مدیر گروه امنیتی آشیانه ایران افزود: بر این اساس نوعی از آسیبپذیری کشف شناسایی کد با درخواست فراموشی کلمه عبور، پسورد به صورت کد شده برای درخواست کننده ارسال میشود، در آسیب پذیری دوم که با باگ امنیتی CSRF اتفاق میافتد شخص آسیبرسان پیامی حاوی یک لینک مخرب برای قربانی ارسال میکند که با کلیک روی این پیام و باز شدن یک صفحه وبسایت، اکانت قربانی حذف و تمامی آرشیو و اطلاعات اکانت از بین میرود. البته اجرای این باگ امنیتی مشروط به این است که قربانی پیش از بازکردن لینک، در پنل تحت وب تلگرام به آدرس MY.telegram.org لاگین کرده باشد.
پس از انتشار خبر کشف این دو آسیبپذیری توسط گروه امنیتی آشیانه ایران، برخی کاربران فضای مجازی گفتند: پس از دسترسی به پسوردهای کد شده، دسترسی به اصل پسوردهای اکانتهای کاربران ایرانی تلگرام نیز ممکن شده است.
کمالیان در واکنش به این ابهام، توضیح داد: گروه آشیانه پس از کشف این 2 آسیبپذیری اقدام به ثبت آنها در سایتهای امنیتی کرده است تا علاوه بر اثبات وجود آسیبپذیریها، زمینه سوء استفاده از آنها فراهم نشود و سپس کشف آسیبپذیریها اطلاعرسانی شد. در مجموع فرآیند کشف تا اطلاعرسانی حدود 3 روز به طول کشید.
وی تاکید کرد: آشیانه یک گروه امنیتی شخصی و بدون وابستگی است و در آسیبپذیری اول و مربوط به رمز عبور، پس از کشف آسیب پذیری طبق وظیفه هکرهای کلاه سفید، اقدام لازم برای ثبت و اطلاعرسانی به تلگرام برای برطرف کردن آسیبپذیری را آغاز کرده است و به طبع برای ورود به مراحل بعدی که رمزگشایی کلمات عبور رمزنگاری شده است تلاشی نکرده است.
مدیر گروه امنیتی آشیانه ایران تصریح کرد: بنابراین این گروه ایرانی هیچ دسترسی به پسورد یا اکانت کاربران نداشته است و با توجه به اینکه تلگرام از رمزنگاری عمومی استفاده نمیکند و رمزنگاری مخصوص به خود را دارد، بعید به نظر میرسد پیش از این توسط هکرهایی کشف شده باشد و بدون اطلاع مورد استفادههای شخصی قرار گرفته باشد.