ادعای جدید درباره تلگرام آیا یک شناسه پایدار می‌تواند کاربران را بدون شکستن رمزنگاری ردیابی کند؟

به گزارش صد آنلاین ، طبق گزارش Important Stories و بر اساس یافته‌های شرکت امنیت سایبری Symbolic Software، این شناسه در سناریوهای مختلف از جمله تغییر آدرس IP، جابه‌جایی میان شبکه‌های متفاوت و حتی تغییر موقعیت جغرافیایی کاربر، ثابت باقی می‌ماند. در نتیجه، هر نهاد یا سامانه‌ای که بتواند به‌صورت غیرفعال ترافیک تلگرام را مشاهده کند، ممکن است قادر باشد این شناسه‌ها را جمع‌آوری و برای ساختن الگوی رفتاری کاربران ذخیره کند.

ادعای گزارش چیست؟

در این بررسی آمده است که auth_key_id می‌تواند در ارتباطات تلگرام به شکلی قابل مشاهده یا قابل بازیابی منتقل شود. اگر این ادعا درست باشد، ارائه‌دهندگان خدمات اینترنت، مدیران شبکه، سامانه‌های نظارتی دولتی یا دیگر بازیگران دارای دسترسی به مسیر ترافیک، قادر خواهند بود از این شناسه برای ساخت پایگاه داده‌ای از:

•     دستگاه‌های متصل
•     زمان‌های اتصال
•     الگوهای رفت‌و‌آمد شبکه‌ای
•     و در برخی موارد، موقعیت‌های احتمالی اتصال

استفاده کنند.

کارشناسانی که این گزارش را تهیه کرده‌اند می‌گویند برای انجام چنین ردیابی‌ای نیازی به شکستن رمزنگاری، رهگیری گواهی‌های امنیتی یا دستکاری اتصال نیست؛ بلکه تنها مشاهده غیرفعال ترافیک کافی است. به‌گفته آن‌ها، اگر هویت یک کاربر از مسیرهای دیگر مشخص شود، همین داده‌ها می‌تواند برای ردیابی بلندمدت فعالیت او در تلگرام مورد استفاده قرار گیرد.

تلگرام: این ادعا نادرست است

تلگرام در واکنش به این گزارش، ادعاهای مطرح‌شده را رد کرده است. این شرکت اعلام کرده که پارامتر auth_key_id به‌طور منظم تغییر می‌کند و هیچ اطلاعاتی درباره هویت کاربران، محتوای پیام‌ها، گیرندگان یا داده‌های خصوصی را فاش نمی‌کند.

تلگرام همچنین تأکید کرده است که تمامی زیرساخت‌های این پیام‌رسان توسط تیم‌های مهندسی داخلی خود مدیریت می‌شود و گزارش‌های منتشرشده، تصویر نادرستی از سازوکار فنی این سرویس ارائه می‌دهند.

پیوند با تحقیقات قبلی

این گزارش تازه در ادامه تحقیقات سال ۲۰۲۵ توسط OCCRP و Important Stories منتشر شده است؛ تحقیقاتی که پیش‌تر نیز توجه زیادی را به ساختار مدیریتی و فنی تلگرام جلب کرده بود. در آن تحقیقات ادعا شده بود که ولادیمیر ودنیف، مهندس شبکه روس، در گذشته سمت مدیر مالی تلگرام را بر عهده داشته و اختیار امضای برخی اسناد به‌نام تلگرام و پاول دوروف را در اختیار داشته است.

در همان گزارش‌ها همچنین ادعا شده بود که شرکت‌های مرتبط با ودنیف با برخی نهادهای دولتی و امنیتی روسیه از جمله سرویس امنیت فدرال روسیه (FSB) همکاری داشته‌اند. ودنیف این ادعاها را رد کرده و گفته است هیچ اطلاعاتی از کاربران تلگرام را در اختیار FSB قرار نمی‌دهد و ارتباط میان فعالیت‌های خود و این اتهام‌ها را نادرست دانسته است.

بحثی دوباره درباره حریم خصوصی پیام‌رسان‌ها

تلگرام نیز در موضع‌گیری جدید خود، هرگونه ارتباط میان ودنیف یا شرکت GNM با FSB را رد کرده و گزارش‌های منتشرشده در این باره را نادرست خوانده است. با این حال، انتشار این بررسی تازه بار دیگر پرسش‌های جدی درباره سطح واقعی حریم خصوصی، شفافیت فنی و امنیت زیرساختی پیام‌رسان‌های بزرگ را مطرح کرده است.

این پرونده در شرایطی مطرح می‌شود که تلگرام سال‌هاست خود را به‌عنوان یکی از پیام‌رسان‌های محبوب با تمرکز بر حریم خصوصی معرفی می‌کند؛ اما هر گزارش تازه درباره ساختار فنی یا مدیریت زیرساخت آن، به سرعت به بحثی گسترده در میان پژوهشگران امنیت، کاربران و نهادهای ناظر تبدیل می‌شود.