چاره کار کجاست؟ امنیت کاربران فضای مجازی به خطر افتاد

مینا حیدری خبرنگار اطلاعات نوشت: هک شدن اسنپ‌‌فود سرخط اخبار این هفته است و بسیاری از کاربران را بابت تجربه‌هک‌های مکرر در کشور نگران کرده است. از هک ثبت احوال گرفته تا هک سامانه‌های سوخت و حالا هم هک اسنپ ‌فود و این داستان دنباله‌دار بیانگر آن است که پایه امنیتی اطلاعات کاربران در بسیاری از زیرساخت‌ها سست است ؛گویی خانه‌ای را برشن بنا نهاده‌ایم.

جمشید جمالیان، فعال حوزه فناوری اطلاعات (IT )درباره گروه هکری که اسنپ‌فود را هک کرده و میزان نشت اطلاعات می‌گوید: اطلاعات منتشر شده بیانگر آن است داده‌ها و اطلاعات ۲۰ میلیون کاربر و حدودا ۳۶۰ میلیون سفارش برنامه اسنپ‌فود در دست یک گروه هکری به نام IRLeaks قرار گرفته که قبلا هم سابقه هک برنامه تپسی را داشته و تاکنون هم بدون دستگیری به فعالیت خود ادامه داده است. این گروه قبلا سابقه مذاکره با شرکت تپسی را داشته ولی میلاد منشی‌پور  ، بنیان‌گذار و مدیر عامل تپسی اعلام کرد: «به این گونه مذاکرات که با هدف اخاذی است تن نمی‌دهیم.» 

۳۰ هزار دلار ناقابل

جمالیان می گوید: این گروه در ابتدا اطلاعات را در ازای ۳۰ هزار دلار برای فروش گذاشت و همزمان با گروه اسنپ‌فود به مذاکره پرداخت و در نهایت با آن به توافق رسید و اطلاعات را به اسنپ‌فود فروخت. خطر این مذاکرات با هکرها در این است که معلوم نیست  هکرها به قول و قرارشان با اسنپ‌فود پایبند باشند و اطلاعات را در اختیار افراد دیگری قرار ندهند. 

اگر فرض را بر این بگذاریم که قانونا اسنپ‌فود اطلاعات مربوط به کارت‌های بانکی شما را در پایگاه داده خود ثبت نکرده باشد باز هم اطلاعاتی مثل نام و نام خانوادگی، کد ملی، نام کاربری، کلمه عبور، ایمیل، شماره تلفن، آدرس‌هایی که در آن‌ها مستقر هستید مانند منزل، محل کار و … ( با موقعیت دقیق جی‌پی‌اس)، کلیه سفارشاتی که تاکنون داشته‌اید، آدرس و ساعت دقیق تحویل سفارش ها و اطلاعات بیش از ۱۸۰میلیون دستگاهی که توسط آن‌ها کاربران به اسنپ‌فود دسترسی داشته‌اند، نام و آدرس طرف‌های قرارداد اسنپ‌فود مانند نام رستوران‌ها، آدرس آن‌ها و شماره شبای مرتبط با رستوران جهت تسویه، نام و مشخصات کامل پیک‌ها و … هک شده است که با توجه به فایل‌های نمونه ای که منتشر شده صحت این ادعا مورد تایید قرار گرفته است.

لو رفتن تمامی اطلاعات ثبت نامی

این فعال حوزه فناوری اطلاعات ادامه می‌دهد: با کمی دقت در تعداد دستگاه‌ها به نسبت تعداد کاربران می‌توان گفت که احتمالا در طول سالیان مختلف تمامی اطلاعات شما از زمان ثبت‌نام تاکنون در اختیار هکرهاست، به زبان ساده‌تر تمامی آدرس‌هایتان، نه تنها آدرس فعلی شما بلکه تمامی آدرس‌هایی که از گذشته تا امروز در این برنامه ثبت کرده‌اید هم در اختیار هکرهاست.

او می‌افزاید: فرض کنید اگر این اطلاعات در دست کسانی که نباید بیافتد چه خطراتی در انتظار شماست. تصور کنید فردی فقط با داشتن شماره همراه شما یا حتی ساده‌تر فقط یک نام و نام خانوادگی به تمام اطلاعات هویتی، ارتباطی و موقعیت جغرافیایی دقیق شما و خانواده‌یتان دسترسی داشته باشد، ترسناک نیست؟ با این اطلاعات درز پیدا کرده، صدها نوع سناریو قابل پیاده‌سازی است که در نهایت قربانیان آن کاربران اسنپ‌فود هستند.  

فروش خرد اطلاعات 

آقای جمالیان می‌گوید: وقتی هک صورت می‌گیرد، گاهی اطلاعات به صورت خرد به دیگران نیز فروخته می‌شود یعنی، فقط بخشی از اطلاعات مانند شماره تلفن، ایمیل و .. در اختیار شرکت‌های تبلیغاتی جهت ارسال ایمیل یا پیامک تبلیغاتی قرار می‌گیرد، این ساده‌ترین نوع سناریویی است که هکرها برای فروش اطلاعات استفاده می‌کنند، سناریوهایی مانند به دست آوردن آدرس دقیق کسانی که قرار است مورد تهاجم قرار بگیرند، آدرس و موقعیت دقیق شخصیت‌هایی که نام آشنا هستند و هزاران سناریوی ترسناک دیگر که موارد امنیتی را هم شامل می‌شود.

این فعال حوزه IT ادامه می‌دهد: بسیاری افراد شناخته شده هم از همین برنامه استفاده می‌کنند و موضوع در اینجا قدری پیچیده تر می‌شود، به عنوان مثال اگر این اطلاعات در دست گروه‌های گوناگون قرار گیرد فارغ از دسترسی به موقعیت‌های دقیق جغرافیایی که در آن‌ها تردد می‌کنند، همین اطلاعات به ظاهر ساده مثل نوع غذای مورد علاقه و یا زمان سفارش می‌تواند به تنهایی خطرناک  باشد. 

تحلیل خطرناک اطلاعات

او می‌افزاید: اگر باز هم بخواهم مثالی برای شما بیاورم تحلیل میزان سفارش‌ها در روزها و مناسبت‌های خاص در بازه‌  های زمانی مختلف و مقایسه آن‌ها با یکدیگر یکی دیگر از مشکلات این نشت اطلاعاتی است که با تحلیل هر یک از این داده‌ها می‌توان به شرایط اجتماعی و یا اقتصادی جامعه در زمان‌های مختلف دسترسی پیدا کرد و کم نیستند کسانی که با اهداف گوناگون می‌توانند از این اطلاعات بهره‌برداری سیاسی نیز انجام دهند.

از همه مهم‌تر بی‌اعتمادی مردم به این نوع شرکت‌ها باعث افت خرید کاربران و در نهایت پایین آمدن سطح گردش مالی بخش عمده‌ای از کسب و کارها در جامعه خواهد شد که مسلما بخش‌های دیگر اقتصاد را هم درگیر خودش خواهد کرد.

این کارشناس فناوری اطلاعات ادامه می‌دهد: ضمنا با کنار هم گذاشتن این اطلاعات می‌شود به سادگی به روال روزمره افراد، سبک زندگی مردم جامعه و میزان استفاده آن ها  از خدمات آنلاین به صورت مجزا در هر استان و شهری پی برد که نه تنها ابعاد اجتماعی و اقتصادی که ابعاد امنیتی را هم مورد مخاطره قرار می‌دهد.

هک‌های مستمر

آقای جمالیان می‌گوید: پلیس فتا در حال انجام بررسی‌های فنی و تخصصی در این زمینه است تا به علل اصلی ماجرا دست پیدا کنند، ولی با توجه به تجربیات گذشته مانند هک تپسی و کارت‌های سوخت و مهم‌تر از همه حرفه‌ای بودن هکرها و غیرقابل ردیابی بودن رمز ارزها در این گونه معاملات، بعید به نظر می‎رسد که این بار هم توفیقی در این زمینه حاصل شود .  باید امیدوار بود در صورتی که هک از بیرون مجموعه صورت گرفته باشد هکر یا هکرها ردی از خود برجای گذارند. 

اعلام نظر کارشناسان

این کارشناس فناوری اطلاعات درباره امکان هک از داخل مجموعه می‌گوید: این هم یک فرضیه است که نمی‌توان امکانش را دست کم گرفت، با توجه به بزرگی مجموعه اسنپ، حساسیت داده‌ها، حجم داده‌های کاربران و با توجه به گزارش‌ها و ادعاهای کارشناسان مبنی بر این که مسائل فنی توسط تیم‌های تست امنیت چه در داخل و چه در خارج از مجموعه مورد ارزیابی و تست قرار گرفته است به نظر نمی‌رسد این حجم از داده‌ها از بیرون مجموعه مورد دستبرد قرار گرفته باشد ولی باز هم نمی‌شود قاطعانه نتیجه‌گیری کرد و باید منتظر گزارش نهایی کارشناسان پلیس فتا و اعلام نظر کارشناسان اسنپ‌فود باقی ماند.

چه باید کرد؟

آقای جمالیان درباره اقداماتی که لازم است پس از این اتفاق انجام دهیم می‌گوید: در حال حاضر اقدام خاصی نمی‌توان انجام داد و کاربری به طنز در فضای مجازی نوشته بود  فقط می‌توانیم آدرسمان را عوض کنیم، کاربر دیگری هم اشاره کرده بود با هک شدن تامین اجتماعی اکنون می‌دانند چقدر حقوق دریافت می‌کنیم و کجا کار می‌کنیم و با هک اسنپ‌فود و تپسی دریافتند کجا تردد داریم، با هک پمپ بنزین کشف کردندکه چقدر بنزین در کارتمان داریم و امروز هم با هک اسنپ‌فود می‌دانند چه می‌خوریم و آدرس و تلفنمان کجاست.

متاسفانه اطلاعات نشت پیدا کرده و کاری هم از دست کسی بر نمی‌آید و شاید فقط بتوان به نوع حمله و نحوه نشت اطلاعات پی برد که دردی را هم دوا نمی‌کند و اما شرکت‌ها باید بدانند تنها راه برای جلوگیری از این نوع حملات  بالابردن سطح امنیت در این نوع شرکت هاست که فقط با به کارگیری نیروی متخصص و حرفه‌ای میسر خواهد بود. 

باز هم مهاجرت نخبگان

او ادامه می‌دهد: متاسفانه عمده متخصصان و نخبه‌های کشور با توجه به شرایط اقتصادی اخیر و ناامیدی از آینده یا مهاجرت کرده و یا با این مبالغ اندک پرداختی حاضر به همکاری با این شرکت‌ها نیستند و نهایتا وضع همین هست که می‌بینید، اگر تعداد سایت‌هایی که هک نشده‌اند کم است دلیل بر امنیت فوق العاده مابقی نیست فقط هنوز نوبت آن‌ها نشده است.

حتی شرکت‌های بزرگ امنیتی هم که ارائه کننده زیرساخت و راهکارهای امنیتی هستند  از این موضوع مستثنی نیستند، اگر خاطرتان باشد زیرساخت شرکت «آروان کلود» هم در اسفندماه ۱۳۹۹ مورد حمله هکرها قرار گرفت و بیشتر سایت‌هایی که از این شرکت خدمات دریافت می‌کردند از دسترس خارج شدند.

 این کارشناس IT می‌گوید: به دلیل نبود قوانین حقوقی منسجم برای پرداخت غرامت در این نوع آسیب پذیری‌ها، شرکت‌های ارائه کننده این برنامه‌ها حاضر به بالا بردن کیفیت امنیت خود نیستند و حتی حاضر به پرداخت مبلغی مناسب برای کشف این حفره‌های امنیتی نخواهند بود .به‌عنوان مثال شرکت اسنپ سقف «باگ بانتی» خود را که همان فرایند کشف و ارائه گزارش آسیب‌پذیری است در حد ۱۵۰ میلیون تومان نگه داشته که اگر در این بخش هزینه بیشتری می‌شد اکنون کاربران مجبور به پرداخت چنین هزینه سنگینی نبودند.

حق شکایت قانونی

آقای جمالیان در پایان می‌افزاید: مسلما حق شکایت قانونی تمام افرادی که از اسنپ‌فود استفاده می‌کردند بابت «افشای اطلاعات شخصی و محرمانه» کاملا محفوظ است ولی با توجه به پیچیدگی ماجرا و کشف نشدن علل دقیق ماجرا به نظر می‌رسد کمی باید صبر کرد تا نظر نهایی کارشناسان پلیس فتا و سایر مراجع  به صورت رسمی اعلام شود. 

سرهنگ رامین پاشایی، معاون فرهنگی اجتماعی پلیس فتا اعلام کرد شرکت اسنپ‌فود در سال جاری بارها مورد ارزیابی و بررسی‌های فنی قرار گرفته و در صورت مشاهده هرگونه سهل‌انگاری پیگیری‌های قانونی و قضایی به مراجع بالا ارجاع  و به محض حصول اطلاعات دقیق‌تر و یا مشخص شدن ابعاد جدید پرونده، اطلاع رسانی‌های لازم توسط پلیس فتا انجام خواهد شد.