پس از اینکه توسعهدهنده اپلیکیشن کیبورد مجازی بسیار محبوب AI.type، امنیت سرور پایگاه داده برنامه خود را متوقف کرد، اطلاعات شخصی حدود ۳۱ میلیون کاربر به سرقت رفت. سروری که اطلاعات کاربرانش به سرقت رفته، متعلق به ایتان فیتوسی، یکی از پایهگذاران AI.type است که یک کیبورد مجازی قابل تنظیم و شخصیسازی با بیش از ۴۰ میلیون کاربر از سراسر جهان را در اختیار قرار میدهد.
متأسفانه هیچگونه رمز عبوری روی سرور فوق تنظیم نشده بود؛ ازاینرو هر شخصی به پایگاه داده سوابق کاربران که حاوی بیش از ۵۷۷ گیگابایت اطلاعات محرمانه بود، اجازه دسترسی داشت. به نظر میرسد که این پایگاه داده تنها سوابق مربوط به کاربران دستگاههای اندروید را شامل میشد.
طبق گزارشها، محققان امنیتی واقع در مرکز امنیت کروم تک (Kromtech) بهسرعت متوجه این مشکل شدند. آنها موفق شدند این دادهها را پس از برقراری چند تماس ناموفق با فیتوسی، بازگردانند. در حال حاضر سرور امنیت خود را دوباره به دست آورده؛ اما تاکنون فیتوسی در این باره صحبتی به میان نیاورده است.
در هر رکورد، اطلاعات محرمانه مهمی به چشم میخورد که از جمله آنها میتوان به نام کامل کاربر، آدرس ایمیل و تعداد روزهای عضویت در برنامه مذکور، اشاره کرد. همچنین مکان دقیق کاربر یعنی کشور و شهر اقامت او نیز در هر یک از رکوردها ثبت شده بود. اما موضوع بدتر اینکه رکوردها، اطلاعات بسیار دقیقتری را تحت پوشش قرار میدادند.
این اپلیکیشن یک نسخه رایگان نیز دارد که نسبت به نسخه پولی، اطلاعات بیشتری از سیاست حفظ حریم خصوصی کاربران را دریافت میکرد. اطلاعات کاملتر شامل اعداد IMSI و IMEI دستگاه، مدل دستگاه، کیفیت صفحه نمایش و نسخه سیستم عامل اندروید هر دستگاه بود. خیل عظیمی از رکوردها را اطلاعات مربوط به شماره تماس کاربران، آدرس آیپی و نام ارائهدهنده اینترنت کاربران در صورت اتصال به وایفای، تشکیل میدهد. برخی دیگر از رکوردها نیز جزئیات خاصی از حساب کاربری گوگل نظیر آدرس ایمیل، تاریخ تولد، جنسیت و تصاویر پروفایل را شامل میشوند.
علاوه بر این، چندین جدول از اطلاعات دفترچه تلفن یک کاربر یافت شد. در یک جدول، ۱۰.۷ میلیون آدرس ایمیل و در جدولی دیگر، ۶.۳۷۴ میلیون شماره تلفن به ثبت رسیده بود. هنوز علت آنکه چرا این اپلیکیشن آدرس ایمیل و شماره تماس افراد را در گوشیهای سایر کاربران بارگذاری کرده است، مشخص نیست. دراینبین چندین جدول متشکل از لیست اپلیکیشنهای نصبشده روی تلفن همراه همانند اپلیکیشن بانک و دوستیابی نیز به چشم میخورد.
البته این موضوع برای کیبوردهای مجازی چندان دور از تصور نیست که به سطح گستردهای از مجوزهای دستگاههای اندروید دسترسی داشته باشند. سیستم عامل اندروید این اخطار را به کاربران خود میدهد که کیبورد مجازی ممکن است قادر به ثبت کلیه متون تایپی شما اعم از گذرواژهها و شماره کارتهای اعتباری باشد.
AI.Type نیز با دسترسی به دادههای اطلاعاتی همچون پیامها، تصاویر و ویدئوهای ذخیرهشده در حافظه دستگاه، ضبط صدا و دسترسی کامل به شبکه، در زمره برنامههای سودجو قرار میگیرد. از طرفی AI.type در وبسایت تخصصی خود ذکر کرده بود که «حریم خصوصی کاربر نگرانی اصلی ما است.» همچنین اظهار داشت متونی که با استفاده از صفحه کلید مجازی تایپ شوند، بهصورت «رمزگذاری شده و خصوصی» باقی میمانند.
اما حقیقت آن است که پایگاه داده هیچگاه رمزگذاری نشد. همچنین شواهدی به دست آمده که تأیید میکند متون واردشده روی صفحه کلید مجازی، مستقیما توسط شرکت سازنده ذخیره میشوند. البته این ادعا هنوز به اثبات نرسیده است.
همچنین این شرکت ادعا میکند: «ما هرگز اطلاعات شما را به اشتراک نخواهیم گذاشت و هیچوقت فیلدهای مربوط به رمز عبور شما را به خاطر نخواهیم سپرد.» درصورتیکه اخیرا جدولی متشکل از ۸.۶ میلیون نوشته، شامل اطلاعات خصوصی و محرمانه نظیر شماره تلفنها، واژههای جستجو شده، آدرس ایمیل و کلمه عبور مشاهده شده است.
باب دیاچنکو، رئیس ارتباطات مرکز امنیت کروم تک در خصوص استفاده از اپلیکیشنهای رایگان هشدار داد. دیاچنکو در این باره به خبرگزاری ZDNet گفت:
اگر افرادی که نسبت به دانلود و نصب صفحه کلید مجازی AI.type اقدام کردهاند، کلیه اطلاعات مربوط به گوشی هوشمندشان به سرقت برود، امری منطقی بهحساب میآید؛ زیرا انجام این عمل یک خطر واقعی در مقابل مجرمان اینترنتی محسوب میشود که بهراحتی میتوانند از این طریق به کلاهبرداری بپردازند.
وی خاطرنشان کرد:
بار دیگر این سؤال پیش میآید که اگر واقعا به کاربران این امکان داده شود تا اطلاعات خود را در مقابل محصولات یا خدمات رایگان یا تخفیفهایی که دسترسی کامل به برنامه را میسر میسازند، وارد کنند، عکسالعمل آنها چگونه خواهد بود؟
واضح است که دادهها از ارزش بالایی برخوردارند و هر شخص بنا به دلایل مختلف تمایل دارد به آن دسترسی داشته باشد. برخی افراد تمایل دارند دادههایی را که طی سالها جمعآوری کردهاند، به فروش برسانند. برخی دیگر از آن برای بازاریابی هدفمند و هوش مصنوعی استفاده میکنند و دراینبین مجرمان اینترنتی هستند که در سعی و تلاشاند تا با استفاده از اینگونه روشهای خلاقانه، به درآمد بیشتری دست پیدا کنند.
منبع :زومیت