اطلاعات ۳۱ میلیون کاربر اپلیکیشن‌ کیبورد مجازی AI.type لو رفت

پس از اینکه توسعه‌دهنده اپلیکیشن‌ کیبورد مجازی بسیار محبوب AI.type، امنیت سرور پایگاه داده برنامه خود را متوقف کرد، اطلاعات شخصی حدود ۳۱ میلیون کاربر به سرقت رفت. سروری که اطلاعات کاربرانش به سرقت رفته، متعلق به ایتان فیتوسی، یکی از پایه‌گذاران AI.type است که یک کیبورد مجازی قابل تنظیم و شخصی‌سازی با بیش از ۴۰ میلیون کاربر از سراسر جهان را در اختیار قرار می‌دهد.

متأسفانه هیچ‌گونه رمز عبوری روی سرور فوق تنظیم نشده بود؛ ازاین‌رو هر شخصی به پایگاه داده سوابق کاربران که حاوی بیش از ۵۷۷ گیگابایت اطلاعات محرمانه بود، اجازه دسترسی داشت. به نظر می‌رسد که این پایگاه داده تنها سوابق مربوط به کاربران دستگاه‌های اندروید را شامل می‌شد.

طبق گزارش‌ها، محققان امنیتی واقع در مرکز امنیت کروم تک (Kromtech) به‌سرعت متوجه این مشکل شدند. آن‌ها موفق شدند این داده‌ها را پس از برقراری چند تماس ناموفق با فیتوسی، بازگردانند. در حال حاضر سرور امنیت خود را دوباره به دست آورده؛ اما تاکنون فیتوسی در این باره صحبتی به میان نیاورده است.

در هر رکورد، اطلاعات محرمانه مهمی به چشم می‌خورد که از جمله آن‌ها می‌توان به نام کامل کاربر، آدرس ایمیل و تعداد روزهای عضویت در برنامه مذکور، اشاره کرد. همچنین مکان دقیق کاربر یعنی کشور و شهر اقامت او نیز در هر یک از رکوردها ثبت شده بود. اما موضوع بدتر اینکه رکوردها، اطلاعات بسیار دقیق‌تری را تحت پوشش قرار می‌دادند.

این اپلیکیشن یک نسخه رایگان نیز دارد که نسبت به نسخه پولی، اطلاعات بیش‌تری از سیاست حفظ حریم خصوصی کاربران را دریافت می‌کرد. اطلاعات کامل‌تر شامل اعداد IMSI و IMEI دستگاه‌، مدل دستگاه، کیفیت صفحه نمایش و نسخه سیستم عامل اندروید هر دستگاه بود. خیل عظیمی از رکوردها را اطلاعات مربوط به شماره تماس کاربران، آدرس آی‌پی و نام ارائه‌دهنده اینترنت کاربران در صورت اتصال به وای‌فای، تشکیل می‌دهد. برخی دیگر از رکوردها نیز جزئیات خاصی از حساب کاربری گوگل نظیر آدرس ایمیل، تاریخ تولد، جنسیت و تصاویر پروفایل را شامل می‌شوند.

علاوه بر این، چندین جدول از اطلاعات دفترچه تلفن یک کاربر یافت شد. در یک جدول، ۱۰.۷ میلیون آدرس ایمیل و در جدولی دیگر، ۶.۳۷۴ میلیون شماره تلفن به ثبت رسیده بود. هنوز علت آن‌که چرا این اپلیکیشن آدرس ایمیل و شماره تماس افراد را در گوشی‌های سایر کاربران بارگذاری کرده است، مشخص نیست. دراین‌بین چندین جدول متشکل از لیست اپلیکیشن‌های نصب‌شده روی تلفن همراه همانند اپلیکیشن بانک و دوست‌یابی نیز به چشم می‌خورد.

البته این موضوع برای کیبوردهای مجازی چندان دور از تصور نیست که به سطح گسترده‌ای از مجوزهای دستگاه‌های اندروید دسترسی داشته باشند. سیستم عامل اندروید این اخطار را به کاربران خود می‌دهد که کیبورد مجازی ممکن است قادر به ثبت کلیه متون تایپی شما اعم از گذرواژه‌ها و شماره کارت‌های اعتباری باشد.

AI.Type نیز با دسترسی به داده‌های اطلاعاتی همچون پیام‌ها، تصاویر و ویدئوهای ذخیره‌شده در حافظه دستگاه‌، ضبط صدا و دسترسی کامل به شبکه، در زمره برنامه‌های سودجو قرار می‌گیرد. از طرفی AI.type در وب‌سایت تخصصی خود ذکر کرده بود که «حریم خصوصی کاربر نگرانی اصلی ما است.» همچنین اظهار داشت متونی که با استفاده از صفحه کلید مجازی تایپ شوند، به‌صورت «رمزگذاری شده و خصوصی» باقی می‌مانند.

اما حقیقت آن است که پایگاه داده هیچ‌گاه رمزگذاری نشد. همچنین شواهدی به دست آمده که تأیید می‌کند متون واردشده روی صفحه کلید مجازی، مستقیما توسط شرکت سازنده ذخیره می‌شوند. البته این ادعا هنوز به اثبات نرسیده است.

همچنین این شرکت ادعا می‌کند: «ما هرگز اطلاعات شما را به اشتراک نخواهیم گذاشت و هیچ‌وقت فیلدهای مربوط به رمز عبور شما را به خاطر نخواهیم سپرد.» درصورتی‌که اخیرا جدولی متشکل از ۸.۶ میلیون نوشته، شامل اطلاعات خصوصی و محرمانه نظیر شماره تلفن‌ها، واژه‌های جستجو شده، آدرس ایمیل و کلمه عبور  مشاهده شده است.

باب دیاچنکو، رئیس ارتباطات مرکز امنیت کروم تک در خصوص استفاده از اپلیکیشن‌های رایگان هشدار داد. دیاچنکو در این باره به خبرگزاری ZDNet گفت:

اگر افرادی که نسبت به دانلود و نصب صفحه کلید مجازی AI.type اقدام کرده‌اند، کلیه اطلاعات مربوط به گوشی هوشمندشان به سرقت برود، امری منطقی به‌حساب می‌آید؛ زیرا انجام این عمل یک خطر واقعی در مقابل مجرمان اینترنتی محسوب می‌شود که به‌راحتی می‌توانند از این طریق به کلاهبرداری بپردازند.

وی خاطرنشان کرد:

بار دیگر این سؤال پیش می‌آید که اگر واقعا به کاربران این امکان داده شود تا اطلاعات خود را در مقابل محصولات یا خدمات رایگان یا تخفیف‌هایی که دسترسی کامل به برنامه را میسر می‌سازند، وارد کنند، عکس‌العمل آن‌ها چگونه خواهد بود؟

واضح است که داده‌ها از ارزش بالایی برخوردارند و هر شخص بنا به دلایل مختلف تمایل دارد به آن دسترسی داشته باشد. برخی افراد تمایل دارند داده‌هایی را که طی سال‌ها جمع‌آوری کرده‌اند، به فروش برسانند. برخی دیگر از آن برای بازاریابی هدفمند و هوش مصنوعی استفاده می‌کنند و دراین‌بین مجرمان اینترنتی هستند که در سعی و تلاش‌اند تا با استفاده از این‌گونه روش‌های خلاقانه، به درآمد بیش‌تری دست پیدا کنند.