کد QR مطلبدریافت صفحه با کد QR

اسنپ فود هک شد و اطلاعات ۲۰میلیون کاربر به فروش گذاشته شد

11 دی 1402 ساعت 12:57

گزارشگر : تحریریه پروژه ایران

هکرها توانستند به «اسنپ فود» نفوذ کنند و حالا اطلاعاتی که به‌دست آورده‌اند برای فروش گذاشته‌اند. این نخستین بار نیست که اطلاعات کاربران از پلتفرم‌های پرکاربر به‌سرقت می‌رود.

به گزارش پایگاه خبری پروژه ایران، هکرها توانستند به «اسنپ فود» نفوذ کنند و حالا اطلاعاتی که به‌دست آورده‌اند برای فروش گذاشته‌اند. این نخستین بار نیست که اطلاعات کاربران از پلتفرم‌های پرکاربر به‌سرقت می‌رود. پیش از این «تپسی»، «ایرانسل»، چند بانک و پلتفرم دیگر با کاربری‌های متفاوت نیز هک شدند و اطلاعات کاربران آنها در وب تاریک (Dark Web) به فروش گذاشته شد. با این‌حال، هنوز مراجع قضایی دربارهٔ حقوق تضییع‌شدهٔ کاربرانی که اطلاعات آنها در اختیار هکرها قرار گرفته، واکنش خاصی نشان نداده‌اند و خبری نیز از جریمه یا پراخت قرامت توسط این پلتفرم‌ها به کاربران منتشر نشده است. موضوعی که به گفتهٔ متخصصان حوزهٔ فناوری اطلاعات، باعث می‌شود تا پلتفرم‌ها کمتر برای افزایش امنیت داده‌های در اختیار خود هزینه کنند. 

صبح دیروز یک گروه هکری اعلام کرد که توانسته با نفوذ به پایگاه داده‌های «اسنپ فود»، اطلاعات بیش از ۲۰ میلیون کاربر شامل نام، تلفن همراه، نشانی دقیق، رمز عبور، ایمیل، شماره حساب و اطلاعاتی از این دست را در اختیار بگیرد. گروه هکری IRLeaks ادعا کرد علاوه بر این، اطلاعات بیش از ۵۱ میلیون آدرس کاربر شامل: موقعیت GPS، آدرس کامل، شماره تلفن و… اطلاعات بیش از ۱۸۰ میلیون دستگاه همراه شامل: نوع و مدل دستگاه، پلتفرم، توکن، فروشگاه نصب برنامه و اطلاعات ۸۸۰ میلیون سفارش را از اپلیکیشن اسنپ فود هک کرده است.
کمی بعد، اسنپ فود هک شدن اطلاعاتش را تأیید کرد و در بیانیه‌ای گفت که مسئولیت این اتفاق را می‌پذیرد و دربارهٔ دلایل وقوع آن بررسی دقیق انجام خواهد داد. 
 
هرچند که اسنپ فود در بیانیه‌اش اطمینان داده که اطلاعاتی همچون کد امنیتی، رمز عبور و تاریخ انقضاء کارت بانکی کاربران در میان اطلاعات هک‌شده نیست اما در این بیانیه آورده است: «این گروه هکری پیش از مذاکره با اسنپ‌فود اقدام به فروش اطلاعات کرده است و شرکت اسنپ‌فود حداکثر تلاش خود را برای جلوگیری از انتشار داده‌های کاربران، از طریق مذاکره با این گروه هکری، خواهد کرد.»
این شرکت اعلام کرده که در همکاری با پلیس فتا، «در حال شناسایی و رفع منبع آلودگی ناشی از اقدام این گروه هکری» است. 
 
اطلاعات کاربران به‌ چه کاری می‌آید؟
طبق قوانین ایران، درگاه‌های پرداخت و پلتفرم‌های فروش کالا و خدمات اجازه ذخیرهٔ اطلاعات مهم حساب‌های بانکی کاربران نظیر کد امنیتی و تاریخ انقاضای کارت و... را ندارند، به همین دلیل هکرها نمی‌توانند با استفاده از اطلاعات هک‌شده از حساب بانکی کاربران پول برداشت کنند. اما خطر نشت اطلاعات کاربران پلتفرم‌ها فقط این نیست. 
به‌طور کلی اطلاعات در اینترنت به سه بخش «محرمانه»، «خصوصی» و «عمومی» تقسیم می‌شوند. اطلاعات محرمانه بخشی از اطلاعات موجود در فضای مجازی هستند که به‌طور مشخص مربوط به افرد حقیقی و حقوقی و کسب‌وکارها و... است. مثلاً اسناد حسابداری یک شرکت یا اطلاعات مکاتبات وزارتخانه که در یک سرور متصل به شبکهٔ جهانی بارگذاری شده، جزء اطلاعات محرمانه هستند. اطلاعات خصوصی دربارهٔ هویت افراد است و اطلاعاتی مانند نام و شماره تلفن و سن و سابقه معاملات یا سابقهٔ پزشکی و... را شامل می‌شود که افراد ممکن است به فراخور موقعیت، بخشی از این اطلاعات را در اختیار پلتفرم‌های تجاری قرار دهند. مثلاً برای خرید از یک فروشگاه اینترنتی، نام و شماره تماس خود را در اختیار آن فروشگاه قرار دهند. اطلاعات عمومی نیز بخشی از اطلاعاتی است که از جمعی از کاربران به‌دست آمده اما به‌طور مشخص نمی‌توان با دسترسی به آن اطلاعات، به داده‌های مربوط به شخص خاصی رسید. مثلاً داده‌های مربوط به یک کتابفروشی آنلاین که نشان می‌دهد در یک شهر، رمان‌های ایرانی پرطرفدار هستند و در شهری دیگر کتاب‌های علمی ترجمه‌شده بیشتر به‌فروش رسیده است. معمولاً این اطلاعات عمومی برای همگان قابل دسترس است و افراد می‌توانند با تحلیل این داده‌ها برنامه‌های فروش یا ارائهٔ خدمات خود را بهبود ببخشند. 
 
آن بخش از اطلاعاتی هکرهای توانسته‌اند با هک‌کردن اسنپ فود به‌آن دسترسی پیدا کنند، اطلاعات خصوصی افراد است. اطلاعاتی که نشان می‌دهد یک شمارهٔ تلفن یا یک نشانی دقیقاً متعلق به چه کسی است و مثلاً محل کار این فرد کجاست، معمولاً چه غذایی سفارش می‌دهد و اطلاعاتی از این دست. این اطلاعات می‌توانند دست افراد سودجو برای سوء استفاده از اطلاعات کاربران را باز کنند. مثلاً آنها می‌توانند با ارسال پیامک‌های جعلی، آنهم با نام حقیقی افراد، آنها را فریب دهند و بخواهند برای بررسی شکایت ثبت شده از آنها، وارد یک لینک شوند و پرداخت اینترنتی انجام دهند. به‌این ترتیب آنها می‌توانند به اطلاعات حساب بانکی افراد نیز دسترسی داشته باشند. مشابه اتفاقی که از سال گذشته بارها تکرار شده است. 
 
درواقع سودجویان و خلافکاران سایبری، بخشی از اطلاعات خصوصی کاربران را از هکرها خریداری می‌کنند، با خریداری اطلاعاتی دیگر از هکرهایی دیگر این اطلاعات را کامل‌تر می‌کنند و بخش اساسی اطلاعات که آنها را قادر می‌کند تا برداشت غیرقانونی از حساب بانکی شهروندان کنند یا کارهایی دیگر انجام دهند، را در پروسه‌هایی دیگر و با فریب‌دادن خود کاربران به دست می‌آورند.اهمیت هک‌شدن پلتفرم‌هایی مانند اسنپ‌فود نیز وجود همین اطلاعاتی است که دست هکرها و افراد سودجو را برای به‌دست آوردن اطلاعات محرمانه شهروندان باز می‌کند. 
 
شرکت‌ها برای جلوگیری از هک‌شدن چه می‌کنند؟
در دنیای سایبری امروز، شرکت‌ها به‌ این نتیجه رسیده‌اند که امنیت داده‌های خود در اینترنت را توسط هکرها محک بزنند. آنها برای پیدا کردن حفره‌های امنیتی در پلتفرم‌های خود جایزه تعیین می‌کنند و هکرهای «کلاه سفید» تلاش می‌کنند با پیدا کردن این حفره‌ها، شرکت صاحب پلتفرم را از وجود این حفره‌ها مطلع کنند و جایزه خود را دریافت کنند. صاحبان پلتفرم‌ها نیز با رفع مشکل، راه نفوذ را می‌بندند. به این اقدام اصطلاحاً «باگ بانتی» گفته می‌شود و در تمامی پلتفرم‌های بزرگ جهان نیز مرسوم است. به‌عنوان مثال پیام‌رسان «تلگرام» باگ‌بانتی ۱۰۰ هزار دلاری برای یافتن حفره‌های امنیتی خود تعیین کرده است. 
 
هرچند شرکت اسنپ نیز باگ‌بانتی‌هایی به ارزش پنج تا ۱۵۰ میلیون تومان مشخص کرده است، اما به‌نظر می‌رسد که اولاً این ارقام در برابر ضرری که کاربران از لو رفتن اطلاعات خود می‌بینند ناچیز است و از طرف دیگر، به نظر می‌رسد در پاره‌ای از موارد جایزه به‌طور کامل به هکرهای برنده پرداخت نشده یا آنکه مشکل یافت‌شده به‌طور صحیح رفع نشده است. 
روز گذشته و پس از اعلام هک‌‌شدن اسنپ‌فود، برخی کاربران در «ایکس» (توییتر سابق) از رفتار این شرکت در برابر پیداشدن حفره‌های امنیتی انتقاد کردند. مثلاً کاربری با نام «ساسان احمدی» نوشت: «حدود سه‌ماه پیش دوستی، یوزر و پسورد دیتابیس اسنپ فود را با یک باگ از سامانه در اختیار گرفت. موضوع به اسنپ منتقل شد و وارد مذاکره شدند. توافق روی ۱۵۰ میلیون تومان شد. بعد از رفع مشکل مبلغ پنج میلیون تومان واریز کردند. مبلغ باگ در این سطح توی پروژه باگ بانتی اسنپ ۷.۵ میلیون تومانه که یعنی ۲.۵ میلیون هم کمتر داده نسبت به سایت خودشون.» 
 
قانون چه می‌گوید؟ 
روز گذشته پلیس فتا اعلام کرد که تیم فنی خود را در اسنپ‌فود مستقر کرده است تا بررسی‌های فنی و تخصصی را انجام دهد. 
«رامین پاشایی»، معاون فرهنگی اجتماعی پلیس فتا گفت: «با توجه به اینکه شرکت مذکور توسط کارشناسان این پلیس در سال جاری چندین نوبت مورد ارزیابی و توجیه فنی لازم قرار گرفته‌اند، در صورت مشاهده هرگونه اهمال و سهل‌انگاری مراتب برای پیگیری به مراجع قانونی منعکس خواهد شد.» با این وجود مشخص نیست که تبعات آنچه که پاشایی آن را اهمال و سهل‌انگاری می‌نامد، برای شرکت اسنپ فود چیست. همچنین هنوز نتایج بررسی‌های واقعهٔ هک‌شدن پلتفرم‌های دیگر مانند تپسی یا اپلیکیشن‌های بانکی مشخص نیست. 
 
انتشار اطلاعات کاربران در فضای مجازی بر اثر اهمال پلتفرم‌های تجاری و در معرض خطر قرار گرفتن شهروندان موضوعی است که به‌نظر می‌رسد هنوز ابعاد حقوقی آن در کشور مشخص نیست. خبرگزاری مهر در این باره نوشت: «حوادث سایبری نظیر این که طی ماههای گذشته نیز در کشور رخ داده حکایت از آن دارد که نظام حکمرانی داده، حفاظت از کاربران و امنیت سایبری در معنای کلی آن در کشور دچار ضعف‌های بیشماری است. علیرغم اینکه لایحه حفاظت از داده چندین ماه است که در دستور کار دولت قرار دارد و همزمان طرحی مشابه نیز در مجلس در حالی پیگیری است، به نظر می‌رسد تعلل در نهایی و اجرا کردن چنین قوانینی کاربران را متضرر می‌کند.» 
«صالح نقره‌کار»، حقوقدان و وکیل دادگستری می‌گوید: «متأسفانه در کشور ما تجربهٔ پیگیری‌ حقوق مردم در انتشار اطلاعات خصوصی‌شان بسیار ضعیف است. همین موضوع باعث می‌شود که ابعاد حقوقی این ماجرا به‌درستی مشخص نباشد.» 
 
به‌نظر می‌رسد همین مصونیت پلتفرم‌ها در مواردی که اطلاعات کاربران به‌دست هکرها می‌افتد، باعث شده تا پلتفرم‌ها نیز چندان انگیزه‌ای برای صرف‌هزینه‌های بیشتر با هدف ارتقای امنیت خود نداشته باشند. «جاوید مومنی»، کارشناس فناوری اطلاعات به «پیام ما» می‌گوید که اگر پیگردهای قانونی محکم برای شرکت‌ها در موضوع حفظ اطلاعات خصوصی کاربران وجود داشت، شرکت‌ها تلاش بیشتری برای رفع مشکلات امنیتی خود می‌کردند: «شما می‌بینید که بیشترین جایزه باگ بانتی در اسنپ ۱۵۰میلیون تومان است. طبیعی است که اگر اسنپ مجبور به پرداخت غرامت به کاربران خود یا پرداخت جریمه‌های سنگین بود، قطعاً هزینه‌های بیشتری برای امنیت صرف می‌کرد.» 
او همچنین می‌گوید: «پلیس فتا و مراجع قانونی هم بخشی از این ماجرا هستند چرا که باید اقدامات پیشگیرانه انجام دهند. همانطور که برای جلوگیری از دزدی یا قتل و سایر جرایم بسیاری برنامه‌ها و اقدامات انجام می‌شود و پلیس در حوزهٔ پیشگیری هم وظایفی دارد، در مورد جرایم سایبری و مسایلی مانند هک و فروش اطلاعات شهروندان هم همین وظایف را دارد اما می‌بینیم که معمولا پلیس پس از رخ دادن اتفاق وارد عمل می‌شود.»

کد مطلب: 410571

آدرس مطلب :
https://www.theiranproject.com/fa/report/410571/اسنپ-فود-هک-اطلاعات-۲۰میلیون-کاربر-فروش-گذاشته

پروژه ایران
  https://www.theiranproject.com