شیعه نیوز | هکرهایی که موفق به هک اطلاعات ۳۰ میلیون کاربر تپسی شده بودند این بار احتمالا در آرامش کامل، اطلاعات ۲۰ میلیون کاربر اسنپ فود را هک کردند و بعد از دو روز سروصدای جدی و حتی خبر استقرار نیروهای فتا در دفتر اسنپ فود، بالاخره مشخص شد که اطلاعات با همان رقم پیشنهادی اولیه ۳۰ هزار دلار در دارک وب فروخته شده است، رقمی که با توجه به حجم بزرگ اطلاعات برای بسیاری واقعا عجیب بود و حتی عجیبتر اینکه چرا اساسا خود اسنپ این رقم را پرداخت نکرد؛ رقمی که با احتساب دلار ۵۰ هزار تومانی هم در نهایت به یک میلیارد و ۵۰۰ میلیون تومان میرسید.
به گزارش «شیعه نیوز»، البته مساله این جاست خسارتی که این هک به شهروندان ایرانی خواهد زد در نتیجه بسیار بیشتر از این ارقام است.هرچند که عصر دیروز این گروه هکری در خبری که مشخص نیست در قالب رپرتاژ در برخی رسانهها منتشر شده است یا خیر، مدعی شد «پیرو مذاکراتی که با تیم اسنپفود داشتیم، دیتای این مجموعه به هیچکس فروخته نشده و نخواهد شد!»
اطلاعات منتشر شده شامل چه بخشی بوده است؟
آنچه، اما منتشر شد شامل همه اطلاعات زیر از ابتدای تاسیس اسنپ تا امروز بوده است؛
- اسم، کدملی، تلفن، ایمیل، تمامی آدرسها، GPS آدرسها، تمامی دستگاهها، تمامی تراکنشها، شماره کارتها و تمامی سفارشات و هر چیزی که یک کاربر یا مشتری در اسنپ فود داشته است.
- اسم، کدملی، تلفن، ایمیل، آدرسها، اطلاعات حساب، واریزها، نوع وسیله نقلیه، سن، سفرها و هر چیزی که پیکها داشته اند.
- اسم، آدرسها، شمارهها، اطلاعات حسابها، تراکنشها، اطلاعات رابطها و تمام اطلاعاتی که رستورانها به اسنپ دادند.
- تمام اطلاعات شرکتها، پرسنل، اطلاعات رابط و هر اطلاعاتی که موسسات و شرکتها برای اکانتهای سازمانی به آنان داده اند.
جالب این است که تیم هکری در همان ابتدا گفت اقدام هک را به اسنپ فود اطلاع نداده اند و مستقیما اطلاعات را برای فروش گذاشته است. اما دلیل این عدم اطلاع باز میگردد به تابستان امسال که همان گروه هکری تپسی را هک کرده بود و این بار عنوان کردند که پس از ماجرای تپسی تصمیم گرفتیم با هیچ شرکتی در آینده مذاکره نکنیم!چرا که شرکت تپسی پس از یک دور مذاکره بی حاصل در نهایت اعلام کرد تصمیم به دادن هیچ باجی به هکرها ندارد و هکرها نیز اطلاعات را در اینترنت منتشر کردند.
اهمیت و ارزش اطلاعاتی که به سرقت رفت
اما کافی است نگاهی به آنچه در این هک بزرگ و افشای اطلاعات رخ داده است بیاندازید تا متوجه اهمیت و ارزش اطلاعات از دست رفته شوید.البته که اسنپفود در اطلاعیه رسمی خود اشاره کرده که مشتریان نباید نگران اطلاعات حساب بانکی خود یا دستکم سرقت موجودی حسابهایشان باشند؛ چون اطلاعات لو رفته شامل کد امنیتی کارت CVV۲، رمز عبور و تاریخ انقضا نمیشود. با این حال بسیاری از کاربران به حق نگران اطلاعات لو رفته در شبکههای مجازی هستند و با حجم اطلاعات افشا شده به نظر میرسد که کاملا نیز حق داشته باشند.
اما مساله این است که آنطور که بررسی نمونهها توسط دیجیاتو نشان میدهد، آخرین نمونه اطلاعات نشت شده در اسنپ مربوط به تاریخ ۱۰ دسامبر ۲۰۲۳ است. این موضوع احتمالا میتواند حاکی از آن باشد که اطلاعات حدود ۲۰ روز پیش از اعلام شدنش از اسنپ فود استخراج شده است.
افزایش هک در ماههای اخیر
مساله این است که در ماههای اخیر تعداد حملات سایبری به سازمانهای دولتی و همچنین اپلیکیشنهای کسب و کار افزایش یافته است، اما نباید با همه این موارد اهمیت این موضوع و توجه به امنیتی که با هر حمله و نشت اطلاعات به مخاطره میافتد، نادیده گرفته شود. مساله این است که طی ماههای اخیر به طور توامان هم حملات سایبری به سامانهها و پلتفرمها افزایش پیدا کرده، و هم به طور مداوم شاهد عدم واکنش صحیح به این موضوع از طرف مراجع قانونگذار هستیم، به طوری که گویا این حملات سایبری و نشت اطلاعات شهروندان فاقد اهمیت است، در حالی که هر کدام از این افشای اطلاعات توسط هک در کشورهایی با قوانین مدون و لازم میتوانست منجر به فاجعهای جدی شود که نه تنها مجازات سنگین برای پلتفرم در بر داشته باشد که حتی کل قوانین قضایی آن کشور را نیز تغییر دهد، اما در ایران به نظر میرسد هنوز اهمیت نقض حریم خصوصی شهروندان و افشای اطلاعات آنان در ردیف جرمهایی که باید آن را خطرناک دسته بندی کرد قرار نگرفته است.
مساله، اما اکنون این است که برای جلوگیری و ممانعت از اینکه حمله سایبری، نشر اطلاعات کاربران و نقض امنیت و حقوق شهروندان تبدیل به یک موضوع معمولی نشود باید تبعات این اتفاق از بعد امنیتی و اقتصادی به طور مکرر مورد بررسی قرار بگیرد.
اینکه اسنپفود مورد حمله گروه هکری IRLeaks قرار گرفته، که پیشتر تپسی را هک کرده بود، و دادههای فراوان با جزئیات بسیاری از ۲۰ میلیون کاربر این پلتفرم و مشخصات کسبوکارهایی که در آن فعال بودهاند به دست هکرها افتاده است چنان از سوی اسنپ عادی سازی شد و بیانیه خونسردانهای صادر شد که عملا تمامی نشر اطلاعات شخصی و خصوصی شهروندان تنها از این باب که اطلاعات کارت بانکی شان کامل افشا نشده است، به هیچ گرفته شد.
شرکتهای بی تعهد و خطری که کاربران را تهدید میکند
مسالهای که به وضوح نشان از عدم تعهد این شرکت بزرگ داشته آن هم در حالی که از امروز همه کاربران اسنپ فود به طور مکرر و روزانه باید نگران تک تک پیامکهایی که برای آنان ارسال میشود باشند چرا که میتواند امنیت اقتصادی شهروندان را به راحتی با این اطلاعات تهدید کرد.
اما حملههای سایبری ماههای اخیر ابدا به کسبوکارها محدود نبوده و حمله سایبری به پمپبنزینها و کل سامانه سوخترسانی کشور، حمله به سامانه ثبت احوال و لو رفتن اطلاعات مردم و حمله به سرورهای بنیاد شهید هم از موارد اخیر هک سازمانها و نهادهای دولتی بوده است؛ حملات هکری که در هر مرحله بخشی از اطلاعات کاربران ایرانی به راحتی در اختیار شبکهها و گروههایی قرار گرفته است که هیچ گاه هویت آنان به دقت مشخص نشده است.
مساله دیگر، اما در این میان همین که هک و نشت اطلاعات اسنپ فود باعث بار دیگر مساله عدم وجود قانونی برای حفاظت از دادهها و اطلاعات در سطح کشور مطرح شود و آن را یکی از مهمترین دلایل پایین بودن سطح امنیت سایبری در کشور نیز بسیاری بدانند. عملا در ایران قانونی وجود ندارد که شرکتها را موظف و ملزم به پاسخگویی در قبال نشر اطلاعات کاربران و مشتریان خود کند. البته در چند سال گذشته تلاشهایی برای تدوین لایحه حمایت و حفاظت از دادههای شخصی صورت گرفته، اما این لایحه به اندازه لوایح و قوانینی مانند صیانت اهمیت نداشته که به تصویب برسد و اجرای آن با جدیت پیگیری شود.
بحران قوانین کارآمد برای محافظت از شهروندان
در این میان، اما ایرنا گزارش داده است که عیسی زارع پور ، وزیر ارتباطات پس از انتشار خبر هک اسنپفود و افشای اطلاعات کاربران بار دیگر به این لایحه اشاره کرده و البته مسئولیت رسیدگی به موضوع حملات سایبری را با پلیس فتا دانسته و گفته است: «مسئول رسیدگی به امنیت کسبوکارها پلیس فتا است. لایحه حریم خصوصی به کمیسیون حقوقی و قضایی دولت ارجاع داده شده است. به این ترتیب حقوق و تکالیف مردم و پلتفرمها مشخص خواهد شد.»
سعید سوزنگر، کارشناس حوزه امنیت سایبری نیز به زومیت گفته است که: «در یک جهان نرمال کسبوکارها ملزم هستند که حامی حقوق کاربرانشان باشند، اما در شرایط کشور ما کسبوکار میبیند که به واسطه سهام و پشتوانههایی که دارد از انحصار برخوردار است و برای هیچ نهادی هم مهم نیست که این اطلاعات منتشر شود پس وارد فرایند هزینهبر ارتقای سطح امنیت خود نمیشود.»
این کارشناس در ادامه به سیاستهای کلان حاکمیتی در حوزه اینترنت اشاره میکند که باعث به وجود آمدن این وضعیت شده است: «نهادهای رگولاتور و قانونگذار به جای اینکه تمرکزشان را روی جلوگیری از نقض قوانین و حقوق شهروندی بگذارند، خودشان با قطع و فیلتر کردن، این حقوق را نقض میکنند و با این کار سطح امنیت را هم کاهش میدهند. مردم هم این وسط اهمیتی ندارند که این نهادها برای حفظ امنیت اطلاعاتشان تلاش کنند در حالی که حاکمیت موظف است از دادههای شهروندانش محافظت کند.»
انحصار و فیلترینگ دو بحران بزرگ
در واقع آنچه این کارشناس امنیت سایبری و شبکه به آن اشاره میکند را شاید باید ریشه اصلی بحران پلتفرمهای ایرانی دانست، مساله انحصار در این پلتفرمها که همواره بدون واکنش با دولتها مواجه شده است از بحرانهای اصلی در کشور محسوب میشود.
البته باید توجه داشت که به اعتقاد کارشناسان مواردی مانند فیلترینگ سطح امنیت کاربران و پلتفرمها را کاهش داده و میزان آسیبپذیری آنها را بالا برده است و البته گروهی دیگر از کارشناسان حوزه امنیت معتقد هستند فیلترینگ فقط تسهیل کننده بوده و امنیت سایبری در کشور همواره در سطح پایینی قرار داشته و یک عامل مهم آن نبود قوانین بازدارنده کافی است و در نتیجه پلتفرمهای آنلاین توجهی به وضعیت آشفته امنیت سایبری ندارند و چون مجازات چندانی درباره افشای اطلاعات نیز نمیشوند پس اساسا لزومی برای حل این بحران و افزایش سطح امنیت خود نیز نمیکنند.
هکرها متمرکز روی ایران
در این میان باید به نظر کارشناسان امنیت سایبری نیز توجه کرد که اعتقاد دارند علت افزایش حملههای سایبری در سالها و ماههای اخیر در کشور یکی این است که تمرکز تیمهای هکری به سمت ایران بیشتر شده، چرا که استفاده از فیلتر شکن، امنیت شبکه را به طور جدی کاهش داده و از سوی دیگر نبود قوانین کافی منجر به بی توجهی پلتفرمها نیز میشود.همچنین با درز هر بار اطلاعات و تلاش برای فروش اطلاعات، مساله هک شدنها، رسانه ای شده و باگهای بزرگتری از شبکه اطلاعاتی کشور افشا میشود.
همین حالا میبینید که در ایران چنان افشای بزرگ اطلاعاتی رخ داده است، اما اسنپفود میداند که حتی لو رفتن دیتای مشتری از پلتفرمش نیز چندان برایش هزینه ندارد چرا که نه قوانین کافی وجود دارد و نه قوانین ضدانحصار در کشور عمل میکند پس چیزی از دست نخواهد داد و در نتیجه به فکر مقاومسازی خود در برابر تهدیدهای امنیتی نیز نیست.
کما این که اگر روزگاری سعی میکرد هکرها را با رقم ۷ میلیون و پانصد هزار تومان برای افشای باگهای خود به مسخره بگیرد، حالا، اما دیگر میداند که شوخی وی چندان کارآمد نیست و اطلاعاتش به قیمت ۳۰ هزار دلار به فروش رفته است، آن هم فروشی که برخی خریدارش را یکی از رقبای تازه نفسی میدانند که احتمالا به زودی به عرصه وارد خواهد شد.البته در این موضوع خاص آن چه در موضوع هک اسنپ فود و نشت اطلاعات ۲۰ میلیون کاربر ایرانی خود را به رخ کشیده است، سکوت دادستان به عنوان مدعی العموم است.فراموش نکنیم که از امروز هر کاربر اسنپ فود باید نگران هر پیامک، هر لینکی که برای وی ارسال میشود و هر نوع درز اطلاعاتش باشد.
کاربر ایرانی در خطر مداوم از فیشینگ تا ارسال لینکهای آلوده
این که روزگاری با فیشینگ حساب بانکی خالی میشد حالا میتواند به بحرانی تازه تبدیل شود. کاربری که نام و کدملی و اطلاعات محل سکونتش به همراه شماره موبایل و حتی شماره کارت بانکی وی لو رفته است، حالا در معرض امکان انوع دزدیها قرار میگیرد و امنیت او نه فقط به صورت مجازی که حتی به صورت واقعی میتواند در خطر باشد.
تصور کنید شهروندی به ناگاه با پیامک یا پیغامی در یکی از شبکههای اجتماعیش مواجه شود که نام و کد ملی وی را به درستی قید کرده و لینکی نیز برای وی ارسال شده است، او به راحتی ممکن است اعتماد کند و با یک کلیک ساده روی لینک کمترین چیزی که از دست برود اطلاعات حسابهای بانکی وی باشد.
از سوی دیگر این حجم اطلاعات لو رفته میتواند منجر به باج گیری اقتصادی، از بین رفتن امنیت این شهروندان حتی به طور حقیقی شود و در واقع هک رخ داده در اسنپ فود را باید اسنپ گیت دانست و کمترین درخواست در این میان قطعا حضور دادستان به عنوان مدعی العموم و اعلام رسمی و صدور سریع کیفرخواست علیه شرکتی است که با انحصار پیشتازی میکند و اتفاقا به مدد همین انحصار است که بعد از افشای چنین درز و نشت اطلاعاتی هنوز در حال ادامه دادن کار است.
در این میان باید یکبار دیگر نیز به مسئولان یادآور شد که بخشی از فاجعه رخ داده جدا از مساله عدم قوانین درست و کارآمد و البته انحصار در بازار، نتیجه مستقیم اعمال فیلترینگ است که عملا اینترنت ایران را به یک شبکه غیرقابل اعتماد تبدیل کرده و صیانت وعده داده شده به کاربران را نیز عملا هیچ دانسته است.
سهم کاربر ایرانی از صیانت فقط فیلترینگ است
سهم کاربران ایرانی حالا از صیانت، تنها به فیلترینگ مداوم و قطع دسترسی آزاد به گردش اطلاعات تبدیل شده و به نظر میرسد در برابر نشر این مدل اطلاعات هیچ سهمی از ادعاهای مطرح شده درباره صیانت ندارند.
خوب است مسئولان کشور برای درک مساله صیانت از حقوق کاربران به جای فشار مداوم دکمه فیلترینگ، یک بار زحمت بکشند و نگاهی به قوانین اتحادیه اروپا برای حقوق کاربران بیاندازند و اصلا چرا راه دور، جلسه کنگره آمریکا با مارک زاکربرگ را برای حفظ امنیت کاربران بار دیگر تماشاکنند، شاید بالاخره کاری به جز فیلترینگ نیز از دستشان بربیایید.