Блог

42 милиона ирански потребителски идентификатори и телефонни номера на „Telegram“ изтекоха онлайн: доклад

система за търсене на страници за влизане



42 милиона записа от версия на трета страна на приложението за съобщения Telegram, използвано в Иран, бяха изложени в мрежата без никакво удостоверяване, необходимо за достъп до него. Comparitech работи с изследователя по сигурността Боб Диаченко, за да разкрие и докладва излагането, което включва потребителски имена и телефонни номера, наред с други данни.

Данните бяха публикувани от група, наречена „Система за лов“ (в превод от фарси) в клъстер Elasticsearch, който не изисква парола или друго удостоверяване за достъп. Той беше премахнат, след като Диаченко докладва за инцидента на хостинг доставчика на 25 март.



Telegram казва, че данните идват от неофициален „форк“ на Telegram, версия на приложението, което не е свързано с компанията.Telegram е приложение с отворен код, което позволява на трети страни да правят свои собствени версии. Тъй като официалното приложение Telegram често се блокира в Иран, много потребители се насочват към неофициални версии.

Говорител на Telegram каза на Comparitech: „Можем да потвърдим, че данните изглежда произхождат от форкове на трети страни, извличащи потребителски контакти. За съжаление, въпреки нашите предупреждения, хората в Иран все още използват непроверени приложения. Приложенията на Telegram са с отворен код, така че е важно да използвате нашите официални приложения, които поддържат проверими компилации.“



Инцидентът следва подобен през 2016 г., когато Ройтерс съобщи 15 милиона потребителски идентификатори, телефонни номера и еднократни кодове за потвърждение на Telegram бяха идентифицирани от ирански хакери, което доведе до повече от дузина компрометирани акаунти.

График на експозицията

телеграма elasticsearch клъстер

Данните бяха изложени около 11 дни, преди да бъдат премахнати.

  • 15 март: Базата данни е индексирана от търсачката BinaryEdge
  • 21 март: Диаченко открива разкритите данни и започва разследване
  • 24 март: Диаченко изпрати доклад за злоупотреба до хостинг доставчика
  • 25 март: Клъстерът Elasticsearch беше изтрит.

Изглежда, че други неупълномощени страни са имали достъп до данните, докато са били разкрити. Открихме, че поне един потребител е публикувал данните в хакерски форум.

Какви данни бяха разкрити?

телеграма изложени данни

Базата данни съдържа повече от 42 милиона записа, състоящи се от потребителски данни с произход от Иран.

  • ID на потребителските акаунти
  • Потребителски имена
  • Телефонни номера
  • Хешове и секретни ключове

Хешовете и секретните ключове от базата данни не могат да се използват за достъп до акаунти. Те работят само от акаунта, към който принадлежат, според говорител на Telegram.

Опасности от разкрити данни

Информацията, съдържаща се в тази разкрита база данни, представлява ясен риск за потребителите. Не само разкрива кой в ​​Иран използва Telegram (или разклонение на Telegram), но също така ги отваря за атака.

Атаките за размяна на SIM са един пример. Атака със смяна на SIM карта възниква, когато нападателят убеди телефонен оператор да премести телефонен номер на нова SIM карта, което им позволява да изпращат и получават SMS съобщения и телефонни обаждания на жертвата. След това нападателят би могъл да получи своите еднократни кодове за потвърждение на достъп, предоставяйки пълен достъп до акаунти и съобщения в приложението.

Засегнатите потребители също могат да бъдат изложени на риск от целеви фишинг или измами, използващи телефонните номера в базата данни.

Кратка история на Telegram в Иран

Telegram е най-популярното приложение за съобщения в Иран с повече от 50 милиона потребители в цялата страна. Той е предпочитан заради своята сигурност, която осигурява криптиране от край до край за съобщения. Това означава, че правителството и други трети страни не могат да шпионират разговори, които са прихванали.

През 2016 г. хакери идентифицираха телефонните номера на 15 милиона потребители на Telegram в Иран. Експертите казват, че националните телефонни оператори вероятно са прихванали текстовите съобщения, използвани за активиране на нови акаунти в Telegram. След това телефонните компании предадоха тези съобщения и телефонни номера на хакери, които ги използваха, за да проникнат в повече от дузина акаунти.

Иранските власти наредиха на телекомите временно да блокират достъпа до Telegram няколко пъти между 2015 г. и 2017 г. Той беше блокиран за постоянно в началото на 2018 г. след национални антиправителствени протести и граждански вълнения.

Въпреки това Telegram остава най-популярното приложение за съобщения в страната. Много потребители имат достъп до него чрез проксита и VPN. Някои обаче избират разклонения на Telegram от трети страни, неофициални версии на приложението, които иранското правителство може да не е блокирало.

Приложенията на Telegram са с отворен код, така че всеки може самостоятелно да провери дали кодът е автентичен. Това обаче доведе и до няколко разклонения, алтернативни версии на Telegram, управлявани от трети страни. Операторите на тези разклонения не са свързани с Telegram, въпреки че споделят кода на приложенията и не е задължително да използват адекватни мерки за сигурност или дори да се грижат за поверителността на потребителите.

Как открихме тази експозиция и защо я докладвахме

Comparitech си партнира с изследователя по сигурността Боб Диаченко, за да намери бази данни в мрежата, които не са правилно защитени. Когато открием разкрити данни, ние незабавно докладваме за инцидента съгласно указанията за отговорно разкриване.

След това проучваме данните, за да определим на кого принадлежат и какво съдържат. Нашата цел е да оценим потенциалната вреда за крайните потребители.

След като данните бъдат премахнати или защитени, ние публикуваме доклад като този, за да повишим осведомеността. Надяваме се да смекчим негативните последици, като например по-нататъшни атаки срещу тези потребители, чиято лична информация е била разкрита.

Предишни доклади

Comparitech и Diachenko се обединиха по редица доклади за излагане на данни, засягащи милиони хора, включително:

^