پاسخ به نگرانی کاربران تلگرام از دسترسی هکرها
سه شنبه, ۲۳ تیر ۱۳۹۴، ۱۱:۳۴ ق.ظ
پاسخ به نگرانی کاربران داخلی تلگرام از دسترسی هکرهای کلاهسفید به رمزهای عبورشان
تاریخ انتشار: 94/04/22 17:32
افتانا/ بهگفته مدیر گروه امنیتی آشیانه ایران در پاسخ به ابهامات امنیت رمزهای عبور کاربران ایرانی تلگرام رسماً اعلام کرده که هکرهای کلاه سفید این گروه به اکانت کاربران دسترسی ندارند. بهروز کمالیان، مدیر گروه امنیتی آشیانه ایران میگوید: اخیراً گروه امنیتی آشیانه ایران از کشف دو آسیبپذیری در نرمافزار پیامرسان تلگرام و ثبت آنها در سایتهای امنیتی خبر داد. بر این اساس نوعی از آسیبپذیری کشف شناسایی کد با درخواست فراموشی کلمه عبور، پسورد بهصورت کدشده برای درخواستکننده ارسال میشود، در آسیب پذیری دوم که با باگ امنیتی CSRF اتفاق میافتد شخص آسیبرسان پیامی حاوی یک لینک مخرب برای قربانی ارسال میکند که با کلیک روی این پیام و بازشدن یک صفحه وبسایت، اکانت قربانی حذف و تمامی آرشیو و اطلاعات اکانت از بین میرود. البته اجرای این باگ امنیتی مشروط به این است که قربانی پیش از بازکردن لینک، در پنل تحت وب تلگرام به آدرس MY.telegram.org لاگین کرده باشد. پس از انتشار خبر کشف این دو آسیبپذیری توسط گروه امنیتی آشیانه ایران، برخی کاربران فضای مجازی گفتند که پس از دسترسی به پسوردهای کدشده، دسترسی به اصل پسوردهای اکانتهای کاربران ایرانی تلگرام نیز ممکن شده است. کمالیان در واکنش به این ابهام، توضیح داد: گروه آشیانه پس از کشف این دو آسیبپذیری اقدام به ثبت آنها در سایتهای امنیتی کرده است تا علاوه بر اثبات وجود آسیبپذیریها، زمینه سوءاستفاده از آنها فراهم نشود و سپس کشف آسیبپذیریها اطلاعرسانی شد. در مجموع فرآیند کشف تا اطلاعرسانی حدود سه روز بهطول انجامید. وی تأکید کرد: آشیانه یک گروه امنیتی شخصی و بدون وابستگی است و در آسیبپذیری اول و مربوط به رمز عبور، پس از کشف آسیب پذیری طبق وظیفه هکرهای کلاه سفید، اقدام لازم برای ثبت و اطلاعرسانی به تلگرام برای برطرف کردن آسیبپذیری را آغاز کرده است و تلاشی برای ورود به مراحل بعدی رمزگشایی کلمات عبور رمزنگاری نکرده است. مدیر گروه امنیتی آشیانه ایران تصریح کرد: بنابراین این گروه ایرانی هیچ دسترسی به پسورد یا اکانت کاربران نداشته است و با توجه به اینکه تلگرام از رمزنگاری عمومی استفاده نمیکند و رمزنگاری مخصوص به خود را دارد، بعید به نظر میرسد پیش از این توسط هکرهایی کشف شده باشد و بدون اطلاع مورد استفادههای شخصی قرار گرفته باشد.
تاریخ انتشار: 94/04/22 17:32
افتانا/ بهگفته مدیر گروه امنیتی آشیانه ایران در پاسخ به ابهامات امنیت رمزهای عبور کاربران ایرانی تلگرام رسماً اعلام کرده که هکرهای کلاه سفید این گروه به اکانت کاربران دسترسی ندارند. بهروز کمالیان، مدیر گروه امنیتی آشیانه ایران میگوید: اخیراً گروه امنیتی آشیانه ایران از کشف دو آسیبپذیری در نرمافزار پیامرسان تلگرام و ثبت آنها در سایتهای امنیتی خبر داد. بر این اساس نوعی از آسیبپذیری کشف شناسایی کد با درخواست فراموشی کلمه عبور، پسورد بهصورت کدشده برای درخواستکننده ارسال میشود، در آسیب پذیری دوم که با باگ امنیتی CSRF اتفاق میافتد شخص آسیبرسان پیامی حاوی یک لینک مخرب برای قربانی ارسال میکند که با کلیک روی این پیام و بازشدن یک صفحه وبسایت، اکانت قربانی حذف و تمامی آرشیو و اطلاعات اکانت از بین میرود. البته اجرای این باگ امنیتی مشروط به این است که قربانی پیش از بازکردن لینک، در پنل تحت وب تلگرام به آدرس MY.telegram.org لاگین کرده باشد. پس از انتشار خبر کشف این دو آسیبپذیری توسط گروه امنیتی آشیانه ایران، برخی کاربران فضای مجازی گفتند که پس از دسترسی به پسوردهای کدشده، دسترسی به اصل پسوردهای اکانتهای کاربران ایرانی تلگرام نیز ممکن شده است. کمالیان در واکنش به این ابهام، توضیح داد: گروه آشیانه پس از کشف این دو آسیبپذیری اقدام به ثبت آنها در سایتهای امنیتی کرده است تا علاوه بر اثبات وجود آسیبپذیریها، زمینه سوءاستفاده از آنها فراهم نشود و سپس کشف آسیبپذیریها اطلاعرسانی شد. در مجموع فرآیند کشف تا اطلاعرسانی حدود سه روز بهطول انجامید. وی تأکید کرد: آشیانه یک گروه امنیتی شخصی و بدون وابستگی است و در آسیبپذیری اول و مربوط به رمز عبور، پس از کشف آسیب پذیری طبق وظیفه هکرهای کلاه سفید، اقدام لازم برای ثبت و اطلاعرسانی به تلگرام برای برطرف کردن آسیبپذیری را آغاز کرده است و تلاشی برای ورود به مراحل بعدی رمزگشایی کلمات عبور رمزنگاری نکرده است. مدیر گروه امنیتی آشیانه ایران تصریح کرد: بنابراین این گروه ایرانی هیچ دسترسی به پسورد یا اکانت کاربران نداشته است و با توجه به اینکه تلگرام از رمزنگاری عمومی استفاده نمیکند و رمزنگاری مخصوص به خود را دارد، بعید به نظر میرسد پیش از این توسط هکرهایی کشف شده باشد و بدون اطلاع مورد استفادههای شخصی قرار گرفته باشد.
