صمیمانه، در اهمیت شناخت مخاطب

در این مدت که تعداد کاربران سرویس‌های ما روی تلگرام از ۵ میلیون نفر عبور کرد، به اهمیت ویژه و فوق‌العاده‌ی شناخت رفتار مخاطب، کاربر، مشتری یا هر اونچه که اسمش رو می‌ذاریم پی بردم. این بحث انقدر مهمه و یه تغییر کوچیک چنان می‌تونه میزان انگیجمنت، میزان فروش، نرخ تبدیل و … رو افزایش بده که واقعا حس می‌کنم جای شرکت‌ها و افرادی که می‌تونند به صورت تخصصی تو این حوزه مشاوره بدند در فضای کسب و کار ایران خالیه. – خودمون البته داریم یه کارایی می‌کنیم (:دی)، تجربه‌ی بدست اومده از تغییر یه دکمه ساده، یا تغییر تعداد انتخاب‌های پیش روی کاربر در تبدیل کاربرهای free به paid user در سرویس‌های فریمیوم‌مون انقدر زیاد و مفید بوده که واقعا ارزشمنده برای من.

بگذریم. این بحث شناخت مخاطب، بدیهیه که چند مرحله داره: یکی شناخت دقیق تارگت، یکی تشخیص اینکه چی برای اون مخاطب مناسبه، و سوم اجرای درستش.

یه مثال بزنیم: در همین کمپین اخیر و رقابت شدید اپراتورها برای موضوع ترابردپذیری، به نظرم شاهد اشتباه استراتژیک همراه اول، در هر سه فاز هستیم. چرا؟

ایرانسل در این کمپین، بدون توضیح اینکه خدمات ما بهتره (با در نظر گرفتن اینکه مخاطب تارگت کمپین در ناخودآگاهش چنین فرضی رو داره)، به مخاطب می‌گه “شمارتو حفظ کن، ایرانسلی شو!” (ایرانسل زودتر به این کمپین وارد شد، چون همراه اول می‌دونست زیاد برگ برنده نداره). اما همراه اول در نقاط مقابل، بدون پاسخ به این موضوع که “آیا واقعا تصور شما از بهتر بودن خدمات ایرانسل واقعیه؟”، استراتژی خودش رو بر مبنای معتبر بودن خطش در بیلبوردها پیش گرفته: وقت معتبر شدنه، معتبر باش، و …

این‌طور نیست که همه مشترکان ایرانسل از خدمات این اپراتور راضی باشند. خندوانه، درست‌ترین تصویر از خدمات ایرانسل نیست.
این‌طور نیست که همه مشترکان ایرانسل از خدمات این اپراتور راضی باشند. خندوانه، درست‌ترین تصویر از خدمات ایرانسل نیست. برای دیدن نسخه بزرگ اسکرین شات روی تصویر کلیک کنید.

چرا به نظر من این استراتژی غلطه؟

اینجا سه نکته وجود داره:

  1. چند درصد از شماره‌های همراه اول واقعا حس معتبر بودن می‌دن؟ یه سری شماره‌ی ۰۹۱۲، ۰۹۱۳ و … کد پایین یا رند. مثلا صاحب یه سیم‌کارت ۰۹۱۹۵۳۲۶۷۱۸ (نمی‌دونم کیه، زنگ نزنید!)، قاعدتا حس معتبر بودن از سیم‌کارتش نمی‌گیره، چون در واقع کسی که بهش شماره ۰۹۱۹ میدی حس معتبر بودن تو رو نداره. پس تعداد کمی از مشترکان همراه اول خطشون رو به خاطر اعتبارش دارند.
  2. نسلی که این چیزا براشون مهمه و سیم کارتشون براشون یکی از معیارهای اعتباره، اصلا چقدر ترابردپذیری رو میشناسن و ممکنه ازش استفاده کنند؟ صاحب سیم‌کارت‌های معتبر همراه اول، براساس آمار ما، غالبا جوون‌های هفتادی و هشتادی و ادمایی که کاملا میفهمن ترابردپذیری چیه نیستند. مثلا صاحب یه نمایشگاه ماشین تو الهیه که سیم کارت کد ۱ همراه اول داره و براش اعتباره، اصلا کاری به ترابرد و اینا نداره. یعنی به نظر من همراه اول داره به نسلی (که ترابرد رو می‌فهمند) معتبر بودن رو معرفی می‌کنه، که اولا براشون مهم نیست، دوما اصلا اکثرا سیم‌کارت معتبری ندارند که بخوان به خاطرش همراه اول بمونند!
  3. جالب توجه‌تر از همه! همراه اول فقط داره دفاع می‌کنه که کسی نره ایرانسل! این بدترین استراتژی تبلیغاتی و قبول ضعفه. همراه اول با کمپین “وقت معتبر شدنه” در واقع فقط داره میگه معتبر بمون اگه همراه اولی هستی – اونم اعتباری که در موردش توضیح دادم. چون در واقع کسی که خط ایرانسل داره، با ترابرد به همراه اول، معتبر که نمیشه! شماره ش همون می‌مونه! همراه اول داره میگه ما هیچ مزیتی نداریم جز اینکه معتبریم. که خب اگه ایرانسلی هستی، با اومدن به همراه اول هم تغییری برات رخ نمی‌ده.

چی کار باید می‌کرد؟

من این پست وبلاگ رو تقریبا دارم سر شام می‌نویسم و جلسات متعدد و طولانی در برج همراه اول نداشتم، اما حداقلش اینه که استراتژی دفاع پیش نگیری. من اگه جای همراه اول بودم، با یه فیلم ساده و وایرال از کارکرد همون باتی که اطلاعات مشترکین رو لو می‌داد ضربه بزرگی به اعتبار ایرانسل می‌زدم. من به عنوان کسی که سیم‌کارت ایرانسل داشتم و بعد به رایتل و در نهایت همراه اول مهاجرت کردم، تو این مدت همیشه از قیمت‌گذاری‌های همراه اول، پایداری خوب خدمات، مرکز پشتیبانی خوب و … راضی بودم. کافی بود مثلا همراه اول یه سری ویدیو ضبط می‌کرد از همین کیفیت خوب خدمات. مراکز داده امن و … . استراتژی ای که همراه اول پیش گرفته در هر سه حوزه که عرض کردم لنگ‌ می‌زنه.

در این مورد حتما بیشتر حرف می‌زنیم 🙂

موفق و سلامت باشید

چرا به نظرم صحبت‌های مسئولین در مورد مذاکره با تلگرام زیاد به واقعیت نزدیک نیست؟

screen

این اسکرین‌شات بخشی از صحبت من با یکی از مدیران هسته‌ی اصلی تلگرامه، عصر روزی که آقای واعظی، وزیر ارتباطات ایران از انتقال سرورهای تلگرام به ایران خبر داده بود. اولین و آخرین بار هم نبود که چنین خبری شنیده می‌شد. مسئولان رده بالای دولتی و حتی مدیران شرکت‌هایی از جمله افرانت هرازچندگاهی از مذاکره با تلگرام در مورد انتقال سرورها و حتی حصول توافقاتی خبر میدن؛ اما چرا از نظر من این اتفاق زیاد به واقعیت نزدیک نیست؟

کمی در مورد پاول دوروف

yne3u3agbqg

پاول دوروف، برادر کوچکتر نیکولای دوروف که CTO تلگرام و قبل از اون VK بوده، شخصیتی کاملا متفاوت با کارآفرین‌های آنلاینی مثل مارک زاکربرگ داره. بیشتر از پول (خصوصا زمانی مثل امروز که پول به اندازه کافی داره)، براش آرمان‌هاش، و در صدر اون‌ها حریم‌شخصی یا privacy اهمیت داره. به خاطر آرمان‌هاش، زندگیش و VK چند میلیارد دلاریش رو به دولت روسیه سپرده و از کشور زده بیرون. در نتیجه صحبت آقای واعظی که گفته بودند تلگرام یه شبکه روسی به شمار میره، نشون میده ایشون اصلا دوروف و مشکلاتش با کرملین رو نمی‌شناسند.

پاول به دنبال پول نیست. پروژه‌ای رو که جوونیش رو پاش گذاشته بود، برای حفظ امنیت اطلاعات بی‌خیال شد و بازی‌ای رو با دولت روسیه شروع کرد که ممکن بود به قیمت زندگیش تموم بشه. در واقع برای پاول، آماری مثل ۳۰ میلیون ایرانی عضو تلگرام که مسئولان دولتی بهش افتخار می‌کنند، اصلا مهم نیست.

تلگرام هسته بسیار کوچیک و ساختار بزرگی داره

screen2

این یه اسکرین‌شات دیگه ست، برای حدود یه ماه پیش که قابلیت deep linking بات‌های تلگرام روی نسخه دسکتاپ بعد از یک آپدیت سنگین، غیرفعال شده بود. به سبب ارتباطاتی که با توسعه‌دهنده تلگرام نسخه وب داشتم، موضوع رو بهش گفتم و گفت به توسعه‌دهنده نسخه دسکتاپ اطلاع میده. دو سه ساعت بعد هم علامت آپدیت بالای نسخه دسکتاپ ظاهر شد. هسته اصلی تلگرام همین‌قدر کوچیکه. چیزی شبیه ساختمون‌های گوگل و فیس‌بوک وجود نداره و خود پاول هم اکثرا در سفر، مثلا الان ایتالیاست. پاول و نیکولای دوروف ساختاری رو درست کردند که هر کسی با دانش برنامه‌نویسی می‌تونه ازش استفاده کنه و کلاینت مورد نیاز خودشو بنویسه؛ مثل موبوگرام. این ساختار، باعث میشه که هسته اصلی تلگرام بتونه کوچیک بمونه.

پس اگه دولت و تلگرام در تماس نیستند، بات‌های پورن یا شماره‌های ایرانسل چطوری بلاک شدند؟

به گفته Markus Ra، مدیر ارتباطات تلگرام، بات اطلاعات مشترکین ایرانسل به‌خاطر گزارش‌های مردمی و فعالیت مجرمانه‌اش حذف شده نه درخواست مسئولان ایران. در مورد بات‌های پورن که در ایران توسط تلگرام فیلتر شده‌اند، پیشنهاد می‌کنم این ویدیو رو که براتون کوتاهش کردم ببینید:

بات‌های پورن نه فقط در ایران که در برخی دیگه‌ای کشور‌های منطقه هم بسته هستند. اما این ویدیو رو نه فقط به این دلیل، که برای اشاره به موضوع مهم‌تری آپلود کردم. به کلماتی که پاول به کار می‌بره یه بار دیگه دقت کنید: markets، environment و … . از نظر پاول و اشخاصی که عقایدش رو دنبال می‌کنند، تلگرام نه یک اپ، که خروجی برنامه‌نویسی شده‌ی یک مکتبه. بسیاری از آدم‌ها معتقدند دوره‌ی حکومت دولت‌ها بر آدم‌ها تموم شده و دولت‌ها تاریخ انقضاشون گذشته و افراد و مدل‌های جدیدی (نه فقط در مورد ایران، که در مورد کل جهان) باید کنترل اوضاع رو دست بگیرند و دنیای آروم‌تر و امن‌تری بسازند. از نظر من، پاول یکی از اون‌هاست. به ندرت از کلمه‌هایی مثل country در مورد اشاره به یه کشور استفاده می‌کنه و در واقع مرزبندی ذهنی نداره. برای ایران، از کلماتی مثل محیط ایران، بازار ایران و … استفاده می‌کنه. پاول طرفدار سرسخت privacy حتی در مورد مکالمات شخصی اعضای داعشه (مثلا در ادامه این مصاحبه اشاره می‌کنه که ما فقط کانال‌های داعشیا رو می‌بندیم و privacy‌ ربطی به داعش و غیرداعش نداره)، از فعالیت‌های افرادی مثل ادوارد اسنودن استقبال و پشتیبانی می‌کنه و احتمالا فیلم مورد علاقه ش V for Vendetta باشه – 🙂 . خلاصه شخصیت و اعتقاداتش اصلا شبیه همتا و همسن‌ آمریکایی‌اش، مارک زاکربرگ نیست.

پس چرا دولت میگه در ارتباطیم و سرورهای تلگرام قراره بیاد ایران؟

به نظر من این استراتژی دولت آقای روحانی برای آروم نگه داشتن گروه‌های محافظه‌کارتره که معتقدند تلگرام باید فیلتر بشه. فیلتر شدن ابزاری که ده‌ها میلیون کاربر در ایران داره، لطمه سنگینی به اعتبار آقای روحانی می‌زنه و به نظرم کابینه ایشون سعی دارند با دادن چنین وعده‌هایی تا زمان انتخابات، گروه‌های موافق فیلتر شدن تلگرام رو به آرامش و صبر دعوت کنند.

اگه فیلتر بشه چی میشه؟

زمانی که وایبر داشت کند میشد، من حدس می‌زدم که انتخاب بعدی ایرانی‌ها که تا حالا کوچ‌های زیادی رو از این شبکه به اون شبکه تجربه کردند، تلگرام باشه، و خب همین اتفاق افتاد. تا دو سه هفته پیش حدسم این بود که در صورت فیلتر شدن تلگرام (که جلوتر اشاره می‌کنم چرا تصمیم خوبی نیست) مردم به سیگنال کوچ می‌کنند اما گویا این اپلیکیشن بسیار امن، هنوز پاش به ایران نرسیده فیلتر شده. حدس می‌زنم وایر (wire) می‌تونه یه گزینه خوب باشه اما صحبت اصلی اینجاست که چرا؟ چرا باید ملت رو مجبور کنیم از این اپلیکیشن برند به اون اپلیکیشن؟ اگر بحث ذخیره دیتا در خارج از کشوره، که الان به لطف تصمیمات اشتباه و فیلتر کردن یکی در میون هر اپلیکیشنی که وارد ایران شده و کوچ کردن ایرانی‌ها از این شبکه به اون شبکه، اطلاعات مردم کشور ما دست عالم و آدم هست. از فیس‌بوک آمریکایی بگیر تا وایبر اسراییلی (البته الان آسیایی) و ده‌ها شبکه دیگه.

یکی از دغدغه‌های مهم حکومتی در مورد فیلتر کردن شبکه‌های خارجی اینه که اطلاعاتشون در مواقع حساس در اختیار دولت ایران نیست. ده‌ها ساله که بودجه‌های میلیاردی عجیب و غریب در اختیار شرکت‌هایی که کارشون صرفا گرفتن بودجه‌های عجیب و غریب از وزارت ارتباطاته قرار می‌گیره و سال‌هاست که این همه خدم و حشم در وزارت ارتباطات و شرکت‌های دولتی و خصوصی تابعه نتونستند کاری که تیم پنج نفره‌ی تلگرام کردند رو بکنند. چرا؟ چون مسیر اشتباهه. چون عاشق کارشون نیستند و فقط برای شرکت تو مناقصه و مزایده ساخته شدند. بر فرض که ما اپی تولید کردیم که سرورهاش داخل ایران بود. مگه کسی که بخواد برای حکومت مشکل ایجاد کنه، از این اپلیکیشن استفاده می‌کنه؟ مثلا میاد از یک پیام‌رسان داخلی، برای ارتباط با افرادی در موساد استفاده کنه؟! قهری‌ست که نه. تنها دیتای این اپلیکیشن میشه چیزی شبیه دیتای کلوب دات کام. یک سری دیتای به دردنخور برای دولت، مربوط به روابط دختر پسری. در نتیجه به نظرم بهترین راه، جلب بیشتر اعتماد و رضایت مردمه. با فیلتر کردن تلگرام، حداقل سی میلیون نفر به آدم‌هایی که دست‌کم یک مشکل حتی کوچیک با حکومت دارند اضافه میشن. (مشکل کوچیک در حد همین نارضایتی از فیلتر شدن ابزار محبوب ارتباطی‌شون که البته شغل‌های بسیار بسیار زیادی هم برای جوون‌ها ایجاد کرده و ارتباطات روستاهایی رو که اینترنت ضعیفی دارند با دوستان و اقوامشون برقرار کرده).

فیلتر کردن تلگرام، درست شبیه اینه که بزنیم تو گوش رفیقمون و بعد به این فکر بیفتیم که حالا چی کار کنیم که ناراحت نشه و تبدیل به مخالفمون نشه و میلیاردها تومن خرج کنیم برای ساختن یه ابزار که نتونه به کسی بگه زدیم تو گوشش. به نظرم بهترین کار اینه که نزنیم تو گوش رفیقمون. تا وقتی نزنیم تو گوشش رفیقمون می‌مونه.

در مورد این موضوع صحبت و راهکار بسیار زیاده و متاسفانه بین شلوغی کاری این‌روزها فرصت نوشتن بیش از این نیست؛ اما حتما بازم در موردش صحبت می‌کنیم.

موفق و سلامت باشید

مطالعه موردی صمیمانه: چرا توسعه پست هاب متوقف شد؟

یکی از پروژه‌های ما که تقریبا دو ماه کامل روی توسعه اون وقت گذاشتیم و بدون رقیب وارد بازار شد، پست هاب بود. سیستمی برای مدیریت کانال تلگرام با قابلیت‌هایی مثل امکان‌ زمان‌بندی پست‌ها، کار گروهی و تعریف دسترسی و …

تقریبا دو هفته بعد از راه‌اندازی پست‌هاب، تولگرام راه افتاد. سرویسی متعلق به مدیر شرکت پویاسافت که همزمان مدیر مرکز توانمندسازی کسب و کارهای نوپای فاوا هم هستند.

چندی پیش ما اعلام کردیم که پست هاب برای استفاده عمومی خاموش خواهد شد، هر چند ما هنوز استفاده شخصی‌مون رو از زیرساختش داریم. اما چی شد که این تصمیم رو گرفتیم؟ ماجرای خاموش شدن پست هاب برمی‌گشت به یکی از جلسات ما با صدرا و نوید و گفتن دلایلی از سمت من که شاید تک به تک، دلایل خوبی برای توقف توسعه یک پروژه نباشند اما تونستم بچه‌ها رو قانع کنم که وقتی کنار هم قرار میگیرن، این تصمیم رو میسازن. دوست داشتم که این تجربه رو با شما هم به اشتراک بذارم:

برش اول: پست هاب کوچیک بود

زمانی که ما پست هاب رو راه انداختیم، سرمون خیلی خلوت بود و تقریبا داشتیم سعی و خطا می‌کردیم و با قابلیت‌های فنی تلگرام آشنا می‌شدیم. اما زمانی که تولگرام وارد بازار شد، ما روی حرف به من مشغول مدیریت سرویسی بودیم که ماهی یک میلیون کاربر جدید بهش اضافه میشد و البته، از نظر مالی هم تراکنش‌های زیادی رو برامون ایجاد کرده بود. در نتیجه پست هاب برامون مرگ و زندگی نبود و اگه بخوام مثل خودم حرف بزنم، باید بگم حال نمی‌داد. مگه چند تا کانال تلگرام کلا تو ایران هست؟ حالا فرض کنید این بازار بخواد بین دو سه رقیب هم به اشتراک گذاشته بشه.

برش دوم: تو زمین بازی b2b مشکلاتی داشتیم اما تو b2c حرف اول رو می‌زدیم.

یادمه وقتی پست هاب رو معرفی کردیم تا یه ماه بعد که محسن صحافی عزیز زحمت کشید و برامون تو فارنت پست معرفی رفت، این پروژه خیلی مورد توجه نبود. اما تولگرام متعلق بود به مدیر یه شرکتی به اسم پویاسافت. ایشون جدا از اینکه از قدیمی‌های شناخته شده وب هستند (و مثلا توییت معرفی تولگرام از طرف ایشون رو پنجاه نفر ریتوییت کردند)، مدیر یه جایی هستند به اسم مرکز توانمندسازی کسب و کارهای نوپای فاوا. این مرکز یه جاییه متعلق به سازمان فناوری اطلاعات و در واقع یه مرکز دولتی محسوب میشه. بحث رو تو این حوزه طولانی نمی‌کنم اما جدا از کیس استادی ما و پست هاب، این خودش یک معضله. به عقیده من، کسی که خودش عطش راه اندازی استارتاپ داره و حتی شرکتی تو این حوزه داره، نباید مدیر یه مرکز دولتی این شکلی باشه. چون ذاتا منافعش در هر دو حوزه در خطر قرار می‌گیره. مثلا اگه وزیر نفت بیاد شرکت نفتی داشته باشه و یه پروژه نفتی بهش پیشنهاد بشه، اگه بده به یکی از شرکت‌های کوچیک بازار، فرصت رو از شرکت خودش گرفته. دقیقا یادمه روزی که رفتیم این مرکز برای اینکه از بسته‌های حمایتیشون مطلع بشیم، ایشون جزییات پروژه رو پرسیدند و بعد گفتند «رقیب نعمت بازاره! ما رقیبتونیم!» در حالت معقول و درست، مدیر یه مرکز دولتی که برای حمایت اونجا نشسته، نباید چنین حرفی بزنه. تو شرکتش میتونه، ولی اونجا نه. من هم مثل شما می‌دونم که این موضوع متاسفانه تو ایران مرسومه، اما انتظار میره در حوزه‌ای که هنوز اکوسیستمش سفت نشده، مسئولین پایه رو کج نذارن که تا ثریا نرود دیوار فلان. بگذریم. این دلیل توسعه توقف پست هاب نیست، صرفا داشتم به این معضل اشاره می‌کردم و توصیفی هم داشتم از ارتباطات دولتی و شرکتی موسس تولگرام.

من احساس کردم که برای منی که زیاد اهل شوآف و ارتباطات دولتی نیستم، زمین b2b زمین خوبی برای بازی نیست و بازیکنای بهتری داره. تو فضای b2c اصلا مهم نیست شما کی و چی هستید. حرف به من الان سه میلیون کاربر راضی داره در صورتی که شاید سیصد تاشون هم من رو نشناسند. (چون اصولا فکر می‌کنم وقت گذاشتن تو حوزه شوآف برای کسی که دنبال گرفتن پروژه و حتی پرسونال برندینگ به عنوان ceo شرکت نیست وقت تلف کردنه. ترجیح میدم وقتم رو صرف مطالعه و یادگیری و تجربه کنم). پست هاب اگه می‌خواست تو زمین بازی b2b موفق بشه نیاز به سرمایه گذاری سنگینی تو حوزه امنیت، ظاهر و تبلیغات داشت. مشکلی از نظر سرمایه گذاری وجود نداشت اما نکته بعدی پیش میومد:

برش سوم: نسبت به ریسکش نمی‌ارزید

فیلتر شدن تلگرام یه بحثیه که همیشه تو ایران بوده و هست. یه وقتی هست شما می‌تونید ضریب ریسک در بیارید، یه وقتی هست از فرداتون هم خبر ندارید. ممکنه وقتی بیدار میشید تلگرام فیلتر شده باشه، ممکنم هست مثل دیروز کار کنه. در نتیجه با نگاهی به برش اول و کوچیک بودن پست هاب هم از لحاظ تعداد کاربر هم از لحاظ میزان درآمد، سرمایه گذاری سنگین روی پست هاب برای تیم جوون و نه چندان سرمایه دار ما ریسک زیادی داشت. یعنی شما فرض کنید یه سرمایه چهل تومنی برای توسعه بذارید، روی پروژه ای که با کسر هزینه‌ها، نقطه سر به سرش می افته پنج شیش ماه دیگه و توی شرایطی که آدم از فرداش هم خبر نداره، لااقل برای ما ریسک منطقی ای نبود.

برش چهارم در پرانتز: شخصا حوصله دردسر نداشتم

پست هاب کابوس شب‌های من بود. چون امنیتش از امنیت خود تلگرام هم مهم‌تر بود! کانالها، بات ما رو ادمین کانالشون می‌کردند تا بتونیم براشون پست بذاریم. حالا اگه سیستم به یه شکلی هک میشد یا نفوذی به حساب یکی از کاربران اتفاق میفتاد و مثلا روی کانال دیجی کالا پورن پست میشد، اون وقت حساب کارمون با کرام الکاتبین بود. موضوع سرمایه گذاری رو حوزه امنیت هم که اشاره کردم به همین دلیل بود.

 

این خلاصه بحثی بود که تو کافه با صدرا و نوید داشتم. امیدوارم در میون گذاشتنش با شما براتون مفید بوده باشه.

سالادی هیجان‌انگیز بخورید سلامت بمونید

توضیحی در مورد دریافت پیام‌های مشابه در «حرف به من»

هفته‌ی گذشته، یکی از دوستانم که مدیر یکی از بات‌های خوب دانلود موزیک در تلگرامه، پیامی رو از این‌باکسش در حرف‌به‌من بهم فوروارد کرد که به نظرش می‌رسید از طرف اطرافیانش فرستاده نشده. ما، به خاطر مشغله زیاد کاری و پروژه‌های متعددی که تیم کم‌تعدادمون در حال انجامشونه نتونستیم موضوع رو خیلی جدی بگیریم تا اینکه ساعتی پیش یکی از دوستان، این توییت رو برام ارسال کرد. حاکی از اینکه، تعداد زیادی از کاربران پیام‌های مشابهی رو که عمدتا فینگلیش نوشته شدند دریافت کرده‌اند.

حقیقتش ماجرا در لحظه اول برام ترسناک بود، چون در تیم ما کسی غیر از من چنین دسترسی‌ای رو نداره و خب می‌دونستم که خودم هم چنین کاری نکردم (!) و کمی نگران دیتاها شدم، اما بعد از بررسی لاگ‌ها و دیتابیس متوجه جزییاتی شدم که در سه بند کوتاه توضیح میدم.

 

اول از همه، چطور این اتفاق افتاده؟

لینک دریافت پیام‌ ناشناس در حرف‌به‌من، لینک امنیتی و عجیبی نیست. در واقع، هیچ‌وقت نیازی هم نبوده که امنیتی باشه! این لینک حاصل base64 encode کردن UserID تلگرام کاربرانه. UserID یک عدد پابلیک محسوب میشه و زمانی که کاربران از کلاینت‌ها، یا بات‌های دیگه استفاده می‌کنند برای شناسوندن کاربر به تلگرام استفاده می‌شه. در نتیجه، با نوشتن یک کلاینت ساده بدون خروجی تصویری (صرفا کد)، یا چیزی شبیه نرم‌افزاری که هدایت موس و کی‌بورد کامپیوتر رو به عهده می‌گرفت میشه به تعداد زیادی از کاربران که UserID شون رو داریم پیام ارسال کرد‌ (با ساختن لینک از طریق انکد کردن UserID و قرار دادنش در انتهای اون harfbemanbot?start=XXXXXXXXX).

مدتی پیش ما خواستیم که لینک‌ها رو تغییر بدیم، اما مشکل این بود که اعتبار لینک‌های فعلی از بین می‌رفت و خیلی‌ها مجبور به اصلاح لینکشون در شبکه‌های اجتماعی می‌شدند. اما در آینده نزدیک، حتما امکان تعویض لینک رو اضافه می‌کنیم. با استفاده از این امکان، لینک قبلی نامعتبر میشه و کاربران این بار می‌تونند فقط با افراد خاصی اون رو به اشتراک بذارند.

برخلاف حدس برخی از دوستان، به نظر نمی‌رسه که از روش ارسال مستقیم به ناشناس (از طریق Username یا فوروارد یک مسج) برای این کار استفاده شده باشه. در واقع این امکان در بات، مشکلی ایجاد نکرده.

ما برای جلوگیری از این تلاش، لیمیت‌های جدیدی رو روی ارسال پیام از یک UserID وضع کردیم و قطعا دیگه چنین اتفاقی نمیفته.

 

دوم، چرا یکی باید این کار رو بکنه؟

برداشت اولیه و شخصی من (که محتمل‌ترین حالته) راه افتادن همین بحثیه که ساعتی پیش شاهدش بودیم: مطرح کردن حرف‌به‌من به عنوان یک پروژه سودجو (از طرف دوستانی در تلگرام و خارج از تلگرام که امن بودن و پرطرفدار بودن این سرویس به مذاقشون خوش نیومده). در این چند ماه، حرف‌به‌من سعی داشته که خودش و رازداریش رو به کاربران اثبات کنه. حتی یک بایت دیتا با شخص حقیقی و حقوقی ثالث به اشتراک نذاشته، و همین اواخر، امکان حذف همه پیام‌های ارسالی رو بدون نیاز به پرداخت وجه و فعالسازی نسخه کامل فعال کرده. حرف‌به‌من، برای ما یک پروژه تجاری نبوده و نیست، که اگر بود می‌تونست درآمد زیادی از تبلیغات انبوه داشته باشه و درآمدش تقریبا با خرج سرورها برابری نمی‌کرد. ضمن اینکه خیلی از دریافت‌کننده‌های این پیام‌ها، نسخه کاملشون از قبل فعال بوده.

اما برداشت پیچیده‌تری که البته خیلی محتمل به نظر نمی‌رسه (چون خیلی از جواب‌های کاربران، توسط فرستنده دیده نشدند، و البته ارسال‌کننده، دسترسی به اینکه آیا نسخه‌ی کامل اکانت دریافت‌کننده فعاله یا نه نداشته) اینه که پیام‌ها با مضمون یکسان، برای سنجش مدل جواب‌ها و شناسایی کاربران مشتاق به آشنایی برای دعوت به سرویس‌های مختلف دوستیابی در تلگرام ایجاد شده باشند. از اونجا که ما در جواب نشون نمی‌دیم که چه کسی جواب رو ارسال کرده و عملا تشخیص جواب‌دهنده‌ها از هم بسیار سخته، این مورد خیلی غیرمحتمله.

 

مهم‌تر از همه، آیا خطری اطلاعات من رو تهدید می‌کنه؟ اینایی که گفتید یعنی هک شدید؟

خیر، هیچ خطری اطلاعات کاربران رو تهدید نمی‌کنه. در واقع اتفاقی که افتاده، یک ورودی سنگین بوده و هیچ اطلاعاتی از جمله پیام‌هایی از شما که پیش ما امانته به بیرون خارج نشده.

 

این پست رو به جهت نگرانی دوستان خیلی سریع نوشتم. اگه نکته جدیدی متوجه شدم یا به ذهنم رسید، حتما بروزرسانی می‌کنم.

ممنون از وقتی که به خوندن این پست اختصاص دادید.

بروزرسانی: همه پیام‌های ارسال شده توسط UserIDهای شناسایی شده از سرور حذف شد تا از این لحظه کسی اشتباها دستور پاسخ دادن به اون‌ها رو لمس نکنه. این‌ پیام‌ها دیگه در این‌باکس هم دیده نمیشن.