پیامرسانها یکی از سرویسهای محبوب و فراگیر در حوزه رسانههای اجتماعی هستند که میلیونها کاربر با کمک این نرمافزارها به ارتباط و تعامل با یکدیگر میپردازند و ارتباط کاربران با یکدیگر را از طریق متن، صوت یا ویدئو را تسهیل میکنند. با وجود این، یکی از مهمترین دغدغههایی که میتواند باعث برتری یک سرویسدهنده به سرویسدهنده دیگر شود، امنیت پیامرسان و میزان اعتماد کابران است.
به گزارش ایسنا، از طرفی در حالی که ممکن است حفرههای امنیتی و امکان درز اطلاعات در پیامرسانهای داخلی وجود داشته باشد، کارشناسان معتقدند پیامرسانهای داخلی باید هرچه میتوانند روی امنیت اطلاعات مردم بیشتر کار کنند، زیرا اطلاعات برای مردم بسیار ارزشمند است و برخی معتقدند بخش خصوصی باید وارد عرصه شود و یک مرجع مستقل، امنیت پیامرسان خصوصی را بررسی کند تا استفاده از آن پیامرسان، توجیهی داشته باشد که مردم از آن استفاده کنند.
در این راستا، مدیر یکی از پیام رسانهای داخلی، در گفتوگو با ایسنا، در پاسخ به اینکه با توجه به دغدغهی کاربران پیامرسانها دربارهی امنیت، برای ایجاد حس امنیت چه اقداماتی در پیامرسانها انجام شده است، گفت: ابتدا باید دو مفهوم امنیت و احساس امنیت را از هم جدا کنیم. امنیت اطلاعات فنی ما توسط شرکتهایی که در حوزهی امنیت اطلاعات کار میکنند و مجوز امنیت اطلاعات صادر میکنند، با انجام یک سری تستهای نفوذ آزمایش شده و این شرکتها امنیت فنی این پیامرسان را تایید کردهاند.
مرتضی رحیمی با بیان اینکه این تست امنیت لزوماً برای تمام پیامرسانها انجام نمیشود، افزود: امنیت اطلاعات کاربران برای ما بسیار مهم و حیاتی و بهاصطلاح یک ارزش هستهای (core value) است. یعنی اگر اطلاعات کاربران ما جایی نشت پیدا کند، کل کار ما زیر سوال میرود. پس این تست امنیت، مستقل از فشارهای رسانهای برای خود ما اهمیت دارد. ما با پرداخت هزینه این تست را برای سروش انجام دادیم. کار زمانبری است و باید بهطور مستمر (در یک بازهی سه تا ششماهه) انجام شود.
او در ادامه درباره احساس امنیت توضیح داد: احساس امنیت یک موضوع روانی است و زمانی ایجاد میشود که ما کار رسانهای درباره امنیت سیستممان انجام داده و شبهات امنیتی که به ما وارد میشود را پاسخ بدهیم. پخش یک شبهه و پاسخ دادن به آن به لحاظ گستردگی انتشار در رسانه، دو مقولهی نامتقارن هستند. یعنی اینکه یک شبهه بهراحتی پخش میشود اما زمانی که به آن پاسخ داده شود، این پاسخ به اندازه خود شبهه، دیده و شنیده نمیشود.
حرف پیامرسانها شنیده نمیشود
رحیمی دربارهی مخاطبانی که به دلیل دغدغهی امنیت اطلاعاتشان، از پیامرسانهای داخلی استفاده نمیکنند، بیان کرد: روی این دسته از کاربران آنقدر عملیات روانی صورت میگیرد که حرفهای ما در این بین ناشنیده میماند. اما از این کاربران دعوت میکنیم که در پیامرسانهای داخلی عضو شوند و کاربری این فضا را تجربه کنند و بعد اگر متوجه شدند اطلاعاتشان به جایی نفوذ کرده، یا گفتوگوهایشان در جایی بررسی و خوانده شده، اعتراض کرده و اعتراضشان را پیگیری کنند.
او همچنین خاطرنشان کرد: کار ما سرک کشیدن به اطلاعات شخصی مردم نیست و هرگز نمیخواهیم این اتفاق بیفتد. تلاشمان بر این است که زیرساختی را برای ارتباط مردم با هم توسعه بدهیم که مردم در آن احساس امنیت کنند. ما هم دغدغهی این را داریم که اطلاعات شخصیمان در یک کانال امن منتقل شود.
وی در پاسخ به اینکه شبههی عضویت بدون اطلاع افراد در این پیامرسان چگونه پاسخ داده شد، اظهار کرد: یک سری شبهات امنیتی به ما وارد شده بود، مواردی نظیر عضو کردن افراد در پیامرسان بدون اطلاع خودشان. ما این شبهه را ماهها پیش پاسخ دادیم. سروش از سال 1394 رونمایی شده بود و عضوگیری داشت. بعضی افراد، مدتها پیش در سروش ثبتنام کرده و این موضوع را فراموش کرده بودند. حتی ما با اجازهی این افراد، به ایشان اطلاع دادیم که شما در فلان تاریخ با فلان مدل گوشی، در سروش ثبت نام کردهاید و آنها تایید کردند.
رحیمی ادامه داد: درباره برخی افراد که ادعا داشتند شمارهشان بدون اطلاع خودشان در سروش ثبت شده، مساله این بود که این افراد، شمارهای را استفاده میکردند که قبلا متعلق به فرد دیگری بوده و مالک قبلی در سروش ثبت نام کرده و بعد سیمکارتش را فروخته یا واگذار کرده و مالک جدید اطلاعی از این موضوع نداشته است. با بررسی دقیق نتیجه گرفتیم که حتی یک مورد عضویت بدون اطلاع فرد در سروش اتفاق نیفتاده است. اما این پاسخها شنیده نشد؛ شاید به این دلیل که کار رسانهای ما برای پاسخگویی به شبهاتی که مطرح شد، کافی نبود.
نگاه اشتباه به حریم خصوصی
وی دربارهی شبهههای امنیتی دیگر از جمله فاش شدن شماره تلفن مدیران کانالها هم اظهار کرد: این شبهه اساسا برخاسته از یک نگاه اشتباه به حریم خصوصی در بحثهای ژورنالیستی بود. پروتکلی که واتساپ بهعنوان یک پیامرسان بینالمللی دارد، این است که هرکس بخواهد با شخصی دیگر ارتباط بگیرد، شماره تلفنش برای گیرندهی پیام نمایش داده میشود و نمایش شمارهی فرستنده، احترام به حریم خصوصی گیرنده است. اما در تلگرام این اتفاق نمیافتد و هنگام گفتوگو، اگر شما شماره تلفن پیامدهنده را نداشته باشید، فقط میتوانید نام کاربری او را ببینید.
او دربارهی نمایش شماره تلفنها در واتساپ توضیح داد: علاوه بر این در واتساپ، اگر شما در یک گروه عضو باشید و شمارهی مدیر و اعضای دیگر گروه را نداشته باشید، این شماره تلفنها در قسمت اطلاعات گروه برای شما قابل رویت است. اما در گروههای تلگرامی، شماره تلفن اعضا و مدیر برای کاربر نمایش داده نمیشود. وقتی یک شماره (مثلا شماره فرستندهی پیام) برای گیرنده پیام مخفی میماند، لزوما به این معنی نیست که حریم خصوصی بیشتر حفظ میشود.
رحیمی ادامه داد: مثلا برای ما خیلی عادی شده که وقتی کسی با ما تماس میگیرد یا پیامک میفرستد، شمارهاش برای ما نمایش داده شود، اما این امکان در گذشته وجود نداشت. در دورهای که امکان نمایش شماره تلفن تماسگیرنده (همان امکان caller ID) وجود نداشت، مزاحمت تلفنی خیلی زیاد بود و اتفاقا پنهان بودن شماره کمکی به حفظ حریم خصوصی نمیکرد.
او در ادامه با بیان اینکه بعد از اضافه شدن امکان ساخت کانال در تلگرام، اشخاص میتوانستند بدون مشخص بودن هویت و شماره تلفنشان، کانال بسازند و افرادی را به کانال اضافه کنند، افزود: این کار بر اساس هیچ کدام از پروتکلها مورد تایید نبود. در حالی که در سروش از ابتدا چنین مبنایی که تلگرام برخلاف اکثر استانداردهای بینالمللی وضع کرده بود، وجود نداشت. هک خاصی هم اتفاق نیفتاده بود.
مدیر محصول پیامرسان سروش ادامه داد: با نصب یک نرمافزار ساده دارای امکان packet capture برروی موبایل و چک کردن packet محتوای یک پیام کانالی، محتواهای رمزنشدهای که در بستهها وجود داشت، از جمله شماره مدیر کانال، مشخص میشد زیرا ما بر اساس پروتکلمان اصلا نمیخواستیم شمارهی کانالدارها جزو بخش رمزگذاریشدهی پیام باشد. همین اختلاف پروتکلی با تلگرام، این شبهه را به وجود آورد که هک اتفاق افتاده و شمارهی کانالدارها، لو رفته است.
رحیمی همچنین خاطرنشان کرد: این مساله مختص سروش نیست و در اپلیکیشنهای دیگر هم امکان بررسی بستهی محتوایی وجود دارد. حتی میشود محتوای ایمیلهای دریافتی از طریق اپلیکیشن جیمیل را هم از طریق همین نرمافزارهای packet capture بازیابی کرد و این اطلاعات جزو حریم خصوصی این اپلیکیشن محسوب نمیشود. بعد که ما دیدیم این شبهه خیلی فراگیر شده و کار رسانهای شاید نتواند این قضیه را در آن زمان جا بیندازد، ما هم پروتکلمان را تغییر دادیم که کار بسیار بزرگ و سختی بود؛ چون محتوای حدود ۴۰۰ میلیون پیام باید اصلاح میشد.
وی در پایان توضیح داد: برای حل این مساله، یک پروژهی دو ماهه تعریف شد که در ۲۰ فروردینماه امسال به نتیجه رسید و شماره تلفن مدیران کانال هم رمزگذاری شد و از آن به بعد، استخراج شمارهی کانالدارها امکانپذیر نیست. ما همان موقع به این شبهات جواب دادیم اما چون جوابها به اندازهی خود شبهات دیده نشد، شبههها هنوز در اذهان پررنگ هستند. بنابراین فردی که تحت تاثیر این شبههها قرار گرفته، احساس امنیت را تجربه نمیکند، مگر اینکه خودش از پیامرسان داخلی استفاده کند و با تجربهی کاربری این پیامرسان، این احساس امنیت را لمس کند.