وارد کردن فایل اطلاعات درز کرده تلگرام ایرانی ها به الاستیک سرچ

در چند روز گذشته خبر درز و فروش اطلاعات حدود 42 میلیون کاربر ایرانی تلگرام در اینترنت به قیمت 500 دلار بمب خبری فضای مجازی بوده ، بصورت خلاصه قضیه از این قرار است که ظاهراً تلگرام های غیررسمی اطلاعات شماره موبایل ، نام کاربری ، مشخصات کاربری و ... کاربر خود و کانتکت لیست وی را ذخیره می کرده اند و در سامانه ای با نام شکار که به الاستیک سرچی وصل بوده این اطلاعات قابل query گرفتن بوده و مثلاً می شد با داشتن username تلگرام ، شماره موبایل را بدست آورد.

و متاسفانه الاستیک سرچ این سامانه بدون اعتبارسنجی روی اینترنت سرویس می داده! و هک شده و قضیه در تصویر واضح است. الاستیک سرچ بصورت پیش فرض به loopback بایند است ، اینکه چرا این الاستیک سرچ بدون اعتبارسنجی درستی روی اینترنت در دسترس بوده معلوم نیست :

اطلاعات بیشتر را اینجا و اینجا و اینجا ببینید.

با توجه به اینکه از مزایای تلگرام محرمانگی شماره موبایل کاربر برای عموم بوده اینکه براساس username بتوان شماره موبایل را بدست آورد هزار مدل خطر از جمله نقض جدی حریم خصوصی را بوجود می آورد.

برخی هم شایعه می کنند مثلاً فلان گروه و پیام رسان که خیلی سرمایه گذاری و تبلیغ کرده اینکار را برای جدا کردن مردم از تلگرام انجام داده و ... ، الله اعلم.

ما هم خدا شاهده محض کنجکاوی و تحقیقات و تمرین گفتیم این فایل را دانلود کنیم در الاستیک سرچ بریزیم ببینیم چیه.

من از الاستیک سرچ 6.8 استفاده کردم ، برای راحت ترین و سریعترین راه که مثلاً بعداً هم بتوانم در بخش filter لاگ استش کارهایی بکنم ، خط اول که مربوط به تنظیمات است را کلاً پاک کردم ، نام ایندکس مد نظر را با فرمت Bulk API به همه سایر خطوط اضافه کردم و فایل را بصورت tdb.json برای ارسال به الاستیک سرچ بوسیله curl و logstash آماده کردم.

قبل از هرچیزی برای استفاده از curl باید http.max_content_length را در فایل elasticsearch.yml خود به اندازه متناسب با فایلی که دارید تنظیم کنید.

برای استفاده از curl :

curl -H 'Content-Type: application/json' -XPOST 'localhost:9200/tdbcurled/_bulk?pretty' --data-binary @tdb.json

برای استفاده از logstash (بدون filter) :

/usr/share/logstash/bin/logstash -f /etc/logstash/conf.d/tdb.conf --debug

input {
file {
codec => json
path => [&quot/etc/logstash/tdb.json&quot]
start_position => &quotbeginning&quot
sincedb_path => &quot/dev/null&quot
}
}
output {
elasticsearch {
hosts => [&quotlocalhost:9200&quot]
index => &quottdblogstashed&quot
}
}

از --debug استفاده کنید که ببینید چه اتفاقی می افته.

در نهایت در kibana کافیست Index Pattern را براساس Index اضافه شده بسازید و در discover اطلاعات را ببینید و بیابید.

در نهایت هم پس از تمرین همه چیز را از بیخ پاک کردم که ناخواسته نگه داری یا استفاده از اطلاعاتی که قانوناً محرمانه و شخصی هستند از جانب من صورت نگیرد.