حکایت اطلاعات 20 میلیون کاربری که دستخوش وعده هکرها شد / چرا برای برخورد با هکرها قانون مشخصی وجود ندارد؟
چندین بار است که داستان تکراری هکها که هربار نام یکی از سکوها را نشانه میرود و این وسط اطلاعات کاربران است که دستخوش مخاطرات بسیاری خواهد شد رخ میدهد.
این چندمین باری است که این داستان رخ میدهد؛ ماجرای تکراری هکها که هربار نام یکی از سکوها را نشانه میرود و این وسط اطلاعات کاربران است که دستخوش مخاطرات بسیاری خواهد شد.
یکشنبه بود که بسیاری از مشتریان اسنپ فود با شنیدن خبر هک این سکوی داخلی متعجب شدند و بسیاری نیز منتظر بودند تا تکذیب این موضوع را شاهد باشند، اما با گذشت دقایقی اسنپ فود با انتشار بیانیهای رسما این خبر را تایید کرد.
با هکرها مذاکره خواهیم کرد!
در بیانیه این سکو که در ساعت 10 صبح منتشر شد، آمده بود: «پیرو هک و اقدام به فروش مستقیم بخشی از اطلاعات کاربران اسنپفود به اطلاع میرسانیم که شرکت اسنپفود در قدم اول در همکاری با پلیس فتا در حال شناسایی و رفع منبع آلودگی ناشی از اقدام این گروه هکری است.
شرکت اسنپفود مسئولیت این اتفاق را میپذیرد و حتما بررسی دقیقی در مورد دلایل وقوع آن انجام خواهد داد.
گفتنی است این گروه هکری پیش از مذاکره با اسنپفود اقدام به فروش اطلاعات کرده است و شرکت اسنپفود حداکثر تلاش خود را برای جلوگیری از انتشار دادههای کاربران، از طریق مذاکره با این گروه هکری، خواهد کرد.
لازم به ذکر است که کلیه اطلاعات پرداخت بانکی کاربران، اعم از اطلاعات مربوط به کد امنیتی کارت (CCV)، رمز عبور و تاریخ انقضا، در امنیت کامل قرار دارد و این اطلاعات مطابق مقررات بانک مرکزی در هیچ یک از پلتفرمها ذخیره نمیشود.
سرهنگ رامین پاشایی، معاون فرهنگی اجتماعی پلیس فتا گفت: باید به اطلاع هموطنان عزیز و به خصوص کاربران این شرکت برسانم که در حال حاضر تیم فنی پلیس فتا در شرکت مذکور مستقر است و در حال انجام بررسیهای فنی و تخصصی است.
پاشایی بیان کرد: بر اساس تحقیقات صورت گرفته شرکت اسنپفود همچنان در حال ارائه خدمات به کاربران خود است.
معاون فرهنگی اجتماعی پلیس فتا فراجا تصریح کرد: با توجه به اینکه شرکت مذکور توسط کارشناسان این پلیس در سال جاری چندین نوبت مورد ارزیابی و توجیه فنی لازم قرار گرفتهاند، در صورت مشاهده هرگونه اهمال و سهلانگاری موضوع برای پیگیری به مراجع قانونی منعکس خواهد شد.
سرهنگ پاشایی خاطرنشان کرد: به محض کسب اطلاعات دقیقتر و مشخص شدن ابعاد جدید از این دسترسی غیرمجاز، متعاقبا اطلاعرسانی به هموطنان انجام میشود.
مذاکره جواب نمیدهد؛ مستقیم اطلاعات را میفروشیم!
گروهی که دست به این اقدام زده است، یک تیم هکری به نام «IRLeaks» است که پیشتر نیز اطلاعات تپسی را هک کرده بود. موضوعی که مدیرعامل تپسی درباره آن گفته بود: «هکرها با دسترسی به اطلاعات کاربران، قصد اخاذی دارند و به همین دلیل تپسی با آنها همکاری نمیکند. گفته شده هکرها پس از شکست در مذاکرات با تپسی، برای فروش اطلاعات کاربران تپسی 35 هزار دلار درخواست کرده بودند.»
حالا، اما این گروه هکری بعد از شکست در مذاکره با مدیرعامل تپسی این بار رویکرد متفاوتی را مد نظر قرار داده بودند و اعلام کردند: «پس از ماجرای تپسی تصمیم گرفتیم با هیچ شرکتی در آینده مذاکره نکنیم!»
فروشی به مبلغ 30 هزار دلار؛ آن هم با تخفیف 5 هزار دلاری نسبت به ماجرای تپسی!
بعد از موضوعات بود که پستی در فضای مجازی دست به دست شد با این عنوان «sold out»؛ در تشریح این خبر هم آمده بود که ظاهراً رایزنی جواب نداده و هکرها اطلاعات سرقت شده را به مبلغ 30 هزار دلار در دارک وب به فروش گذاشتند و توسط فردی ناشناس خریداری شده است.
موضوعی که البته بعدتر در پست این گروه تلویحا تکذیب شد و آمده بود «پیرو مذاکراتی که با تیم اسنپفود داشتیم، دیتای این مجموعه به هیچکس فروخته نشده و نخواهد شد. تیم مدیریت اسنپفود با رفتار حرفهای نشان دادند اطلاعات مردم و آبروی برند براشون از هرچیزی ارزشمندتر است.»
این گروه درباره پستی که در شبکههای اجتماعی در حال نشر است هم نوشته: «قضیه Sold Out در یکی از فرومها این بود که با توجه به قطعی نبودن خروجی مذاکره برای تیم ما، تصمیم گرفتیم موقت بنویسیم «فروخته شد»؛ اما حالا پس از کسب اطمینان از اسنپفود، پست را به طور کامل پاک کردیم.»
آیا امضای هکرها تضمین خواهد بود؟
حالا بماند که مذاکره با یک گروه هکری و قول و قرارهایشان تا چه حد میتواند تضمین باشد و تکلیف اطلاعات حدود 20 میلیون کاربر این سکو چه خواهد شد؟
اطلاعاتی شامل آدرس دریافتی؛ تلفن دریافتی، شهر، مدت زمان دریافت، نام و نام خانوادگی، مشخصات فروشگاه یا رستوران، قیمت محصول منجر شده باشد. هکرها میگویند موارد دیگری از جمله دادههای 35 هزار نفر که در قالب پیکموتوری با اسنپفود همکاری میکنند را در اختیار دارند.
هک شدن اسنپفود وقتی نگرانکنندهتر میشود که بدانیم گروه IRLeaks مدعی است اطلاعات بیش از 600 هزار پرداخت، شامل نام کامل صاحب کارت، نام کامل مشتری، شماره تماس، شماره کارت، نام بانک و... را نیز در اختیار دارد.
آیا پای خطای عمدی نیروی انسانی در میان است؟
«محمد جواد آذری جهرمی» وزیر سابق ارتباطات و فناوری اطلاعات در این باره به ما گفت: حفاظت از دادههای کاربران جزء وظایف دولت محسوب نمیشود و هر کسب و کاری وظیفه اش این است که زیر ساختهای خود را تقویت کند و از دادههای مشتریانش حفاظت کند. در حوزه حفاظت کسب و کارها از دادههای مشتریان پلیس فتا مسئولیت دارد و طبعا اینگونه است که هشدارهایی درباره رعایت امنیت کسب و کارها ارائه میدهند. شرکتها باید مسئولیت پذیر باشند و بدانند که دادههای مشتریان به عنوان یک ثروت بزرگ ابتدا برای خودشان محسوب میشود، جدا از اینکه باید به مشتری احترام بگذارند طبعا باید به این موضوع توجه بیشتری داشته باشند و سرمایه گذاری بیشتر بر موضوع امنیتی داشته باشند. اتفاقات رخ داده در مدت اخیر و زنجیره عدم وجود امنیت در این زیرساختها نشان میدهد که امنیت در این حوزه وجود ندارد. البته معتقدم که بخش مهمی از این رخدادها از نارضایتی نیروهای انسانی نشات میگیرد؛ حال خطای عمدی و یا سهوی باعث میشود که این رخدادها ایجاد شود و باید یک نگاه کامل و جامع در زمینه امنیت وجود داشته باشد وگرنه در ابتدا ارزشهای خود را از دست میدهند.
وی ادامه داد: خوب است که حکمرانی به جای ارائه تشویقات تنبیهاتی را هم برای این مجموعهها در نظر بگیرد. یعنی اگر مجموعهای بی دقتی کرد و دیتایش را از دست داد و مقصر بود با جریمههایی رو به رو شود که باعث شود پرداخت به موضوع امنیت از نظر اقتصادی برای این نرم افزارها مهم باشد و در این حوزهها سرمایه گذاری داشته باشند و از دادههای خود حفاظت کنند.
سازمان پدافند غیرعامل و شورای عالی فضای مجازی؛ لطفا پاسخگو باشید!
روح الله مومن نسب کارشناس فضای مجازی نیز در این باره گفته است: ما عقب افتادگی زیادی در حوزه زیر ساختها، تجهیزات و در حوزه مخابراتی داریم. بسیاری از تجهیزات مخابراتی ما بعضا قدیمی بوده و یا استاندارد نبودند و همین موارد هم باعث شده است که در بحث امنیت در لایههای فنی مشکل ایجاد شود. نکته بعدی هم این است که شبکه اطلاعات در هر هفت لایه مخابراتی متاسفانه ایجاد نشده است و همین مساله هم باعث شده است که امنیت اطلاعات در کشور ما به شدت بالا رود و بار این موضوع هم بر روی دوش شرکتهای خصوصی افتاده شود؛ مانند زمانی که جادههای کشور توسط وزارت راه خوب ساخته نشود و بار بد بودن جاده بر روی دوش شرکتهایی که خودرو تولید میکنند بیفتد.
وی ادامه داد: در حوزه فضای مجازی هم به همین صورت است و زیر ساختها باید جلوی انواع و اقسام عملیاتهای هک را بگیرد یا اینکه امکان تشخیص به موقع عملیاتهای هک و اقدمات ضد امنیتی در فضای مجازی را بتواند انجام دهد، اما این زیرساختهای امروز کشور ما این اجازه را به ما نمیدهد و ما در کشورمان به یک تحول زیر ساختی نیاز داریم که این تحول مهمترین ابعادش در موضوع امنیت نمود مییابد؛ متاسفانه الان اراده کافی برای این امر دیده نمیشود اگرچه که تلاشهایی در دست انجام است، اما ما هنوز هم وابستگی حدود صد درصدی در حوزه سخت افزارهای خارجی در کشور داریم و سخت افزارهای خارجی برخی از شرکتهای معتبر نیز گارانتیهای مخصوصش در اختیار ما قرار داده نمیشود و بعضا از سخت افزارهای خارجی دستگاههای قدیمی و نا امن و غیر استاندارد استفاده میشود که در هر حالت اگر همین هزینه برای تولید و تامین سخت افزارهای قویتر انجام شود قطعا وضعیت بهتری در کشور ما نمود پیدا نمیکند.
مومن نسب در پایان گفت: به طور کل ما متاسفانه استانداردهای امنیتی دقیقی یا نداریم و یا در اعمال این استانداردها دچار مشکل هستیم که در هر دو مورد سازمان پدافند غیر عامل و شورای عالی فضای مجازی باید پاسخگو باشند که چرا استاندارد گذاری نکردند و زیرساختهای شبکه ملی اطلاعات را به نحوی فراهم نکردند که حداقل شرکتهای داخلی صرفا نگران مشکلات داخلی خود باشند نه مشکلاتی که در زیرساخت برایشان ایجاد میشود. هرکدام از این مشکلات میتواند شرکتی را نابود کند. درست مانند آتش گرفتن یک پاساژ همین قدر میتواند به آن شرکت خسارت بزند که جبران ناپذیر است.
و حکایت قانونی که هنوز وجود ندارد
سرهنگ مهرداد امیدی نیز درباره قوانین کشورمان در زمینه مقابله با هک بیان کرد: در کشور قوانین کافی و مناسبی در حوزه جرایم رایانهای داریم همچنین که این جرایم به نوعی در قانون مجازات اسلامی تعریف شده اند و قضات دادگاهها با استناد از این قوانین حکم صادر میکنند. اکثر افرادی که به وسیله اینترنت مورد سوء استفاده قرار گرفته اند به خاطر دلیل ناآگاهی از روند رسیدگی به جرایم اینترنتی در نیروی انتظامی کشور از شکایت علیه مجرمان منصرف شده اند.
وی ادامه داد: درخصوص فعالیت هکرها و قفل شکنهای شبکه در کشور در مقایسه با کشورهای توسعه یافته و یا در حال توسعه باید گفت، با توجه به پایین بودن سطح فروش Online، تجارت الکترونیکی، بانکداری الکترونیکی و سرویس دهی در کشور مطمئنا فعالیت مجرمان اینترنتی هم در سطح پایینی است، ولی با گسترش این تکنولوژی در کشور در آیندهای نزدیک شاهد افزایش فعالیت این مجرمان به صورت گسترده و مخرب در سطح کشور خواهیم بود که باید برای آن یک برنامه ریزی مناسب و قوانین کافی داشته باشیم. در ایران به موجب قانون اساسی باید اجرای هرگونه مجازات برای افراد طبق قانون صورت پذیرد، ولی متاسفانه هم اکنون در کشور قانونی در زمینه هک و برخورد با هکرها وجود ندارد که باید از نظر حقوقی برای برخورد با این افراد قوانین منسجمی تدوین شود.
وی اضافه کرد: بر این اساس، چون در کشور در حوزه هکرها قانون مشخصی وجود ندارد، در نتیجه همگان تکلیفشان در برابر قانون روشن نیست و نمیتوان به طور قاطع با افراد هک کننده سایتها برخورد کرد، البته میتوان به قوانین و عناوین حقوقی دیگری مانند حقوق مالکیت معنوی استناد کرد، اما این قوانین نمیتوانند در زمینه اینترنت کافی باشند. با توجه به این که هنوز قوانین کشور ما در زمینه هکرها کاملا مشخص نیست بیش از هر زمان دیگر، وجود قانون مناسب ضروری و الزامی به نظر میرسد چرا که تعداد هکرها و اخلال در سایتهای اینترنتی روز به روز در حال افزایش است و اگر مرجعی به آنها رسیدگی نکنند، دیگر هیچ تضمینی جهت حفظ حریم شبکهها و سایتهای کامپیوتری وجود نخواهد داشت و متخلفان روزبه روز با آزادی عمل، فعالیتهای تبهکارانه خود را گسترش میدهند.
در پایان باید گفت این روزها که کشورمان در یک جنگ ترکیبی تمام عیار قرار دارد لزوم تفکرات پیشگیرانه همه جانبه و در تمام ابعاد وجود دارد؛ حال که دشمن در جنگ نظامی دست تسلیم خود را بالا برده قطعا در تلاش است تا از منظرهای دیگری به مقابله با کشورمان بپردازد؛ موضوعی که لزوم هوشیاری هرچه بیشتر مسئولان کشورمان را میطلبد.
فاطمه تورانلو
باشگاه خبرنگاران جوان سیاسی دفاعی امنیتی