در حمله سایبری دیگری که بخش مخابراتی ایران را تحت تأثیر قرار داده است، هکرها به پایگاه داده مشتریان شرکت ارتباطات سیار ایران (MCI)، معروف به همراه اول، بزرگترین اپراتور تلفن همراه کشور، دسترسی پیدا کرده‌اند. این حمله سایبری پس از حوادث قبلی، از جمله هک ایرانسل در چند سال گذشته، الگوی نگران‌کننده‌ای از آسیب‌پذیری‌های امنیت داده در زیرساخت مخابراتی کشور را نشان می‌دهد.

تحقیقات ما، بر اساس شواهد مستقیم و اطلاعاتی که خود هکرها ارائه داده‌اند، نشان می‌دهد که این نقض امنیتی اطلاعات شخصی بسیار حساس میلیون‌ها شهروند ایرانی را فاش کرده و نگرانی‌های جدی درباره حریم خصوصی و امنیت به وجود آورده است.

برای تأیید اصالت این نقض امنیتی، ما از هکرها درخواست کردیم نمونه اطلاعات فردی را که با شرکت صحاب پرداز (شرکتی که توسط ایالات متحده به دلیل نقض حقوق بشر در ایران تحریم شده است) در ارتباط است، ارائه دهند. این فرد خاص مسئول پالایش پراکسی‌ها، وی‌پی‌ان‌ها و سانسور اینترنت در ایران است. داده‌های ارائه شده صحت داشته و حاوی اطلاعات دقیق مشترک بود.

گستردگی اطلاعات به خطر افتاده بسیار وسیع است. هکرها به ساختار پایگاه داده جامع مشتریان همراه اول دسترسی پیدا کرده‌اند که شامل اطلاعات دقیقی از جمله مشخصات شخصی مانند نام کامل (نام، نام مستعار، نام خانوادگی)، شناسه مشتری و کدهای مشتری است. این نقض امنیتی همچنین اطلاعات تماس از جمله شماره تلفن‌های همراه، تلفن‌های منزل، تلفن‌های محل کار، شماره‌های فکس و آدرس‌های ایمیل را فاش کرده است.

داده‌های فنی فاش شده در این نقض امنیتی شامل شناسه‌های ICCID (شناسه‌های سیم‌کارت)، شماره‌های IMSI، انواع شبکه و شناسه‌های مشترکین است. ساختار داده‌ها نشان می‌دهد که این نقض امنیتی هم رکوردهای فعال و هم رکوردهای تاریخی مشتریان را فاش کرده و احتمالاً بر مشترکین فعلی و قبلی همراه اول تأثیر گذاشته است.

در زیر نمونه‌هایی جزئی از فیلدهای به خطر افتاده آمده است - رکوردهای کامل بسیار گسترده‌تر هستند و شامل جزئیات حساسی مانند آدرس‌های منزل، اسناد هویتی کامل، اطلاعات تماس شخصی و سایر داده‌های خصوصی که قبلاً در این مقاله ذکر شده، می‌باشند. ما همچنین بخش‌هایی از شناسه‌ها را برای حفظ حریم خصوصی مبهم کرده‌ایم:

نمونه اول مشترک (فقط فیلدهای جزئی): این داده‌ها یک سیم‌کارت با شناسه‌های ICCID: 8998112900065620*** و IMSI: 432112965620***، شماره تلفن 9104484*** (فرمت موبایل ایرانی)، نوع حساب "دائمی" و وضعیت حساب "فعال" را نشان می‌دهد. تاریخ فعال‌سازی آوریل 2015 (timestamp یونیکس: 1430636820000)، با برند "MCCI اعتباری" (سرویس پیش‌پرداخت همراه اول تبدیل شده به پس‌پرداخت) است. این سیم‌کارت حداقل یک بار تغییر کرده است (haveChangeSimCard: "1") و زبان ترجیحی فارسی است.

نمونه دوم مشترک (فقط فیلدهای جزئی): این رکورد حاوی شناسه‌های سیم‌کارت ICCID: 8998113900007185*** و IMSI: 432113907185***، شماره تلفن 9177065*** (فرمت موبایل ایرانی)، نوع حساب "دائمی" و وضعیت حساب "فعال" است. تاریخ فعال‌سازی به نوامبر 2005 (timestamp یونیکس: 1130619300000) باز می‌گردد، با برند "MCCI دائمی"، زبان ترجیحی فارسی و نام طرح "طرح پیش فرض اصلی سیم کارت دائمی".

ما مشاهده کردیم که وقتی دیجیاتو، یک وبسایت خبری که خبرهای تکنولوژی در ایران را پوشش می‌دهد، اولین بار درباره این نقض داده گزارش داد، آنها با فشار قابل توجهی از سوی رژیم جمهوری اسلامی و مقامات همراه اول مواجه شدند. این فشار منجر به حذف مقاله شد.

این حمله سایبری در بستری از نظارت دیجیتالی گسترده و کنترل اطلاعات در ایران رخ می‌دهد. شرکت‌های مخابراتی مانند همراه اول ارتباط نزدیکی با نهادهای اطلاعاتی و امنیتی کشور دارند و داده‌های مخابراتی اغلب برای نظارت بر شهروندان استفاده می‌شود. می‌دانیم که، این ارائه‌دهندگان خدمات مخابراتی حتی راه‌هایی را برای سرویس‌های امنیتی فراهم کرده‌اند تا بتوانند کدهای احراز هویت دو مرحله‌ای (2FA) پیامکی را بدون اطلاع صاحب تلفن همراه رهگیری کنند و به حساب‌های آنلاین شهروندان دسترسی مخفیانه داشته باشند. این هک اکنون کارکرد داخلی این زیرساخت نظارتی را عمومی کرده و اطلاعات شخصی میلیون‌ها کاربر تلفن همراه ایرانی را فاش کرده است.

در زمان انتشار این مقاله، همراه اول هیچ بیانیه عمومی مبنی بر تأیید این نقض امنیتی یا پذیرش مسئولیت افشای داده‌ها منتشر نکرده است. در عوض، آنها بر فشار آوردن به روزنامه‌نگاران در کشور برای حذف مقالاتی درباره این نقض امنیتی تمرکز کرده‌اند و وبسایت‌هایی را که درباره این حادثه گزارش می‌دهند، تهدید به فیلتر کرده‌اند. این شرکت همچنین هیچ راهنمایی به مشتریان آسیب‌دیده برای محافظت از خود پس از این حادثه امنیتی بزرگ ارائه نداده است.

در بستر ایران، این داده‌های فاش شده می‌تواند عمدتاً برای کلاهبرداری مالی در داخل کشور استفاده شود. با این حال، خارج از مرزهای ایران، همین اطلاعات می‌تواند اهداف کاملاً متفاوتی از جمله جمع‌آوری اطلاعات و نمایه‌سازی شهروندان ایرانی داشته باشد.

هکرها به ما گفتند که همراه اول از فناوری پایگاه داده Oracle استفاده می‌کرده و نکته مهم این است که اطلاعات هش شده نبوده‌اند. آنها حضور فیلدهای مرتبط با نظارت مانند "securityFlag"، "hiddenFlag"، "attachSecretMark" و "isRecordTrace" را در ساختار پایگاه داده مشاهده کرده‌اند.

جالب اینکه، این نقض امنیتی همچنین نشان داد که پایگاه‌های داده همراه اول حاوی رکوردهایی از شهروندان کشورهای دیگر، از جمله ۱۹۳۵ رکورد از ترکیه، ۲۱۸ رکورد از استرالیا، ۸۴۸ رکورد از چین و موارد دیگر بوده است. طبق گفته هکرها، اطلاعات به خطر افتاده شامل حدود ۳۰ میلیون مشترک یونیک و ۶۱ میلیون شماره تلفن در مجموع است.

اگر برای همراه اول کار می‌کنید یا اطلاعات بیشتری درباره این نقض امنیتی دارید، می‌توانید از طریق تلگرام یا ایمیل با من تماس بگیرید. هویت شما محافظت خواهد شد.

آدرس تلگرام گروه هکری https://t.me/ShadowBitsOfficial