حراج اطلاعات کاربران!

مخاطب 24 رسانه‏‏‌ای شدن ماجرای هک یکی از شرکت‌های تاکسی‏‏‌ آنلاین و در ادامه آن چند شرکت بیمه، بار دیگر توجه افکار عمومی را به مساله آسیب‏‏‌های حملات سایبری جلب کرد. این موضوع پس از آن جدی‏‏‌تر شد که شماری از برنامه‏‏‌نویسان با انتشار تحلیل‏‏‌های فنی، به سوء‏‏‌استفاده‏‏‌های احتمالی از این اطلاعات نشت‌یافته اشاره کردند و حتی جمع‏‏‌آوری بعضی‏‏‌ از این داده‏‏‌ها توسط این شرکت‌ها را غیرضروری دانستند. گلایه از کوتاهی شرکت‌ها در تقویت امنیت سیستم‌های اطلاعاتی تنها انتقاد مطرح‌شده در این بین نبود و حتی بازخورد پلیس فتا نسبت به افشای چنین حملاتی نیز نزد کاربران فضای مجازی حسابی واکنش‏‏‌برانگیز شد. حالا با قرار گرفتن حجم قابل‏‏‌توجهی از اطلاعات میلیون‏‏‌ها کاربر ایرانی در فضای وب، کارشناسان نسبت به آسیب‏‏‌های متعاقب چنین حملاتی برای کاربران هشدار داده و خواستار تدوین قوانینی برای حمایت حریم خصوصی، حفظ داده‏‏‌های افراد در فضای مجازی و ملزم کردن شرکت‌ها به رعایت برخی حداقل‏‏‌ها شدند.

از مقاومت تا سکوت چند‌‌‌ هفته‌‌‌ای

شنبه گذشته بود که کانالی تلگرامی منتسب به یک گروه هکری، مدعی هک تپسی شد. به فاصله کوتاهی پس از درج این پست، میلاد منشی‌‌‌پور، مدیرعامل تاکسی آنلاین تپسی، با انتشار پستی در حساب کاربری خود در «ایکس»، هک شدن سیستم‌های اطلاعاتی این شرکت را تایید کرد. او در پست خود نوشت: «طی روزهای گذشته متوجه دسترسی غیرمجازی به زیرساخت‌های شرکت تپسی و برداشت بخشی از اطلاعات شدیم. به محض کشف این موضوع، ضمن ثبت شکایت، پلیس را در جریان قرار دادیم و راه دسترسی هکرها را بستیم.» مدیرعامل تپسی در ادامه تاکید کرد: «ایمیل‌‌‌های دریافتی از گروه مهاجم، از قصد آنها برای اخاذی و دریافت پول در ازای منتشر نکردن داده‌‌‌ها حکایت داشت و ما تصمیم گرفتیم که به این خواسته تن ندهیم. زیرا در مذاکره با آنها متوجه شدیم که ضمانتی برای عدم‌نشر اطلاعات و سوءاستفاده‌‌‌های آتی وجود ندارد و از طرفی، باج‌‌‌دهی به آنها به مشوقی برای تکرار این اقدامشان در قبال دیگر شرکت‌ها منجر خواهد شد.» منشی‌‌‌پور در ادامه با پذیرش مسوولیت این اتفاق، از بروز آن ابراز تاسف کرد و از همکاری نزدیک این مجموعه با پلیس برای کشف ابعاد جدید این حمله خبر داد.

با این‌حال به فاصله کوتاهی از این ماجرا مشخص شد که تپسی تنها شرکتی نبوده که از سوی هکرها مورد حمله واقع شده و همین گروه هکری چند هفته پیش از رسانه‌‌‌ای کردن هک تپسی، اطلاعات ۱۸ شرکت بیمه‌‌‌ای را برای فروش در فضای مجازی آگهی کرده بودند. طبق ادعای هکرها، داده‌‌‌های کسب شده، ۱۱۵ میلیون رکورد اطلاعاتی شامل نام، نام‌‌‌خانوادگی، تاریخ تولد، نام پدر، شماره تلفن/ موبایل، شماره شناسنامه، کد ملی، کد ملی شرکت و... بوده و این گروه برای فروش این اطلاعات برای متقاضیان قیمت نیز تعیین و اعلام آمادگی کرده‌‌‌اند. با وجود این مشخص شده که تا زمان افشای این اطلاعات، بیمه مرکزی هیچ اظهارنظری در این‌باره نکرده و موضوع را مسکوت گذاشته است. اگرچه بیمه مرکزی پس از رسانه‌‌‌ای شدن این خبر، نشت اطلاعات را تکذیب کرد، اما عزل مدیرکل بیمه مرکزی و انتصاب مدیری جدید، باعث شد این احتمال در ذهن کاربران تقویت شود.

بازار اخبار هک اطلاعات شرکت‌ها در هفته گذشته به حدی داغ بود که ماجرا به همین‌‌‌جا نیز ختم نشد و شایعات دیگری مبنی بر هک اطلاعات چند صرافی آنلاین رمزارز و حتی چند شرکت استارت‌آپی مطرح دیگر نیز به گوش رسید که بعضی از آنها در بیانیه‌‌‌هایی رسمی این موضوع را تایید و بعضی دیگر به شکل غیر‌رسمی این ادعا را رد کردند. آن‌طور که به نظر می‌رسد شاید مدیران برخی از استارت‌آپ‌های کوچک‌تر دیگر- که احتمالا خبر هک آنها نیز صحت داشت- حتی ترجیح دادند تا در جنجال ایجاد شده حول موضوع هک تپسی، به کل هیچ واکنشی به این احتمالات نشان ندهند.

افشای زیست مجازی کاربران

گذشته از آنکه تعداد شرکت‌های هک شده در یک ماه اخیر چند مورد بوده است، تحلیل همین میزان اطلاعاتی که هکرها مدعی دستیابی به آن شده بودند، باعث شد تا سوالاتی پیرامون آسیب‌‌‌های احتمالی سوءاستفاده از این داده‌‌‌ها مطرح شود.

میلاد نوری،کارشناس حوزه آی‌‌‌تی، در نقدی که در حساب ایکس خود منتشر کرده بود، تشریح کرد که نشت چنین مجموعه‌‌‌ای از داده می‌تواند چه خطراتی را متوجه کاربران کند. این برنامه‌‌‌نویس با تاکید بر آنکه دسترسی به چنین داده‌‌‌هایی می‌تواند هویت فرد در دنیای واقعی را فاش کرده و زمینه را برای کلاهبرداری و آزار افراد فراهم کند، نوشت: «ماجرا به اینجا ختم نمی‌شود و به کمک برخی پارامترهای موجود در این داده‌‌‌ها و اطلاعاتی که از دستگاه کاربران مسافر و راننده در دسترس است، می‌توان فعالیت‌‌‌های آتی آنها در اپلیکیشن‌‌‌های دیگر را نیز ردیابی کرد.» نوری در بخش دیگری از تحلیل خود نوشته بود: با تطابق برخی از این شناسه‌‌‌ها در سرویس‌‌‌های مختلف، مشخص می‌شود مثلا شمایی که در یک اپلیکیشن خبری، خبر ۱ و ۳ را خوانده‌‌‌اید، همان کاربری هستید که در یک اپلیکیشن دیگر یک عکس مشخص را بارگذاری کرده‌‌‌اید و در برنامه یک تاکسی آنلاین نیز از چنین مسیرهایی عبور کرده‌‌‌اید. به این ترتیب اطلاعات قابل‌‌‌توجهی از زیست مجازی فرد به دست می‌‌‌آید و حریم خصوصی کاربر، آن هم در شرایطی که به گمان خود به صورت ناشناس در فضای مجازی فعالیت می‌کند، نقض شده است.

رمزگشایی تکرار این حملات

فارغ از خطرات متعددی که این هک‌ها و نشت داده‌‌‌های شرکت‌ها می‌تواند برای کاربران ایجاد کند، این سوال مطرح می‌شود که اصلا چرا اخیرا تعداد این حملات تا این اندازه بالا رفته و چگونه می‌توان احتمال تکرار آنها را کاهش داد. شاهین‌‌‌زاده در بخش دیگری از گفت‌وگوی خود با «دنیای‌اقتصاد» به رمزگشایی تکرار این حملات پرداخته و می‌‌‌گوید:« اگرچه امنیت هیچ‌گاه صددرصدی نیست، اما برای دستیابی به یک سطح قابل‌‌‌قبول، باید مراحلی طی شود که هزینه‌‌‌های نسبتا قابل‌‌‌توجهی دارند. وضعیت درآمدی و رقابتی شرکت‌ها گاهی آنها را به جایی می‌‌‌رساند که ترجیح می‌دهند هزینه زیادی در این بخش صرف نکنند و گاهی شکست از همین نقطه شروع می‌شود.» این کارشناس معتقد است که داشتن یک تیم قوی و متخصص برای شناسایی حفره‌‌‌های امنیتی، اولین لایه برای حفاظت از اطلاعات است و در ادامه شرکت‌ها باید یک واحد امنیت مجزا نیز داشته باشند تا با رصد مداوم شبکه، حملات احتمالی را شناسایی و سریعا وارد عمل شوند.

این کارشناس افزود اکنون در ایران نیز کسب‌و‌کارهایی مانند «دیوار» و «‌‌‌بازار»، به خوبی در حال اجرای این رویه هستند و جوایز قابل‌‌‌قبولی نیز به هکرهای کلاه سفید اعطا می‌کنند، می‌‌‌گوید: اما متاسفانه برخی کسب‌و‌کارها به این مورد بی‌‌‌توجه هستند. آنها یا چنین سیستمی ندارند یا مانند مورد اخیر تپسی، جایزه آنها به قدری کم است که هکرها رغبتی به همکاری با آنها برای کشف آسیب‌‌‌پذیری‌‌‌ها ندارند. مثلا ماکزیمم پاداش در نظر گرفته شده از سوی تپسی برای گزارش باگی مشابه آنچه مورد سوءاستفاده قرار گرفت، ۱۲ میلیون تومان بوده است.

در پناه بی‌‌‌قانونی

نبود قانون مشخصی که شرکت‌ها را به حفظ برخی حداقل‌‌‌ها در بحث امنیت اطلاعات کاربران مکلف کند، یکی از موضوعاتی است که کارشناسان بارها بر آن به عنوان عاملی در تشدید نابسامانی‌‌‌های امنیتی موجود، تاکید کرده‌‌‌اند. این کارشناس در تشریح این مورد می‌‌‌گوید: در سال‌های اخیر حاکمیت کشورها سخت‌‌‌گیری‌‌‌های جدی‌‌‌تری را نسبت به هزینه‌‌‌کرد و خروجی امنیتی شرکت‌ها به خرج می‌دهند و همین باعث می‌شود که با تمام دشواری‌‌‌های تجارت، همواره بودجه قابل‌‌‌قبولی از سوی شرکت‌ها به بحث تامین امنیت اطلاعات تخصیص داده شود. این فعال حوزه امنیت چنین ادامه می‌دهد: از سوی دیگر، شرکت‌ها ملزم هستند امکانی فراهم کنند تا کاربر در صورت تمایل، بتواند تمام سوابق اطلاعاتی خود را از سرور یک کسب و کار مشخص حذف کند. این در حالی است که در کشور ما قانون خاصی برای حمایت از حریم خصوصی کاربران وجود ندارد؛ در نتیجه عمدتا امکان حذف اطلاعات در اختیار کاربران قرار نمی‌گیرد و شرکت‌ها نیز در سایه همین ضعف قانونی، الزامی برای فراهم کردن آن نمی‌‌‌بینند.

در کنار ضعف قانونی موجود، واکنش پلیس فتا به ماجرای نشت اطلاعات کاربران تپسی یکی دیگر از موضوعاتی بود که در این چند روز واکنش‌‌‌برانگیز شد و انتقاداتی را متوجه رویکرد این نهاد حافظ امنیت فضای مجازی کشور کرد. در همان روزی که بحث بررسی عمق ماجرای هک تپسی از سوی کاربران حسابی داغ بود، معاون اجتماعی پلیس فتا در مصاحبه‌‌‌ای با خبرگزاری مهر، به تشریح ابعاد این ماجرا پرداخت. رامین پاشائی ضمن اعلام آنکه هویت گروه هکری مشخص شده و این افراد خواستار دریافت ۳۵‌‌‌هزار دلار در ازای عدم‌افشای اطلاعات بودند، از شکایت شرکت تپسی از این هکرها خبر داد. وی با تاکید بر آنکه در پی شکایت تپسی، اقدامات قضایی انجام و منبع آلودگی برطرف شد، گفت: شرکت تپسی هم در حال انجام خدمات خود است و هیچ نگرانی برای هموطنان وجود ندارد.

در راستای پیگیری جزئیات بیشتر این ماجرا، روابط عمومی تپسی اعلام کرد که فعلا ترجیح می‌دهند واکنش بیشتری به این موضوع نداشته باشند و در صورت لزوم، اطلاعات جدیدی به‌زودی در اختیار رسانه‌‌‌ها قرار خواهد گرفت. در ادامه سکوت فعلی تپسی، فرید تاکید می‌کند: «اکنون هدف صرفا متهم کردن و فشار آوردن به یک شرکت خاص نیست که حالا خودش نیز قربانی شده و آسیب ‌‌‌دیده است؛ بلکه باید نگاه جامعی به تمام حملاتی داشت که در ماه‌‌‌ها و سال‌های اخیر، مکررا اتفاق می‌‌‌افتند و هیچ اقدام خاصی نیز در راستای جلوگیری از وقوع آنها انجام نمی‌شود.» او با اشاره به ضعف قانونی موجود می‌‌‌گوید: «از آنجا که قانون حدود مسوولیت‌ها و وظایف پلتفرم‌‌‌ها را مشخص نکرده، صاحبان این کسب‌و‌کارها نیز چندان برقراری امنیت را جدی نمی‌‌‌گیرند و حاضر به صرف هزینه کافی برای آن نیستند.»

یکی از موضوعاتی که برخی کارشناسان حقوقی در این میان مورد تاکید قرار دادند، حمایت قانونی بسیاری از کشورهای خارجی از کاربرانی بود که اطلاعات آنها نشت پیدا کرده است. این درحالی است که با وجود آنکه به گواه آمارهای بین‌المللی، کشور ما یکی از مهم‌ترین مقاصد حملات سایبری در جهان به حساب می‌‌‌آید، هنوز با خلأ قانونی درباره حمایت از داده‌‌‌های کاربران مواجه هستیم. در همین راستا علیرضا طباطبایی‌هاشمی، وکیل پایه یک دادگستری، تصریح کرده بود: «ما در قانون جرائم رایانه‌‌‌ای در خصوص مسئولیت تپسی در قبال این اطلاعات خلأ داریم و هیچ قانونی در این زمینه وجود ندارد و از این بابت قانون مسئولیتی برای شرکت‌ها در نظر نگرفته است. در نتیجه امروزه شرکت‌ها آنقدر نگران لو رفتن دیتا نیستند.» اگرچه سیاستگذاران با دنبال کردن تصویب طرحی مانند صیانت، بر حمایت از حقوق کاربران در فضای مجازی تاکید داشتند، اما انتشار مفاد جزئیات این طرح در عمل نشان داد که طرح، کارکرد موثری در این زمینه ندارد و تنها به محدود کردن زیست مجازی کاربران پرداخته است. در همین حال، با وجود گذشت دو سال از پیشنهاد لایحه‌‌‌ای برای حفاظت از داده‌‌‌های کاربران، هنوز سرنوشت این لایحه مشخص نشده است.

منبع: دنیای اقتصاد