42 миллиона идентификаторов пользователей и телефонных номеров для стороннего клиента Telegram были выставлены онлайн без пароля. Аккаунты принадлежат пользователям в Иране, где официальное приложение Telegram заблокировано.

Логин-страничный-охотничье-система

42 миллиона записей из сторонней версии приложения для обмена сообщениями Telegram, используемого в Иране, были выставлены в Интернете без какой-либо аутентификации, необходимой для доступа к нему. Comparitech работал с исследователем безопасности Бобом Дьяченко, чтобы раскрыть и сообщить о воздействии, в том числе имена пользователей и номера телефонов, среди других данных.

Данные были опубликованы группой под названием «Hunting system» (перевод с фарси) в кластере Elasticsearch, для которого не требовался ни пароль, ни какая-либо другая аутентификация для доступа. Он был удален после того, как Дьяченко сообщил об инциденте хостинг-провайдеру 25 марта.

Telegram сообщает, что данные поступили с неофициального «fork» Telegram, версии приложения, не связанного с компанией. Telegram — это приложение с открытым исходным кодом, позволяющее третьим сторонам создавать свои собственные версии. Поскольку официальное приложение Telegram часто блокируется в Иране, многие пользователи обращаются к неофициальным версиям.

Представитель Telegram сказал Comparitech: «Мы можем подтвердить, что данные, похоже, получены от сторонних fork`ов, извлекающих контакты пользователей. К сожалению, несмотря на наши предупреждения, люди в Иране все еще используют непроверенные приложения. Приложения Telegram имеют открытый исходный код, поэтому важно использовать наши официальные приложения, которые поддерживают проверяемые сборки ».

Подобный инцидент произошел в 2016 году, когда Reuters сообщило , что иранские хакеры обнаружили 15 миллионов идентификаторов пользователей Telegram, телефонных номеров и одноразовых проверочных кодов, в результате чего было взломано более десятка учетных записей.

Хронология воздействия

телеграмма эластичный поиск кластера

Данные были выставлены в течение 11 дней, прежде чем они были удалены.

  • 15 марта: база данных была проиндексирована поисковой системой BinaryEdge
  • 21 марта: Дьяченко обнаружил разоблаченные данные и начал расследование
  • 24 марта: Дьяченко отправил отчет о нарушении хостинг-провайдеру
  • 25 марта: кластер Elasticsearch был удален.

Похоже, что другие неавторизованные стороны могли получить доступ к данным, пока они были выставлены. Мы обнаружили, что по крайней мере один пользователь разместил данные на хакерском форуме.

Какие данные были выставлены?

данные телеграммы

База данных содержала более 42 миллионов записей, состоящих из пользовательских данных из Ирана.

  • Идентификаторы учетной записи пользователя
  • Usernames
  • Телефонные номера
  • Хеши и секретные ключи

Хэши и секретные ключи из базы данных не могут быть использованы для доступа к учетным записям. По словам представителя Telegram, они работают только из той учетной записи, к которой они принадлежат.

Опасности раскрываемых данных

Информация, содержащаяся в этой открытой базе данных, представляет явный риск для пользователей. Он не только показывает, кто в Иране использует Telegram (или fork Telegram), но также открывает их для атаки.

Атаки SIM-карты являются одним из примеров. Атака с использованием SIM-карты происходит, когда злоумышленник убеждает телефонного оператора переместить номер телефона на новую SIM-карту, позволяя ему отправлять и получать SMS-сообщения жертвы и телефонные звонки. Затем злоумышленник может получить свои коды одноразового подтверждения доступа, предоставляя полный доступ к учетным записям и сообщениям приложения.

Пострадавшие пользователи также могут подвергаться целевому фишингу или мошенничеству с использованием телефонных номеров в базе данных.

Краткая история Telegram в Иране

Telegram — самое популярное приложение для обмена сообщениями в Иране с более чем 50 миллионами пользователей по всей стране. Его выбирают из-за безопасности, которая обеспечивает сквозное шифрование сообщений. Это означает, что правительство и другие третьи стороны не могут шпионить за разговорами, которые они могут перехватить.

В 2016 году хакеры определили номера телефонов 15 миллионов пользователей Telegram в Иране. Эксперты говорят, что национальные телефонные операторы, вероятно, перехватили текстовые сообщения, используемые для активации новых учетных записей в Telegram. Затем телефонные компании передали эти сообщения и номера телефонов хакерам, которые использовали их для взлома более десятка учетных записей.

В период с 2015 по 2017 годы иранские власти несколько раз приказывали телекоммуникационным компаниям временно блокировать доступ к Telegram. Он был заблокирован навсегда в начале 2018 года после общенациональных антиправительственных протестов и гражданских беспорядков.

Несмотря на это, Telegram остается самым популярным приложением для обмена сообщениями в стране. Многие пользователи получают к нему доступ через прокси и VPN. Некоторые, однако, предпочитают сторонние форки Telegram, неофициальные версии приложения, которые правительство Ирана, возможно, не заблокировало.

Приложения Telegram имеют открытый исходный код, поэтому каждый может независимо проверить подлинность кода. Это, однако, также привело к появлению нескольких форков, альтернативных версий Telegram, управляемых третьими лицами. Операторы этих форков не связаны с Telegram, даже если они совместно используют код приложений, и они не обязательно используют адекватные меры безопасности или даже заботятся о конфиденциальности пользователей.

Как мы обнаружили это воздействие и почему мы сообщили об этом

Comparitech объединяется с исследователем безопасности Бобом Дьяченко для поиска в Интернете баз данных, которые не защищены должным образом. Когда мы находим раскрытые данные, мы немедленно сообщаем об инциденте в соответствии с принципами ответственного раскрытия.

Затем мы исследуем данные, чтобы определить, кому они принадлежат и что они содержат. Наша цель — оценить потенциальный вред для конечных пользователей.

После удаления или защиты данных мы публикуем такой отчет, чтобы повысить осведомленность. Мы надеемся смягчить негативные последствия, такие как дальнейшие атаки на тех пользователей, чья личная информация была раскрыта.

Источник

Twitter и LinkedIn Боба Дьяченко

0 0 голос
Рейтинг статьи