پروژه ایران : هکرها توانستند به «اسنپ فود» نفوذ کنند و حالا اطلاعاتی که بهدست آوردهاند برای فروش گذاشتهاند. این نخستین بار نیست که اطلاعات کاربران از پلتفرمهای پرکاربر بهسرقت میرود.
به گزارش پایگاه خبری پروژه ایران، هکرها توانستند به «اسنپ فود» نفوذ کنند و حالا اطلاعاتی که بهدست آوردهاند برای فروش گذاشتهاند. این نخستین بار نیست که اطلاعات کاربران از پلتفرمهای پرکاربر بهسرقت میرود. پیش از این «تپسی»، «ایرانسل»، چند بانک و پلتفرم دیگر با کاربریهای متفاوت نیز هک شدند و اطلاعات کاربران آنها در وب تاریک (Dark Web) به فروش گذاشته شد. با اینحال، هنوز مراجع قضایی دربارهٔ حقوق تضییعشدهٔ کاربرانی که اطلاعات آنها در اختیار هکرها قرار گرفته، واکنش خاصی نشان ندادهاند و خبری نیز از جریمه یا پراخت قرامت توسط این پلتفرمها به کاربران منتشر نشده است. موضوعی که به گفتهٔ متخصصان حوزهٔ فناوری اطلاعات، باعث میشود تا پلتفرمها کمتر برای افزایش امنیت دادههای در اختیار خود هزینه کنند.
صبح دیروز یک گروه هکری اعلام کرد که توانسته با نفوذ به پایگاه دادههای «اسنپ فود»، اطلاعات بیش از ۲۰ میلیون کاربر شامل نام، تلفن همراه، نشانی دقیق، رمز عبور، ایمیل، شماره حساب و اطلاعاتی از این دست را در اختیار بگیرد. گروه هکری IRLeaks ادعا کرد علاوه بر این، اطلاعات بیش از ۵۱ میلیون آدرس کاربر شامل: موقعیت GPS، آدرس کامل، شماره تلفن و… اطلاعات بیش از ۱۸۰ میلیون دستگاه همراه شامل: نوع و مدل دستگاه، پلتفرم، توکن، فروشگاه نصب برنامه و اطلاعات ۸۸۰ میلیون سفارش را از اپلیکیشن اسنپ فود هک کرده است.
کمی بعد، اسنپ فود هک شدن اطلاعاتش را تأیید کرد و در بیانیهای گفت که مسئولیت این اتفاق را میپذیرد و دربارهٔ دلایل وقوع آن بررسی دقیق انجام خواهد داد.
هرچند که اسنپ فود در بیانیهاش اطمینان داده که اطلاعاتی همچون کد امنیتی، رمز عبور و تاریخ انقضاء کارت بانکی کاربران در میان اطلاعات هکشده نیست اما در این بیانیه آورده است: «این گروه هکری پیش از مذاکره با اسنپفود اقدام به فروش اطلاعات کرده است و شرکت اسنپفود حداکثر تلاش خود را برای جلوگیری از انتشار دادههای کاربران، از طریق مذاکره با این گروه هکری، خواهد کرد.»
این شرکت اعلام کرده که در همکاری با پلیس فتا، «در حال شناسایی و رفع منبع آلودگی ناشی از اقدام این گروه هکری» است.
اطلاعات کاربران به چه کاری میآید؟
طبق قوانین ایران، درگاههای پرداخت و پلتفرمهای فروش کالا و خدمات اجازه ذخیرهٔ اطلاعات مهم حسابهای بانکی کاربران نظیر کد امنیتی و تاریخ انقاضای کارت و... را ندارند، به همین دلیل هکرها نمیتوانند با استفاده از اطلاعات هکشده از حساب بانکی کاربران پول برداشت کنند. اما خطر نشت اطلاعات کاربران پلتفرمها فقط این نیست.
بهطور کلی اطلاعات در اینترنت به سه بخش «محرمانه»، «خصوصی» و «عمومی» تقسیم میشوند. اطلاعات محرمانه بخشی از اطلاعات موجود در فضای مجازی هستند که بهطور مشخص مربوط به افرد حقیقی و حقوقی و کسبوکارها و... است. مثلاً اسناد حسابداری یک شرکت یا اطلاعات مکاتبات وزارتخانه که در یک سرور متصل به شبکهٔ جهانی بارگذاری شده، جزء اطلاعات محرمانه هستند. اطلاعات خصوصی دربارهٔ هویت افراد است و اطلاعاتی مانند نام و شماره تلفن و سن و سابقه معاملات یا سابقهٔ پزشکی و... را شامل میشود که افراد ممکن است به فراخور موقعیت، بخشی از این اطلاعات را در اختیار پلتفرمهای تجاری قرار دهند. مثلاً برای خرید از یک فروشگاه اینترنتی، نام و شماره تماس خود را در اختیار آن فروشگاه قرار دهند. اطلاعات عمومی نیز بخشی از اطلاعاتی است که از جمعی از کاربران بهدست آمده اما بهطور مشخص نمیتوان با دسترسی به آن اطلاعات، به دادههای مربوط به شخص خاصی رسید. مثلاً دادههای مربوط به یک کتابفروشی آنلاین که نشان میدهد در یک شهر، رمانهای ایرانی پرطرفدار هستند و در شهری دیگر کتابهای علمی ترجمهشده بیشتر بهفروش رسیده است. معمولاً این اطلاعات عمومی برای همگان قابل دسترس است و افراد میتوانند با تحلیل این دادهها برنامههای فروش یا ارائهٔ خدمات خود را بهبود ببخشند.
آن بخش از اطلاعاتی هکرهای توانستهاند با هککردن اسنپ فود بهآن دسترسی پیدا کنند، اطلاعات خصوصی افراد است. اطلاعاتی که نشان میدهد یک شمارهٔ تلفن یا یک نشانی دقیقاً متعلق به چه کسی است و مثلاً محل کار این فرد کجاست، معمولاً چه غذایی سفارش میدهد و اطلاعاتی از این دست. این اطلاعات میتوانند دست افراد سودجو برای سوء استفاده از اطلاعات کاربران را باز کنند. مثلاً آنها میتوانند با ارسال پیامکهای جعلی، آنهم با نام حقیقی افراد، آنها را فریب دهند و بخواهند برای بررسی شکایت ثبت شده از آنها، وارد یک لینک شوند و پرداخت اینترنتی انجام دهند. بهاین ترتیب آنها میتوانند به اطلاعات حساب بانکی افراد نیز دسترسی داشته باشند. مشابه اتفاقی که از سال گذشته بارها تکرار شده است.
درواقع سودجویان و خلافکاران سایبری، بخشی از اطلاعات خصوصی کاربران را از هکرها خریداری میکنند، با خریداری اطلاعاتی دیگر از هکرهایی دیگر این اطلاعات را کاملتر میکنند و بخش اساسی اطلاعات که آنها را قادر میکند تا برداشت غیرقانونی از حساب بانکی شهروندان کنند یا کارهایی دیگر انجام دهند، را در پروسههایی دیگر و با فریبدادن خود کاربران به دست میآورند.اهمیت هکشدن پلتفرمهایی مانند اسنپفود نیز وجود همین اطلاعاتی است که دست هکرها و افراد سودجو را برای بهدست آوردن اطلاعات محرمانه شهروندان باز میکند.
شرکتها برای جلوگیری از هکشدن چه میکنند؟
در دنیای سایبری امروز، شرکتها به این نتیجه رسیدهاند که امنیت دادههای خود در اینترنت را توسط هکرها محک بزنند. آنها برای پیدا کردن حفرههای امنیتی در پلتفرمهای خود جایزه تعیین میکنند و هکرهای «کلاه سفید» تلاش میکنند با پیدا کردن این حفرهها، شرکت صاحب پلتفرم را از وجود این حفرهها مطلع کنند و جایزه خود را دریافت کنند. صاحبان پلتفرمها نیز با رفع مشکل، راه نفوذ را میبندند. به این اقدام اصطلاحاً «باگ بانتی» گفته میشود و در تمامی پلتفرمهای بزرگ جهان نیز مرسوم است. بهعنوان مثال پیامرسان «تلگرام» باگبانتی ۱۰۰ هزار دلاری برای یافتن حفرههای امنیتی خود تعیین کرده است.
هرچند شرکت اسنپ نیز باگبانتیهایی به ارزش پنج تا ۱۵۰ میلیون تومان مشخص کرده است، اما بهنظر میرسد که اولاً این ارقام در برابر ضرری که کاربران از لو رفتن اطلاعات خود میبینند ناچیز است و از طرف دیگر، به نظر میرسد در پارهای از موارد جایزه بهطور کامل به هکرهای برنده پرداخت نشده یا آنکه مشکل یافتشده بهطور صحیح رفع نشده است.
روز گذشته و پس از اعلام هکشدن اسنپفود، برخی کاربران در «ایکس» (توییتر سابق) از رفتار این شرکت در برابر پیداشدن حفرههای امنیتی انتقاد کردند. مثلاً کاربری با نام «ساسان احمدی» نوشت: «حدود سهماه پیش دوستی، یوزر و پسورد دیتابیس اسنپ فود را با یک باگ از سامانه در اختیار گرفت. موضوع به اسنپ منتقل شد و وارد مذاکره شدند. توافق روی ۱۵۰ میلیون تومان شد. بعد از رفع مشکل مبلغ پنج میلیون تومان واریز کردند. مبلغ باگ در این سطح توی پروژه باگ بانتی اسنپ ۷.۵ میلیون تومانه که یعنی ۲.۵ میلیون هم کمتر داده نسبت به سایت خودشون.»
قانون چه میگوید؟
روز گذشته پلیس فتا اعلام کرد که تیم فنی خود را در اسنپفود مستقر کرده است تا بررسیهای فنی و تخصصی را انجام دهد.
«رامین پاشایی»، معاون فرهنگی اجتماعی پلیس فتا گفت: «با توجه به اینکه شرکت مذکور توسط کارشناسان این پلیس در سال جاری چندین نوبت مورد ارزیابی و توجیه فنی لازم قرار گرفتهاند، در صورت مشاهده هرگونه اهمال و سهلانگاری مراتب برای پیگیری به مراجع قانونی منعکس خواهد شد.» با این وجود مشخص نیست که تبعات آنچه که پاشایی آن را اهمال و سهلانگاری مینامد، برای شرکت اسنپ فود چیست. همچنین هنوز نتایج بررسیهای واقعهٔ هکشدن پلتفرمهای دیگر مانند تپسی یا اپلیکیشنهای بانکی مشخص نیست.
انتشار اطلاعات کاربران در فضای مجازی بر اثر اهمال پلتفرمهای تجاری و در معرض خطر قرار گرفتن شهروندان موضوعی است که بهنظر میرسد هنوز ابعاد حقوقی آن در کشور مشخص نیست. خبرگزاری مهر در این باره نوشت: «حوادث سایبری نظیر این که طی ماههای گذشته نیز در کشور رخ داده حکایت از آن دارد که نظام حکمرانی داده، حفاظت از کاربران و امنیت سایبری در معنای کلی آن در کشور دچار ضعفهای بیشماری است. علیرغم اینکه لایحه حفاظت از داده چندین ماه است که در دستور کار دولت قرار دارد و همزمان طرحی مشابه نیز در مجلس در حالی پیگیری است، به نظر میرسد تعلل در نهایی و اجرا کردن چنین قوانینی کاربران را متضرر میکند.»
«صالح نقرهکار»، حقوقدان و وکیل دادگستری میگوید: «متأسفانه در کشور ما تجربهٔ پیگیری حقوق مردم در انتشار اطلاعات خصوصیشان بسیار ضعیف است. همین موضوع باعث میشود که ابعاد حقوقی این ماجرا بهدرستی مشخص نباشد.»
بهنظر میرسد همین مصونیت پلتفرمها در مواردی که اطلاعات کاربران بهدست هکرها میافتد، باعث شده تا پلتفرمها نیز چندان انگیزهای برای صرفهزینههای بیشتر با هدف ارتقای امنیت خود نداشته باشند. «جاوید مومنی»، کارشناس فناوری اطلاعات به «پیام ما» میگوید که اگر پیگردهای قانونی محکم برای شرکتها در موضوع حفظ اطلاعات خصوصی کاربران وجود داشت، شرکتها تلاش بیشتری برای رفع مشکلات امنیتی خود میکردند: «شما میبینید که بیشترین جایزه باگ بانتی در اسنپ ۱۵۰میلیون تومان است. طبیعی است که اگر اسنپ مجبور به پرداخت غرامت به کاربران خود یا پرداخت جریمههای سنگین بود، قطعاً هزینههای بیشتری برای امنیت صرف میکرد.»
او همچنین میگوید: «پلیس فتا و مراجع قانونی هم بخشی از این ماجرا هستند چرا که باید اقدامات پیشگیرانه انجام دهند. همانطور که برای جلوگیری از دزدی یا قتل و سایر جرایم بسیاری برنامهها و اقدامات انجام میشود و پلیس در حوزهٔ پیشگیری هم وظایفی دارد، در مورد جرایم سایبری و مسایلی مانند هک و فروش اطلاعات شهروندان هم همین وظایف را دارد اما میبینیم که معمولا پلیس پس از رخ دادن اتفاق وارد عمل میشود.»