نت ملی و مشکل امنیتی مردم

این پست رو کوتاه مینویسم و قصد ندارم روش کار رو اینجا توضیح بدم (به خاطر حفظ حریم شخصی)

قسمت صفر: موضوع پست چی هست؟

قطعی نت بین المللی باعث شده توی اغلب جاها کاربر ها مجبور باشن برای ارسال فایل ها رو بیارن به آپلودر های موجود (سایتی که فایلت رو توش آپلود میکنی و حالا یا به طرف لینک میفرستی دانلود کنه یا کلا میخوای فایل هات رو جایی نگه داری که حذف نشن)

من توی این دوران که کار خاصی نمیشد کرد سرم رو با این موضوعات گرم میکردم و مشکل امنیتی توی دو تا آپلودر معروف uploadb.com و uploadkon.ir که احتمالا استفاده کردین ازش رو پیدا کردم و خب گفتم اینجا در موردش بگم که دفعه بعد با دقت از این آپلودر ها استفاده کنید تا امنیت فایل هاتون به خطر نیوفته

قسمت یک: خب چی شد؟

یک مشکل امنیتی (تکرار میکنم قرار نیست با جزئیات توضیح بدم و بعدش به مشکل بر بخوریم) مشترک توی این دو سایت وجود داره که با اون میشد به تمامی فایل های کاربرایی که تا به این لحظه توی هاست های اینها آپلود کردن دسترسی پیدا کنید. بعد از چند روز وقت گذاشتن و جمع کردن اطلاعات از این دو سایت به چیز های عجیب و نگران کننده ای برخوردم که دلیلش شد نوشتن این پست و آگاه سازی

خب اول از همه چرا باید از این آپلودر ها استفاده کنیم؟ متاسفانه نت ملی و محدودیت های شبکه های اجتماعی (مثلا بله محدودیت حجم فایل و فیلم و ...) رو داره و کاربر مجبوره به شکلی فایل خودش رو برای مخاطبش ارسال کنه و مجبوره یه بستری این فایل رو بزاره و مخاطب اون رو ازش برداره. همین بستر در حال حاظر این آپلودر ها هستن

قبل قطعی اینترنت وقتی فیلم خانوادگیت رو میخواستی به بابات یا فامیلت بفرستی فقط اون مخاطب میتونست فیلم رو ببینه و کس دیگه ای این وسط نمیتونست اون رو ببینه و این خب امنیت فایل رو به خطر نمینداخت. ولی الان چون همچین آپشنی وجود نداره مجبوری یک واسطی این وسط داشته باشی که فایل رو اون بیاره ببره

حالا اینجا تو و واسط و مخاطبت فقط به فایل دسترسی دارین. شما و مخاطبتون سخته کسی بهش دسترسی پیدا کنه (مثلا بیاد از توی گالریت فایل رو برداره یا از توی گوشی) ولی همین کار رو میشه با واسط کرد. یعنی اگه یه مشکل امنیتی توی واسط پیدا کنی میتونی به فایل دسترسی پیدا کنی. الان فرقی نداره اون فایل از توی گوشی شما برداشته شده یا از توی واسطی که فایل رو بهش دادین. بلاخره به اون فایل دسترسی دارن و میتونن خیلی کارا بکنن

قسمت دوم: سایت آپلود کن رو چک کنیم

بعد از اینکه تمامی فایل هارو از توی هاستشون اسکن کردم چون محدودیت حجم (سیستم در اون حد فضا ندارم که همه فایل هارو دانلود کنم یا اصلا اون حجم نت گرون تموم میشه) برای همین به جای لوکال کار کردن روی سرور و هاست دانلود کد رو اجرا کردم که هزینه اضافی ندم و بعدش صرفا فایل هایی که میخوام رو دانلود کنم

دیتابیسی از فایل ها جمع آوری کردم که گزارش خلاصه اش به صورت زیر هست:

تعداد کل کاربرایی که از این سایت استفاده میکنند 23659 نفر هست که جمعا 156967 فایل آپلود کردن. توی این فایل ها اغلب فیلم و داکیومنت (فایل زیپ، pdf و ...) و بیش از 58 هزار عکس موجود هست.

از طرفی دیگه کنجکاو بودم کدوم کاربر ها بیشترین فایل آپلود کردن و کلا فایل ها چه نوعی هستند. برای همین:

بیشترین ها عکس، pdf، فیلم و زیپ و ... بودند. طبق انتظاری که داشتیم پیش رفته بود

و این کاربر ها بیشترین فایل رو آپلود کرده بودن. حالا من صرفا خواستم عکس هارو چک کنم ببینم اغلب چه چیز هایی آپلود شده که اصل قضیه از اینجا شروع میشه متاسفانه. بیش از 58 هزار عکس که حدود 66 گیگ حجم داشته رو به صورت لوکال دانلود کردم و اونهارو به صورت اجمالی نگاه کردم و فایل های حساس رو فیلتر کردم.

قسمت سوم: کلیات برنامه و کدی که زدم چی بود

خب برای اینکه بتونم فایل هارو از هاست دربیارم نیازه که برنامه ای بنویسم و اجراش کنم. اوایل چون صرفا تستی جلو میرفتم خیلی مهم نبود ابعاد ولی بعدا که حجم فایل ها سنگین میشه نیاز بود چند تا ترفند بزنم. در ادامه سه ورژن از برنامه که کار جمع آوری فایل ها و نمایش اونهارو داره ویدیوش رو گذاشتم.

الان نیاز بود یا به صورت دستی فایل هارو از فایل منیجر باز کنم و ببینم یا اینکه وقت بزارم و یه برنامه کوچیک برای نمایش دادن اونها درست کنم. خروجی اولیه به صورت زیر شد:

بعدا نیاز شد که به صورت استریم و موازی کار هارو جلو ببرم یعنی اینکه صبر نکنم کل فایل هارو دربیارم بعد نمایش بدم. بلکه قسمت به قسمت بیام این کار رو انجام بدم:

به این صورت فیلتر کردن عکس ها و کلی کار های دیگه برام آسون تر شد

قسمت چهارم: سوپرایز شدم؟

من تمامی عکس هارو چک نکردم ولی توی نگاه اول حدود 8 هزار تا عکس پیدا کردم که عکس از کارت ملی پشت رو، تمامی صفحات شناسنامه، گواهینامه، کارت ماشین، کارت بانکی، نوشته احراز هویت، اسکرین شات ها از صفحات حساس (مثل اطلاعات پرسونلی که نمونه اش رو پایین میزارم (جاهای حساس رو سیاه میکنم که مشکلی پیش نیاد) و کلی چیزای دیگه) از فیلم عروسی و کلی عکس خانواده، عکس های شخصی و فایل های مبتذل، سند ازدواج و خونه، اسکرین شات چت ها و خیلی چیزای دیگه:

و به طور مثال از گواهینامه و کارت ملی و شناسنامه بگیر کلی عکس موجود هست اونم اکثرا پشت و رو و تمامی صفحات شناسنامه. این اسناد نباید همینجوری راحت در دسترس باشه (عکس کیفیت پایینه برای حفظ حریم شخصی)

قسمت پنجم: چیکار کنیم مشکلی پیش نیاد؟

متاسفانه مردم خیلی راحت اطلاعات حساسشون رو راحت اینور اونور نگه میدارن و این خیلی بده. قبل قطعی نت همچین مشکلاتی هم وجود داشت ولی خیلی کمتر بود. توصیه هایی که دارم اینه تا جایی که ممکنه فایل های حساس رو آپلود نکنید یا اگه مجبورید بعد از اینکه مخاطبتون دانلود کرد، فایل رو از هاست حذف کنید (البته متاسفانه بستگی به نحوه کار سایت هم هست که میتونه بک آپ نگه داره)

بهترین کار ممکن اینه هر فایلی که میخواین آپلود کنید رو زیپ کنید و رمز روش بزارید و صرفا اون رمز و لینک دانلود رو به مخاطب بدین. با این کار حتی واسط خودش هم نمیتونه فایل رو باز کنه و امینت برقرار هست