مدیر گروه امنیتی آشیانه ایران مطرح کرد

پاسخ به ابهامات کاربران ایرانی تلگرام

تاریخ انتشار : ۲۱ تير ۱۳۹۴

بدست‌آوردن پسورد کد شده کاربران) رسما به اطلاع‌ سازندگان نرم‌افزار رسانده شده و مطابق وظیفه هکرهای کلاه سفید، این گروه ایرانی هیچ دسترسی به پسورد یا اکانت کاربران نداشته است

به گزارش گرداب بهروز کمالیان در گفت‌وگو خبرگزاری فارس، اظهار داشت: اخیرا گروه امنیتی آشیانه ایران از کشف 2 آسیب‌پذیری در نرم‌افزار پیام‌رسان تلگرام و ثبت آنها در سایت‌های امنیتی خبر داد.

مدیر گروه امنیتی آشیانه ایران افزود: بر این اساس نوعی از آسیب‌پذیری کشف شناسایی کد با درخواست فراموشی کلمه عبور، پسورد به صورت کد شده برای درخواست کننده ارسال می‌شود، در آسیب پذیری دوم که با باگ امنیتی CSRF اتفاق می‌افتد شخص آسیب‌رسان پیامی حاوی یک لینک مخرب برای قربانی ارسال می‌کند که با کلیک روی این پیام و باز شدن یک صفحه وب‌سایت، اکانت قربانی حذف و تمامی آرشیو و اطلاعات اکانت از بین می‌رود. البته اجرای این باگ امنیتی مشروط به این است که قربانی پیش از بازکردن لینک، در پنل تحت وب تلگرام به آدرس MY.telegram.org لاگین کرده باشد.

پس از انتشار خبر کشف این دو آسیب‌پذیری توسط گروه امنیتی آشیانه ایران، برخی کاربران فضای مجازی گفتند: پس از دسترسی به پسوردهای کد شده، دسترسی به اصل پسوردهای اکانت‌های کاربران ایرانی تلگرام نیز ممکن شده است.

کمالیان در واکنش به این ابهام، توضیح داد: گروه آشیانه پس از کشف این 2 آسیب‌پذیری اقدام به ثبت آنها در سایت‌های امنیتی کرده است تا علاوه بر اثبات وجود آسیب‌پذیری‌ها، زمینه سوء استفاده از آنها فراهم نشود و سپس کشف آسیب‌پذیری‌ها اطلاع‌رسانی شد. در مجموع فرآیند کشف تا اطلاع‌رسانی حدود 3 روز به طول کشید.

وی تاکید کرد: آشیانه یک گروه امنیتی شخصی و بدون وابستگی است و در آسیب‌پذیری اول و مربوط به رمز عبور، پس از کشف آسیب پذیری طبق وظیفه هکرهای کلاه سفید،  اقدام لازم برای ثبت و اطلاع‌رسانی به تلگرام برای برطرف کردن آسیب‌پذیری را آغاز کرده است و به طبع برای ورود به مراحل بعدی که رمزگشایی کلمات عبور رمزنگاری شده است تلاشی نکرده است.

مدیر گروه امنیتی آشیانه ایران تصریح کرد: بنابراین این گروه ایرانی هیچ دسترسی به پسورد یا اکانت کاربران نداشته است و با توجه به اینکه تلگرام از رمزنگاری عمومی استفاده نمی‌کند و رمزنگاری مخصوص به خود را دارد، بعید به نظر می‌رسد پیش از این توسط هکرهایی کشف شده باشد و بدون اطلاع مورد استفاده‌های شخصی قرار گرفته باشد.