آمازون همچنان میزبان داده‌های قربانیان استاکروئر، هفته‌ها پس از هشدار نفوذ!

در دنیای فناوری امروز، امنیت اطلاعات و حریم خصوصی کاربران از اهمیت ویژه‌ای برخوردار است. اما متاسفانه، برخی اپلیکیشن‌های نظارتی به جمع‌آوری و ذخیره‌سازی داده‌های خصوصی کاربران ادامه می‌دهند. در این مقاله به بررسی وضعیت سه اپلیکیشن نظارتی می‌پردازیم که اطلاعات شخصی کاربران را بر روی سرورهای ابری آمازون ذخیره می‌کنند.

آمازون از اعلام تصمیم خود برای اقدام علیه سه اپلیکیشن نظارتی که مقادیر زیادی از اطلاعات شخصی کاربران را بر روی سرورهای ابری خود ذخیره می‌کنند، خودداری کرده است. این در حالی است که TechCrunch هفته‌ها پیش به آمازون اطلاع داده بود که این اطلاعات بر روی سرورهایش میزبانی می‌شوند.

آمازون به TechCrunch گفته است که “در حال دنبال کردن [فرایند خود]” است. اما تا زمان انتشار این مقاله، عملیات‌های نظارتی Cocospy، Spyic و Spyzie همچنان به بارگذاری و ذخیره‌سازی عکس‌های استخراج‌شده از تلفن‌های مردم بر روی خدمات وب آمازون ادامه می‌دهند.

Cocospy، Spyic و Spyzie سه اپلیکیشن اندروید تقریباً مشابه هستند که دارای کد منبع یکسان و یک اشکال امنیتی مشترک می‌باشند. یک محقق امنیتی که این مشکل را کشف کرده است، به TechCrunch جزئیاتی ارائه داده است. این محقق اظهار داشت که عملیات‌های یادشده، اطلاعات تلفن تقریباً ۳.۱ میلیون نفر را افشا کرده‌اند، که بسیاری از آن‌ها قربانیانی هستند که از نفوذ به دستگاه‌های خود بی‌خبرند. این محقق همچنین اطلاعات را به وب‌سایت اطلاع‌رسانی نقص‌ها، Have I Been Pwned، ارسال کرده است.

در بخشی از تحقیقات ما درباره عملیات‌های نظارتی، TechCrunch متوجه شد که برخی از محتوای دستگاه‌های آسیب‌دیده توسط این اپلیکیشن‌های نظارتی به سرورهای ذخیره‌سازی خدمات وب آمازون بارگذاری می‌شود.

TechCrunch در تاریخ ۲۰ فوریه به آمازون از طریق ایمیل اطلاع داد که داده‌های استخراج‌شده توسط Cocospy و Spyic را میزبانی می‌کند و دوباره در اوایل این هفته زمانی که به آمازون اطلاع داد که همچنین داده‌های سرقت‌شده از Spyzie را نیز میزبانی می‌کند، پیگیری کرد.

در هر دو ایمیل، TechCrunch نام هر سطل ذخیره‌سازی خاص آمازون که حاوی داده‌های گرفته‌شده از تلفن قربانیان بود را شامل کرد.

در پاسخ، سخنگوی آمازون، رایان والش، به TechCrunch گفت: “AWS شرایط روشنی دارد که از مشتریان خود می‌خواهد خدمات ما را در مطابقت با قوانین معتبر استفاده کنند. هنگامی که گزارش‌هایی از نقض‌های احتمالی شرایط ما دریافت می‌کنیم، سریعاً اقدام می‌کنیم تا محتوای ممنوعه را بررسی و غیرفعال کنیم.” والش یک لینک به صفحه وب آمازون که فرم گزارش نقض را میزبانی می‌کند ارائه داد، اما در مورد وضعیت سرورهای آمازون که توسط این اپلیکیشن‌ها استفاده می‌شود، نظری نداد.

در یک ایمیل پیگیری این هفته، TechCrunch به ایمیل ارائه شده در تاریخ ۲۰ فوریه که شامل نام سطل‌های ذخیره‌سازی میزبانی شده توسط آمازون بود، اشاره کرد.

در پاسخ، والش از TechCrunch برای “جلب توجه ما به این موضوع” تشکر کرد و لینک دیگری به فرم گزارش نقض آمازون ارائه داد. هنگامی که دوباره از او پرسیده شد که آیا آمازون قصد دارد علیه این سطل‌ها اقدام کند، والش پاسخ داد: “ما هنوز گزارشی از نقض از TechCrunch از طریق لینکی که قبلاً ارائه دادیم، دریافت نکرده‌ایم.”

READ تغییرات در رشد فک با مصرف غذاهای فوق‌فرآوری شده مرتبط است، کارشناسان هشدار می‌دهند!

سخنگوی آمازون، کیسی مک‌گی، که در زنجیره ایمیل کپی شده بود، ادعا کرد که “غلط خواهد بود که TechCrunch محتوای این زنجیره را به عنوان یک [sic] گزارش از هر نوع نقض احتمالی توصیف کند.”

خدمات وب آمازون، که علاقه تجاری به حفظ مشتریان پرداخت‌کننده دارد، در سال ۲۰۲۴ به سود خالص ۳۹.۸ میلیارد دلار دست یافت که نمایانگر سهم عمده‌ای از کل درآمد سالانه آمازون است.

سطل‌های ذخیره‌سازی مورد استفاده توسط Cocospy، Spyic و Spyzie تا زمان انتشار این مقاله هنوز فعال هستند.

چرا این موضوع اهمیت دارد

سیاست‌نامه استفاده قابل قبول آمازون به‌طور گسترده مشخص می‌کند که شرکت چه چیزی را به مشتریان خود اجازه می‌دهد تا بر روی پلتفرم خود میزبانی کنند. آمازون به نظر نمی‌رسد که عدم اجازه به عملیات‌های جاسوسی و نظارتی برای بارگذاری داده‌ها بر روی پلتفرمش را رد کند. در عوض، به نظر می‌رسد که اختلاف آمازون به طور کامل رویه‌ای است.

این وظیفه یک خبرنگار — یا هر شخص دیگری — نیست که نظارت کند که چه چیزی بر روی پلتفرم آمازون یا پلتفرم ابری هر شرکت دیگری میزبانی می‌شود.

آمازون منابع عظیمی، هم از نظر مالی و هم از لحاظ تکنولوژیکی، دارد تا از سیاست‌های خود اطمینان حاصل کند و از سوءاستفاده بدکاران جلوگیری کند.

در نهایت، TechCrunch به آمازون اطلاع داده است، از جمله اطلاعاتی که به‌طور مستقیم به مکان‌های انبوه داده‌های خصوصی سرقت‌شده اشاره دارد. آمازون تصمیم گرفت که به اطلاعات دریافتی خود عمل نکند.

چگونه اطلاعات قربانیان را که بر روی آمازون میزبانی می‌شود پیدا کردیم

زمانی که TechCrunch از یک نقص داده مربوط به نظارت مطلع می‌شود — در سال‌های اخیر، ده‌ها هک و نشت جاسوسی وجود داشته است — ما تحقیقات انجام می‌دهیم تا در مورد عملیات‌ها به اندازه کافی اطلاعات کسب کنیم.

تحقیقات ما می‌تواند به شناسایی قربانیانی که تلفن‌هایشان هک شده است کمک کند، اما همچنین می‌تواند هویت‌های واقعی غالباً پنهان اپراتورهای نظارتی را نیز افشا کند و همچنین پلتفرم‌هایی که برای تسهیل نظارت یا میزبانی داده‌های سرقت‌شده قربانیان استفاده می‌شود را نشان دهد. TechCrunch همچنین اپلیکیشن‌ها را (در صورت موجود بودن) تجزیه و تحلیل خواهد کرد تا به قربانیان کمک کند تا نحوه شناسایی و حذف اپلیکیشن‌ها را تعیین کنند.

به عنوان بخشی از روند گزارش‌گری ما، TechCrunch به هر شرکتی که شناسایی کرده‌ایم که میزبانی یا پشتیبانی از عملیات‌های جاسوسی و نظارتی را انجام می‌دهد، نزدیک می‌شود، که این یک رویه معمول برای خبرنگارانی است که قصد دارند شرکتی را در یک داستان ذکر کنند. همچنین غیرمعمول نیست که شرکت‌هایی مانند میزبان‌های وب و پردازش‌کنندگان پرداخت، حساب‌ها را معلق کرده یا داده‌هایی که قوانین خدمات خود را نقض می‌کنند، حذف کنند، از جمله عملیات‌های جاسوسی قبلی که بر روی آمازون میزبانی شده‌اند.

READ چگونه بفهمیم که حساب‌های آنلاین ما هک شده‌اند؟

در فوریه، TechCrunch متوجه شد که Cocospy و Spyic هک شده‌اند و ما تصمیم به تحقیق بیشتر گرفتیم.

از آنجا که داده‌ها نشان می‌دهند که بیشتر قربانیان مالک دستگاه‌های اندرویدی هستند، TechCrunch ابتدا اقدام به شناسایی، دانلود و نصب اپلیکیشن‌های Cocospy و Spyic بر روی یک دستگاه مجازی اندروید کرد. (یک دستگاه مجازی به ما این امکان را می‌دهد که اپلیکیشن‌های نظارتی را در یک محیط محافظت‌شده اجرا کنیم بدون اینکه به هیچ یک از اپلیکیشن‌ها داده‌های واقعی، مانند موقعیت ما، بدهیم.) هر دو اپلیکیشن Cocospy و Spyic به صورت اپلیکیشن‌های نامشخص و شبیه به هم با نام “System Service” ظاهر می‌شوند که سعی در فرار از شناسایی دارند.

ما از یک ابزار تجزیه و تحلیل ترافیک شبکه برای بازرسی داده‌های ورودی و خروجی اپلیکیشن‌ها استفاده کردیم، که می‌تواند به درک نحوه عملکرد هر اپلیکیشن و تعیین این که چه داده‌های تلفنی به صورت مخفیانه از دستگاه آزمایشی ما بارگذاری می‌شود، کمک کند.

ترافیک وب نشان داد که دو اپلیکیشن نظارتی، برخی از داده‌های قربانیان مانند عکس‌ها را به سطل‌های ذخیره‌سازی خود که بر روی خدمات وب آمازون میزبانی می‌شوند بارگذاری می‌کنند.

ما این موضوع را بیشتر تأیید کردیم با ورود به داشبوردهای کاربری Cocospy و Spyic، که به افرادی که اپلیکیشن‌های نظارتی را نصب می‌کنند اجازه می‌دهد تا داده‌های سرقت‌شده هدف‌ها را مشاهده کنند. داشبوردهای وب به ما اجازه دادند تا به محتوای گالری عکس‌های دستگاه مجازی اندروید خود دسترسی پیدا کنیم، زمانی که ما به طور عمدی دستگاه مجازی خود را با اپلیکیشن‌های نظارتی تقلبی کردیم.

هنگامی که ما محتوای گالری عکس‌های دستگاه خود را از داشبورد وب هر اپلیکیشن باز کردیم، تصاویر از آدرس‌های وب حاوی نام سطل‌های مربوطه که بر روی دامنه amazonaws.com میزبانی می‌شود، بارگذاری شدند.

پس از اخبار بعدی درباره نقص داده‌های Spyzie، TechCrunch همچنین اپلیکیشن اندروید Spyzie را با استفاده از ابزار تجزیه و تحلیل شبکه بررسی کرد و متوجه شد که داده‌های ترافیک مشابه Cocospy و Spyic است. اپلیکیشن Spyzie به طور مشابه داده‌های دستگاه قربانیان را به سطل ذخیره‌سازی خود که بر روی ابر آمازون قرار دارد بارگذاری می‌کند، که ما به آمازون اطلاع دادیم.

اگر شما یا کسی که می‌شناسید به کمک نیاز دارد، خط ملی خشونت خانگی (۱-۸۰۰-۷۹۹-۷۲۳۳) حمایت رایگان، محرمانه و ۲۴ ساعته را برای قربانیان سوءاستفاده و خشونت ارائه می‌دهد. اگر در وضعیت اضطراری هستید، با شماره ۹۱۱ تماس بگیرید. ائتلاف علیه جاسوس‌افزارها منابعی دارد اگر فکر می‌کنید تلفن شما توسط نرم‌افزار جاسوسی به خطر افتاده است.