هک دسته جمعی گروهی از اعضای یک موسسه خیریه در ایران

موسسه خیریه جمعیت امام علی می‌گوید حساب‌های کاربری مختلف گروهی از اعضایش به صورت "سازماندهی شده" هک شده است موسسه خیریه امام علی، سازمانی غیر انتفاعی که برای کمک به زنان و کودکان آسیب‌پذیر در ایران کار می‌کند، اعلام کرده است که حساب‌های کاربری مختلف گروهی از اعضایش "به صورت سازماندهی شده" هک شده است.
 
به گفته این موسسه، حساب‌های هک شده شامل جی‌میل، فیس‌بوک، توئیتر و لینکدین و تلگرام بوده است. همه کسانی که حساب‌هایشان هک شده از خدمات "ورود دو مرحله‌ای" استفاده می‌کرده‌اند.
 
این خدمات که برای بالابردن امنیت حساب‌های کاربری ارائه می‌شود، برای ورود علاوه بر رمز عبور، یک رمز را (معمولا به صورت یک کد چند رقمی) به شماره موبایل کاربر پیامک (اس ام اس) می‌ کند که به عنوان رمز احراز هویت هم شناخته می‌شود. این لایه امنیتی اضافی برای جلوگیری از نفوذ هکرها به حساب‌های کاربری در صورت دست یافتن آنان به رمز عبور است.
بعضی از اعضای جمعیت امام علی گفته‌اند که حساب‌های تلگرامشان هم با وجود آنکه از عبور دو مرحله‌ای استفاده می‌کردند، هک شده است. اعضای جمعیت امام علی که هک شده‌اند می‌گویند در فاصله ساعت شش تا هفت و نیم صبح چندین پیامک (اس ام اس) احراز هویت برای حساب‌های مختلفشان دریافت کرده‌اند، و بعد از آن ظاهرا فرد یا افرادی وارد حساب‌های کاربریشان شده و رمزهایشان را تغییر داده‌اند. از آنجا که کد‌های احراز هویت، به صورت پیامک به موبایل اعضا ارسال شده است، جمعیت امام علی در حساب توئیتر خود، این فرض را مطرح کرده است که مهاجمان، احتمالا به "پیامک‌های اعضایش دسترسی" داشته‌اند. پای مخابرات در میان است؟
در ساعت‌های اخیر گروهی از کاربران شبکه‌های اجتماعی، موجی از اتهام علیه مخابرات ایران مطرح کرده‌اند. این کاربران می‌گویند "مخابرات مستقل نیست" و "پیامک‌های اعضای هک شده را شنود کرده است".
 
مسئولان مخابرات ایران تاکنون به این اتهام پاسخی نداده‌اند.
 
امیر رشیدی، پژوهشگر دسترسی به اینترنت در کمپین بین‌المللی حقوق بشر در ایران، اعتقاد دارد پیامک‌های اعضای جمعیت امام علی "شنود" شده است: "این اولین بار نیست، و مخابرات ایران در سه سال گذشته بارها پیامک‌ها را برای دست یافتن به رمز احراز هویت شنود کرده است، حتی تلگرام به همین دلیل و با فشار ما، قبول کرد رمز دوم را به ایمیل بفرستد، اما کاربران از پیامک برای احراز هویت جی‌میل خود استفاده می‌کنند که باعث می‌شود از راه جی‌میل حساب تلگرام هم هک شود." بی‌بی‌سی، نمی‌تواند به صورت مستقل ارتباط حمله به حساب‌های کاربری گروهی از اعضای جمعیت امام علی را با مخابرات ایران تایید یا بررسی کند.
 
همچنین در حال حاضر امکان بررسی اینکه آیا مسیر دیگری برای دسترسی هکرها به پیامک‌های اعضای این موسسه وجود داشته است، وجود ندارد. اما امکان آلوده کردن گوشی‌های هوشمند و دسترسی به پیامک‌ها بدون استفاده از زیرساخت‌های مخابرات هم وجود دارد. همچنین این امکان هم می‌تواند در نظر گرفته شود که دسترسی به پیامک‌ها بدون اجازه مخابرات انجام شده باشد.
 
با این حال امیر رشیدی اعتقاد دارد که به دلیل "هماهنگ بودن حمله، امکان دسترسی هکرها به پیامک‌ها محتمل تر است."
گوگل یکی از پیشگامان عبور دو مرحله‌ای است که رمز دوم را یا از طریق پیامک به کاربر ارسال می‌کند، یا انکه با استفاده از اپلیکیشن احراز هویت. گزینه کلید امنیتی و کدهای از قبل ایجاد شده هم دو گزینه دیگر هستند.  با این حال بعضی از فعالان امنیت اینترنت، پیش از این به احتمال دسترسی "بعضی از نهادهای امنیتی" به پیامک‌های کاربران و یافتن رمزهای عبور دو مرحله‌ای هشدار داده بودند.
 
امین ثابتی، یکی دیگر از فعالان امنیت اینترنت، هم مخابرات را مسئول می‌داند.
فعالان امنیت اینترنت پیشنهاد کرده‌اند که برای جلوگیری از به گفته آنان "شنود" پیامک‌ها، بجای استفاده از پیامک از اپلیکیشن هایی که برای سرویس‌های مختلف کدهای رمز احراز هویت اختصاصی می‌سازد استفاده .شود.
 
برای نمونه گوگل یک اپلیکیشن تایید هویت Google Authenticator برای عبور دو مرحله‌ای ارائه کرده که نیازی به استفاده از خدمات مخابرات برای دریافت رمز تایید هویت نیست و تایید در موبایل کاربر انجام می‌شود.