هشدار مهم و راهکارهای یک برنامه نویس درباره هک های پی در پی تپسی، بیمه مرکزی و…

میلاد نوری، برنامه نویس در توییتر خود نسبت به هک های پی در پی هشدار داده است، او دو سال و نیم پیش هشداری مشابه را تکرار کرده بود که در صورتی که هکر ها بتوانند از چند جای مختلف دیتای شما را هک کنند به تمامی اطلاعات شما از قبیل آدرس، حساب بانکی و… دسترسی پیدا می کنند

به گزارش انصاف نیوز او دو راه ریسک فکتوری برای تغییر اندروید آی دو و گذاشتن رمز برپایه کریپتوکارنسی را پیشنهاد داده است.

این فعال حوزه تکنولوژی نوشت:

در هک تپ‌سی، هکرها علاوه بر اطلاعات مسافرها و راننده‌ها، به اطلاعات دیوایس‌ها (گوشی و تبلت و…) کاربرها هم دسترسی پیدا کرده‌اند.

اطلاعاتی مثل نسخه اپلیکیشن و مدل گوشی و… اما دوتا پارامتر خیلی مهم در بین این دیتا وجود داره. googleAdId و deviceId. به بهانه این اتفاق، ببینیم این پارامترها چیه؟! شناسه googleAdId یا همون AAID منحصر به فرد و به ازای هر دیوایس (+ به ازای هر کاربر گوگل) هست. یعنی شما اگر با دو حساب کاربری گوگل روی یک گوشی لاگین کردی، هر اکانت، یک شناشه منحصر به فرد AAID داره.

مورد بعدی deviceId هست که با بررسی سورس تپ‌سی، نحوه ساخت آن را می‌توان بررسی کرد که به احتمال خیلی زیاد در نسخه اندروید از ANDROID_ID استفاده می‌شود که در اندرویدهای ۸ به قبل، به ازای هر کاربر روی هر دیوایس، منحصر به فرد بوده. حالا تصور کنید شما در اپلیکیشن دیگری، به صورت ناشناس (از نظر خودتان) خبری می‌خوانید یا فعالیتی انجام می‌دهید و اون اپلیکیشن بنا به مقاصد تبلیغاتی، آماری و… همین دو پارامتر از شما را (بدون نیاز به سطح دسترسی خاصی)، ذخیره می‌کند.

با تطابق این شناسه‌ها در سرویس‌های مختلف، مشخص می‌شود شمایی که در فلان اپلیکیشن خبری، خبر ۱ و ۳ رو خوندی، همون کاربری هستی که در فلان اپلیکیشن فلان عکس رو آپلود کردی و همین کاربری هستی که در تپ‌سی فلان سفرها رو رفتی و… نشت‌های اطلاعات سرویس‌های مختلف هم باعث می‌شهاین تطابق برای همه افرادی که به این دیتابیس‌ها دسترسی پیدا می‌کنند، امکان‌پذیر بشه. ‌ رونوشت به کاربرهایی که همیشه بعد از یک نشت اطلاعات می پرسند “مگه اطلاعات من به چه دردی می‌خوره”.

با هر بار فکتوری ریست دستگاه اندرویدی، ANDOID_ID تغییر می‌کند.

از مسیر پایین در اندروید می‌توانید GAID یا همون AAID رو ریست کنید. Settings > Privacy > Ads. Tap Reset Advertising ID البته اپ‌ها آی‌دی جدید رو هم می‌گیرن و سمت خودشون آپدیت می‌کنن. اما ریست هر از گاهی توصیه می‌شه

این رشتوی دو سال و نیم پیشه. اطلاعات نشت‌های بعد از این تاریخ هم به این دیتابیس فرضی اضافه کنید.

می‌دونستین با کنارهم گذاشتن اطلاعات زیر میشه از یه مسیج تلگرامی ساده،به آدرس خونه و کدپستی و یسری بلیط‌های سفر هوایی و زمینی‌تون رسید؟ ۴۲میلیون کاربر ایرانی تلگرام ۵.۵میلیون مشترک رایتل مشترکین سایر اپراتورها اطلاعات رانندگان تپ‌سی اطلاعات کاربران علی‌بابا و سایر اطلاعات لو رفته.

شما توی تلگرام به یک نفر می‌گید “سلام”. از روی مسیج و پروفایل‌تون شناسه عددی کاربری تلگرام‌تون رو پیدا می‌کنه. از روی این شناسه در دیتابیس لو رفته کاربران ایرانی تلگرام به شماره موبایل شما می‌رسه.

با تطابق شماره موبایل و دیتابیس لو رفته از اوپراتورهای موبایل در گذشته، از شماره موبایل به آدرس و کد پستی و شماره ملی و شماره شناسنامه و… می‌رسیم.

با تطابق کد ملی و شماره موبایل با دیتابیس لو رفته سایر سرویس‌ها مثل علی‌بابا به لیست سفرهای کاربر رسید. با تطابق اطلاعات با دیتابیس اخیرا لو رفته بانک ملت، به اطلاعات کامل‌تری از کاربر می‌شه رسید.

مجموع این اطلاعات خوراک بسیار کاملی برای مهندسی اجتماعی در اختیار کلاهبرداران و سواستفاده‌گران قرار می‌ده.

پیشنهاد: اگر همه این دیتابیس‌ها را کنار هم قرار دادید، اسمش رو بذارید “سامانه وحشت”. اطلاعات تصویری لو رفته از ندارم هویتی کاربران صرافی‌های آنلاین مثل عکس کارت ملی و کارت بانکی و… هم به این لیست اضافه کنید

---

اطلاعات هک شده تپ‌سی، طبق ادعای هکر(ها) شامل موارد زیر می‌باشد: ‌ – اطلاعات بیش از ۲۷ میلیون مسافر شامل: نام، نام خانوادگی، شماره همراه، شهر و بعضا ایمیل. – اطلاعات بیش از ۶ میلیون راننده شامل: نام، نام خانوادگی، کد ملی، شهر، شماره همراه. – اطلاعات بیش از ۱۳۶ میلیون سفر شامل: آی‌دی مسافر، آدرس کامل مبدا و مقصد، آدرس کوتاه مبدا و مقصد، مشخصات جغرافیایی (GPS Locations) مبدا و مقصد. – سورس کد محصولات شرکت تپسی مانند اپلیکیشن‌های موبایل و … – اطلاعات دستگاه همراه مسافر و راننده

---

این فعال توییتری راهکار زیر را پیشنهاد داده است

Cryptomator یا ابزارهای مشابه، به شما کمک می‌کنن دیتا (هر نوع دیتایی) رو رمزنگاری کنید. یعنی کسی نتونه بازش کنه. مگر اینکه کلید رمزنگاری شما رو داشته باشه. بعدش این فایل‌های رمزنگاری شده رو هرجا می‌تونید ذخیره کنید با خیال راحت. روی دراپ‌باکس، گوگل درایو و… هروقت هم برید سر وقت فایل‌هاتون، باید با کلیدی که دارید، بازش کنید.

کار بهتر برای ذخیره چنین دیتاهایی (دیتاهای شخصی) اینه که اون‌ها رو با ابزارهایی مثل Cryptomator انکریپت کنید. و روی یک فضای کلود نگهداری کنید. هم با دسترسی به تلگرام شما اطلاعات به خطر نمیفته. هم روی کلود هم به دلیل انکریپت شدن، کسی بهش دسترسی نداره. مثلا اگه ۱۲ کلمه ولت کریپتو رو توی کلود ذخیره می‌کنید، قبلش انکریپت کنید. بک درصد هم درنظر بگیرید خود اون کلود با هوش مصنوعی در انبوه اطلاعات دنبال کلیدهای ولت‌ها بگرده.

مثلا اگر از پسورد منیجر استفاده می‌کنید، هر از گاهی یک بکاپ ازش بگیرید. انکریپت کنید و یک گوشه‌ ذخیره کنید. اگه یه روز به پسورد منیجرتون به دلیل تحریم و… دسترسی نداشتید، یک بکاپ امن ازش داشته باشید.

انتهای پیام