فراگیر شدن ویروس کرونا و خانهنشین شدن ساکنان زمین، فرصتی طلایی برای این شبکه اجتماعی فراهم کرد که خلاقانه، ترکیبی از پادکست و ویژگیهای برنامههای رادیویی را در چارچوب یک برنامه جدید به علاقهمندان ارایه کند. دیری نپایید که بسیاری از چهرههای سرشناس امروز، مانند «ایلان ماسک» (Elon Musk) بنیانگذار شرکت «تسلا» (Tesla) و «اسپیس ایکس» (SpaceX) به جمع کاربران کلابهاس پیوستند؛ تاجایی که امروز تعداد کاربران فعال این شبکه اجتماعی بیش از ۱۰ میلیون تن تخمین زده شده و ارزش شرکت «آلفا اکسپلوریشن»، متعلق به «آندرسن هوروویتز» (Andreessen Horowitz) که مالک کلابهاوس است نیز به بیش از چهار میلیارد دلار رسیده است.
اما از همان ابتدا، کارشناسان امنیتی نسبت به آنچه که بیتوجهی گردانندگان کلابهاوس به حریم خصوصی کاربر و همچنین امنیت این نرمافزار خوانده میشد، هشدار میدانند. بسیاری از این انتقادها و هشدارها، پیش پا افتادهترین موضوعات محسوب میشدند و رفع آن ها بسیار ساده بود؛ به عنوان نمونه، در ابتدای فعالیت علنی کلابهاوس، این شبکه اجتماعی فاقد سیاستهای مربوط به حریم خصوصی کاربران بود که داشتن آن توسط گردانندگان شبکههای اجتماعی، دستکم در قالب یک صفحه وبسایت در بسیاری از کشورها، از جمله کشورهای اروپایی لازم و اجتنابناپذیر است.
براساس سندی که «ویتنی مریل» (Whitney Merrill)، حقوقدان، فعال حوزه حریم خصوصی و بنیانگذار مرکز آموزشی (Crypto & Privacy Village) در توییتر منتشر کرده است، تا ماه فوریه سال جاری میلادی نیز کلابهاوس کماکان فاقد صحفهای به نام سیاستهای مربوط به حریم خصوصی بود.
کلابهاوس از همان ابتدا، بی محابا و بدون توجه به عواقب امنیتی و حتی آسیبهای اقتصادی، استفاده از شیوه موسوم به الگوهای تاریک (dark patterns) را در دستور کار خود قرار داده بود و از این طریق از کاربران خود میخواست قبل از دریافت خدمات از کلابهاوس و ارسال دعوتنامه به کاربری دیگر، به نرمافزار اجازه دهند که به شمارههای موجود در دفترچه تلفن گوشی آنها دسترسی پیدا کند.
این شبکه اجتماعی از همان آغاز، فاقد سازوکاری بود که در صورت بروز مشکل امنیتی و یا استفاده هکرها از دسترسی کلابهاوس به دفترچه تلفن همراه، موضوع را به کاربر اطلاع داده و یا حتی پیام هشدار آمیز ارسال کند. از این رو، سرقت هویت یک کاربر کلابهاوس به هر شکلی از انواع، برابر بود با سرقت بستهای از شماره تلفنهای افرادی که هیچگاه برنامه کلابهاوس را بر روی گوشی خود نصب نکرده بودند اما تلفن و مشخصات آنها در دفترچه تلفن گوشی کاربر هک شده وجود داشت.
فاجعه بزرگتر این بود که پروندههای صوتی و متنی که کلابهاوس از کاربران خود ایجاد و ذخیره میکرد، فاقد هرگونه الگوی رمزنگاری بود و به سادگی امکان شنود و یا خواندن محتوی آن برای هرکس که به سرورهای کلابهاوس دسترسی داشت، امکانپذیر بود. وبسایت «Engadget Masthead» بازتابدهنده اخبار تکنولوژی و فناوری، در مقالهای بلند به نحوه عملکرد کلابهاوس در سرویسدهی به کاربران و همچنین نقاط ضعف و قوت آن، از جمله عدم وجود سازوکار رمزنگاری پرداخته است.
کلابهاوس بعد از حدود یک سال فعالیت، در واکنش به اوج گرفتن انتقادها به این ضعفها و بی توجهیها، تغییراتی را در شیوه عملکرد خود ایجاد کرد که به گفته کارشناسان امنیتی، هیچکدام از آنها در نهایت آن چیزی نبود که پاسخ مناسبی باشد برای مشکلات و نگرانیهای موجود درباره حریم خصوصی و یا امنیت اطلاعات. به عنوان مثال، با وجود این که کلابهاوس از سراسر جهان کاربر دارد و درخواست عضویت میپذیرد، برخلاف شبکههای مشابه، محتوای مربوط به حریم خصوصی خود را تنها به زبان انگلیسی ارایه میکرد؛ آن هم بدون این که مشخص کند آیا اطلاعات کاربران متقاضی را بدون رضایت آنها از تلفن همراهشان استخراج میکند یا خیر و یا این که این شبکه اجتماعی در نقاط دیگر دنیا، از جمله کشورهای اروپایی که قوانین متفاوتی با ایالات متحده در حوزه حریم خصوصی دارند، چهگونه عمل خواهد کرد.
واقعیت این است که اطلاعات لو رفته کاربران پیش از آن که از سوی هکرها به سرقت رفته باشد، از سوی خود کلابهاوس در معرض لو رفتن بوده است. در ماههای ابتدایی سال جاری میلادی، «رصدخانه اینترنتی استفورد» (The Stanford Internet Observatory)، از جمله مراکز تحقیقاتی فعال در حوزه امنیت سایبری و حریم خصوصی فاش کرد که کلابهاوس صداها و متون تولید شده توسط کاربران خود را بر روی یک سرور در کشور چین ذخیره میکند. این ذخیره سازی به شکلی بود که دولت چین قادر بود به تمامی آنها دسترسی داشته و آنها را بشنود و یا بخواند. در حالی که استفاده از کلابهاوس در چین، به دلیل طرح انتقادهایی در این شبکه اجتماعی از نحوه رفتار دولت این کشور با ایغورهای چین شده بود، ممنوع اعلام شده است.
اولین بار خبر نشت اطلاعات کاربران کلابهاوس حدود دو چهار ماه پیش منتشر شد. در این خبر گفته شده بود که اطلاعات حدود یک میلیون و ۳۰۰ تن، شامل نام، نام کاربری، حساب توییتر و اینستاگرام و غیره در یکی از انجمنهای هکری در دسترس عموم قرار گرفته است. در خصوص چگونگی لو رفتن این اطلاعات گفته شد که ضعف برنامهنویسی در پایگاه داده (SQL database) کلابهاوس به هکرها امکان داده است تا از بخش مربوط به ذخیره اطلاعات کاربران دسترسی بگیرند.
به گفته کارشناسان، کلابهاوس از روش شمارهگذاری متوالی برای ایجاد پروفایل استفاده کرده است. این روش یکی از شیوههای نامطمئن و قدیمی خلق صفحات پروفایل است که به مهاجم امکان میدهد با استفاده از اسکریپتهای کاشف و یا ابزارهایی مانند «اسکراپر» (scraper) به صورت متوالی اطلاعات مربوط به صفحات را حدس زده و یکی پس از دیگری به آنها دسترسی پیدا کنند.
کلابهاوس این شیوه از کاوش و استخراج اطلاعات را هک ندانسته و گفته بود هر کسی که «API» کلابهاوس را داشته باشد، می تواند به اطلاعات آن دسترسی پیدا کند و این از نظر فنی، هک محسوی نمیشود. درحالی که چنین ظرفیتی به هکرها اجازه میدهد حجم عظیمی از دادهها را از سرورهای کلابهاوس استخراج و به کامپیوترهای شخصی خود منتقل کنند؛ عملی که در اصطلاح فنی، به آن «اسکرَپینگ» (scraping) گفته شده و برای یک شبکه اجتماعی مانند کلابهاوس نه تنها غیرمعمول بلکه خطرناک محسوب میشود.
فروش اطلاعات دستکم سه میلیارد و ۸۰۰ میلیون کاربر کلابهاوس در بازار سیاه، بزرگترین نشت اطلاعات تاریخ سایبری این دست محسوب میشود. این اطلاعات میتوانند به عنوان یک بانک اطلاعات برای هکرها استفاده شوند ویا توسط نهادهای اطلاعاتی کشورهای مختلف خریداری شده و برای شناسایی افراد و حتی حملات سایبری مورد استفاده قرار گیرند. در سادهترین شکل نیز اطلاعات کاربران میتواند توسط شرکتهای تجاری خریداری شده و آنها را درگیر تبلیغات ناخواستهای کند که به صورت اسپم، انرژی و زمان کاربران را صرف فعالیتهای بی حاصل کند
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر