هشدار مهم و راهکارهای یک برنامه نویس درباره هک های پی در پی تپسی، بیمه مرکزی و…
میلاد نوری، برنامه نویس در توییتر خود نسبت به هک های پی در پی هشدار داده است، او دو سال و نیم پیش هشداری مشابه را تکرار کرده بود که در صورتی که هکر ها بتوانند از چند جای مختلف دیتای شما را هک کنند به تمامی اطلاعات شما از قبیل آدرس، حساب بانکی و… دسترسی پیدا می کنند
به گزارش انصاف نیوز او دو راه ریسک فکتوری برای تغییر اندروید آی دو و گذاشتن رمز برپایه کریپتوکارنسی را پیشنهاد داده است.
این فعال حوزه تکنولوژی نوشت:
در هک تپسی، هکرها علاوه بر اطلاعات مسافرها و رانندهها، به اطلاعات دیوایسها (گوشی و تبلت و…) کاربرها هم دسترسی پیدا کردهاند.
اطلاعاتی مثل نسخه اپلیکیشن و مدل گوشی و… اما دوتا پارامتر خیلی مهم در بین این دیتا وجود داره. googleAdId و deviceId. به بهانه این اتفاق، ببینیم این پارامترها چیه؟! شناسه googleAdId یا همون AAID منحصر به فرد و به ازای هر دیوایس (+ به ازای هر کاربر گوگل) هست. یعنی شما اگر با دو حساب کاربری گوگل روی یک گوشی لاگین کردی، هر اکانت، یک شناشه منحصر به فرد AAID داره.
مورد بعدی deviceId هست که با بررسی سورس تپسی، نحوه ساخت آن را میتوان بررسی کرد که به احتمال خیلی زیاد در نسخه اندروید از ANDROID_ID استفاده میشود که در اندرویدهای ۸ به قبل، به ازای هر کاربر روی هر دیوایس، منحصر به فرد بوده. حالا تصور کنید شما در اپلیکیشن دیگری، به صورت ناشناس (از نظر خودتان) خبری میخوانید یا فعالیتی انجام میدهید و اون اپلیکیشن بنا به مقاصد تبلیغاتی، آماری و… همین دو پارامتر از شما را (بدون نیاز به سطح دسترسی خاصی)، ذخیره میکند.
با تطابق این شناسهها در سرویسهای مختلف، مشخص میشود شمایی که در فلان اپلیکیشن خبری، خبر ۱ و ۳ رو خوندی، همون کاربری هستی که در فلان اپلیکیشن فلان عکس رو آپلود کردی و همین کاربری هستی که در تپسی فلان سفرها رو رفتی و… نشتهای اطلاعات سرویسهای مختلف هم باعث میشهاین تطابق برای همه افرادی که به این دیتابیسها دسترسی پیدا میکنند، امکانپذیر بشه. رونوشت به کاربرهایی که همیشه بعد از یک نشت اطلاعات می پرسند “مگه اطلاعات من به چه دردی میخوره”.
با هر بار فکتوری ریست دستگاه اندرویدی، ANDOID_ID تغییر میکند.
از مسیر پایین در اندروید میتوانید GAID یا همون AAID رو ریست کنید. Settings > Privacy > Ads. Tap Reset Advertising ID البته اپها آیدی جدید رو هم میگیرن و سمت خودشون آپدیت میکنن. اما ریست هر از گاهی توصیه میشه
این رشتوی دو سال و نیم پیشه. اطلاعات نشتهای بعد از این تاریخ هم به این دیتابیس فرضی اضافه کنید.
میدونستین با کنارهم گذاشتن اطلاعات زیر میشه از یه مسیج تلگرامی ساده،به آدرس خونه و کدپستی و یسری بلیطهای سفر هوایی و زمینیتون رسید؟ ۴۲میلیون کاربر ایرانی تلگرام ۵.۵میلیون مشترک رایتل مشترکین سایر اپراتورها اطلاعات رانندگان تپسی اطلاعات کاربران علیبابا و سایر اطلاعات لو رفته.
شما توی تلگرام به یک نفر میگید “سلام”. از روی مسیج و پروفایلتون شناسه عددی کاربری تلگرامتون رو پیدا میکنه. از روی این شناسه در دیتابیس لو رفته کاربران ایرانی تلگرام به شماره موبایل شما میرسه.
با تطابق شماره موبایل و دیتابیس لو رفته از اوپراتورهای موبایل در گذشته، از شماره موبایل به آدرس و کد پستی و شماره ملی و شماره شناسنامه و… میرسیم.
با تطابق کد ملی و شماره موبایل با دیتابیس لو رفته سایر سرویسها مثل علیبابا به لیست سفرهای کاربر رسید. با تطابق اطلاعات با دیتابیس اخیرا لو رفته بانک ملت، به اطلاعات کاملتری از کاربر میشه رسید.
مجموع این اطلاعات خوراک بسیار کاملی برای مهندسی اجتماعی در اختیار کلاهبرداران و سواستفادهگران قرار میده.
پیشنهاد: اگر همه این دیتابیسها را کنار هم قرار دادید، اسمش رو بذارید “سامانه وحشت”. اطلاعات تصویری لو رفته از ندارم هویتی کاربران صرافیهای آنلاین مثل عکس کارت ملی و کارت بانکی و… هم به این لیست اضافه کنید
اطلاعات هک شده تپسی، طبق ادعای هکر(ها) شامل موارد زیر میباشد: – اطلاعات بیش از ۲۷ میلیون مسافر شامل: نام، نام خانوادگی، شماره همراه، شهر و بعضا ایمیل. – اطلاعات بیش از ۶ میلیون راننده شامل: نام، نام خانوادگی، کد ملی، شهر، شماره همراه. – اطلاعات بیش از ۱۳۶ میلیون سفر شامل: آیدی مسافر، آدرس کامل مبدا و مقصد، آدرس کوتاه مبدا و مقصد، مشخصات جغرافیایی (GPS Locations) مبدا و مقصد. – سورس کد محصولات شرکت تپسی مانند اپلیکیشنهای موبایل و … – اطلاعات دستگاه همراه مسافر و راننده
این فعال توییتری راهکار زیر را پیشنهاد داده است
Cryptomator یا ابزارهای مشابه، به شما کمک میکنن دیتا (هر نوع دیتایی) رو رمزنگاری کنید. یعنی کسی نتونه بازش کنه. مگر اینکه کلید رمزنگاری شما رو داشته باشه. بعدش این فایلهای رمزنگاری شده رو هرجا میتونید ذخیره کنید با خیال راحت. روی دراپباکس، گوگل درایو و… هروقت هم برید سر وقت فایلهاتون، باید با کلیدی که دارید، بازش کنید.
کار بهتر برای ذخیره چنین دیتاهایی (دیتاهای شخصی) اینه که اونها رو با ابزارهایی مثل Cryptomator انکریپت کنید. و روی یک فضای کلود نگهداری کنید. هم با دسترسی به تلگرام شما اطلاعات به خطر نمیفته. هم روی کلود هم به دلیل انکریپت شدن، کسی بهش دسترسی نداره. مثلا اگه ۱۲ کلمه ولت کریپتو رو توی کلود ذخیره میکنید، قبلش انکریپت کنید. بک درصد هم درنظر بگیرید خود اون کلود با هوش مصنوعی در انبوه اطلاعات دنبال کلیدهای ولتها بگرده.
مثلا اگر از پسورد منیجر استفاده میکنید، هر از گاهی یک بکاپ ازش بگیرید. انکریپت کنید و یک گوشه ذخیره کنید. اگه یه روز به پسورد منیجرتون به دلیل تحریم و… دسترسی نداشتید، یک بکاپ امن ازش داشته باشید.
انتهای پیام