صیانت از ابرداده‌ها؛ ماموریت فراموش‌شده

علم و فناوری
هک اطلاعات میلیون‌ها کاربر «اسنپ‌فود» نشان داد دستگاه‌های مسئول در امنیت سایبری ضعیف عمل می‌کنند.

سهل‌انگاری در حوزه فناوری و زیرساخت‌های آن

ابوالقاسم رحمانی، دستیار سردبیر فرهیختگان: حوالی ساعت یک بامداد بود که لابه‌لای جست‌وجوهای آخرشبی و مرور اخبار چشمم به این خبر خورد: «ادعای یک گروه هکری: هک اسنپ‌فود و افشای اطلاعات ۲۰ میلیون کاربر، ۸۸۰ میلیون سفارش» مساله بسیار مهمی بود، هرچند ناظر به اتفاقات چند وقت اخیر و بعد از ماجرای پمپ‌بنزین‌ها خیلی عجیب به‌نظر نمی‌رسید، آنقدر مهم بود که پیگیر چند و چون ماجرا باشم. خصوصا وقتی بعد از انتشار این خبر تحلیل افراد صاحب‌نظر و مطلع را می‌خواندم و بیشتر متوجه اهمیتی می‌شدم که چنین اطلاعاتی می‌تواند داشته باشد. رفته‌رفته اطلاعات و اخبار دقیق‌تر می‌شد. رسانه‌ها نوشتند یک گروه هکری که در تابستان امسال تپسی را هک کرده بود، اکنون با ارائه شواهدی به‌عنوان نمونه، می‌گوید کل داده‌های اسنپ‌فود، شامل اطلاعات بیش از ۲۰ میلیون کاربر و ۸۸۰ میلیون سفارش را به‌دست آورده است.

این گروه می‌گوید اطلاعات بیش از ۲۰ میلیون کاربر شامل نام کاربری، پسورد، ایمیل، نام و نام‌خانوادگی، شماره موبایل، تاریخ تولد و همچنین اطلاعات بیش از ۸۸۰ میلیون سفارش محصول را استخراج کرده است. برخی رسانه‌های فعال در حوزه فناوری هم ادعای ارتباط با این گروه را داشتند و گفتند هکرها به آنها اعلام کرده‌اند هک را به اسنپ‌فود اطلاع نداده و مستقیما اطلاعات را برای فروش گذاشته است. علت؟ تجربه مذاکره با تپسی: «پس از ماجرای تپسی تصمیم گرفتیم با هیچ شرکتی در آینده مذاکره نکنیم!»

رسانه دیجیاتو که این ادعا را کرده در ادامه نوشت: «آنطور که بررسی نمونه‌ها توسط دیجیاتو نشان می‌دهد، آخرین نمونه اطلاعات نشت‌شده مربوط به تاریخ ۱۰ دسامبر ۲۰۲۳ است. این موضوع احتمالا می‌تواند حاکی از آن باشد که اطلاعات حدود ۲۰ روز پیش از اسنپ‌فود استخراج شده است.» تا اینجا و همان بامداد روز یکشنبه تمام اخبار حول این موضوع درحال انتشار بود تا اینکه بالاخره صبح اسنپ‌فود این مساله را تایید کرد و در بیانیه‌ای در این رابطه نوشت: «پیرو هک و اقدام به فروش مستقیم بخشی از اطلاعات کاربران اسنپ‌فود به اطلاع می‌رسانیم که شرکت اسنپ‌فود در قدم اول در همکاری با پلیس فتا در حال شناسایی و رفع منبع آلودگی ناشی از اقدام این گروه هکری است. شرکت اسنپ‌فود مسئولیت این اتفاق را می‌پذیرد و حتما بررسی دقیقی در مورد دلایل وقوع آن انجام خواهد داد.

گفتنی است این گروه هکری پیش از مذاکره با اسنپ‌فود اقدام به فروش اطلاعات کرده است و شرکت اسنپ‌فود حداکثر تلاش خود را برای جلوگیری از انتشار داده‌های کاربران، از طریق مذاکره با این گروه هکری، خواهد کرد. لازم به ذکر است که کلیه‌ اطلاعات پرداخت بانکی کاربران، اعم از اطلاعات مربوط به کد امنیتی کارت (CCV)، رمز عبور و تاریخ انقضا، در امنیت کامل قرار دارد و این اطلاعات مطابق مقررات بانک مرکزی در هیچ یک از پلتفرم‌ها ذخیره نمی‌شود.» بعد از این اتفاق و فراگیری از افتضاح امنیتی در این مجموعه پلیس فتا هم به موضوع واکنش نشان داد و اعلام کرد قبلا چندین‌بار این شرکت را ارزیابی کردیم.

رامین پاشایی، معاون فرهنگی اجتماعی پلیس فتا از استقرار تیم فنی پلیس فتا در دفتر اسنپ‌فود به‌دلیل بررسی‌های فنی و تخصصی آنچه در راستای افشای اطلاعات کاربران رخ داده است، خبر داد. او با تاکید بر اینکه شرکت اسنپ‌فود در سال جاری بارها مورد ارزیابی و برسی‌های فنی قرار گرفته است، گفت: «درصورت مشاهده هرگونه سهل‌انگاری مدیران، پیگیری‌های قانونی و قضایی به مراجع بالا ارجاع خواهد شد.» به‌محض کسب اطلاعات دقیق‌تر و مشخص‌شدن ابعاد جدید از دسترسی غیرمجاز و افشای اطلاعاتی که رخ داده است، اطلاع‌رسانی‌های لازم را ارائه می‌دهیم. تا همین جای ماجرا، هم اصل واقعه، هم تاخیر در اطلاع‌رسانی، هم نوع مواجهه این گروه هکری با شرکت و دیتاهایی که حالا در دست دارد و از همه مهم‌تر حفاظت و صیانت از اطلاعات کاربران، همه و همه محل ایرادهای جدی است.

تازه بعد از شنیدن اظهارات وزیر ارتباطات در این رابطه بیشتر به عمق فاجعه پی خواهیم برد و اینکه امنیت و حفاظت از اطلاعات کاربران در پلتفرم‌ها و نرم‌افزارهای داخلی در چه وضعیت فشلی هستند. عیسی زارع‌پور در واکنش به حمله هکری به اسنپ‌فود گفت: «مسئول رسیدگی به امنیت کسب‌وکارها طبق تقسیم وظایفی که مرکز ملی فضای مجازی انجام داده با پلیس فتاست که خودشان گزارش می‌دهند.» او در ادامه با تایید بی‌قانونی در زمینه حریم خصوصی کاربران گفت: «لایحه حریم خصوصی به دولت ارسال و به کمیسیون حقوقی قضایی ارجاع شده و بعد از بررسی به صحن دولت می‌آید و بعد به مجلس می‌رود که کلا بحث حفاظت از داده‌های شخصی افراد در فضای مجازی نظام‌مند و قانون‌مند شود!» یعنی در عصر تکنولوژی، در شرایطی که هر روز شاهد ایجاد بسترهای متنوع و متفاوتی خصوصا در حوزه کسب‌وکارها هستیم که حجم بالایی از اطلاعات مردم را دریافت و ذخیره می‌کنند، هنوز هیچ قانون متقن و روشنی برای صیانت از اطلاعات کاربران نداریم و آن وقت انگشت به دهان مانده‌ایم که چطور شخصی‌ترین اطلاعات مردم در پلتفرمی مثل اسنپ‌فود کف فضای مجازی به حراج گذاشته می‌شود و ملت به جزئیات سفارش غذای یکدیگر می‌خندند.

در باب اهمیت حوزه فناوری و بالاخص اهمیت آن، حرف جدیدی نمی‌توان زد جز تکرار و تعمیق این مساله که حوزه فناوری و فضای مجازی مهم است. آنقدر که برای مثال فقط به چند فقره رویارویی کشور خودمان در این حوزه با سایرین، مثلا رژیم‌صهیونیستی می‌توان اشاره کرد. این خودش موید اهمیت موضوع و ضربه‌پذیری کشورها در این حوزه و همچنین اهمیت حفظ و صیانت از آن است. ماجرای اختلال پمپ بنزین‌ها را که حتما خاطرتان هست، چطور زندگی مردم را مختل کرد و چه سطحی از نارضایتی عمومی ایجاد شد. حالا ببینید استمرار این وضعیت و سرایت آن به سایر حوزه‌ها چطور می‌تواند روان جامعه را مخدوش و بر نارضایتی‌ها دامن بزند، پس درکنار تمام مسائلی که در اهمیت صیانت از فضای مجازی و حفظ اطلاعات کاربران در این اتمسفر گفتیم، توجه به امنیت روانی جامعه هم که در ارتباط مستقیم با این موضوع است، حائز اهمیت بالایی است. افکار عمومی همان‌طور که در جریان تشویق به پیوستن به پیام‌رسان‌های داخلی مساله امنیت اطلاعات و حفظ حریم شخصی‌اش را داشت و نمی‌پذیرفت پا در میدان ناامن آن روزهای پیام‌رسان‌های داخلی بگذارد، حالا هم نمی‌پذیرد برای سفارش یک پرس غذا و تجربه یک خرید اینترنتی ساده اینطور اطلاعات شخصی‌اش به حراج گذاشته شود. سر آخر هم چشم انتظار بنشیند تا مثلا پلیس فتا که مشخص نیست واقعا ابزار مواجهه با این خرابکاری‌ها و تامین امنیت اطلاعات را دارد یا نه، به بعد و بررسی‌های آتی حواله‌اش بدهد.

اینجا و در همین چند خط چندباری از صیانت اطلاعات کاربران در فضای مجازی گفتیم، یاد صیانتی‌ها و بگیر و ببندهایی که به بهانه حفاظت از کاربران عملیاتی شد، افتادم. هر از چندگاهی یک اسم و یک طرح و سرآخر همه‌اش ختم به محدود شدن نشان می‌دهد غرض از صیانت و حفاظت و اینها، در ذهن تصمیم‌گیران و مجلسی‌ها، همان محدود شدن است، درحالی‌که بهتر این بود خیلی زودتر از اینها و حداقل برای مابعد از اتفاقات اخیر، صیانت را، حفاظت از اطلاعات و حریم خصوصی مردم در همین پلتفرم‌های داخلی خودمان معنا و پیگیری کنیم. داشتم فکر می‌کردم اگر یکی از این باگ‌ها و این انتشار اطلاعات آشکار و عجیب اگر در یک پلتفرم خارجی رخ می‌داد، چطور حجت را برای محدود کردن آنها تمام می‌کرد؟

 

نکته بعدی اما نقش همان همیشگی‌های بی‌عمل اما پرمدعاست. واقعا کسی اطلاعی از چند و چون دقیق ماجرای پمپ بنزین‌ها دارد یا ماجرای هک صداوسیما یا مثلا ماجرای هک تپسی و حالا اسنپ‌فود؟ به‌نظر منطقی است تا سازمان پدافند غیرعامل را در ردیف اول پاسخگویی به این حفره‌ها بدانیم. این سازمان که مستقیما وظایف مشخصی در این حوزه دارد، آیا پاسخگوی این ضعف در محافظت از اطلاعات مردم در فضای مجازی یا حمله به زیرساخت‌های کشور هست؟

اما نکته آخر و مساله مهاجرت نیروهای کاربلد، متخصص و البته مطلع از زیر و بم‌های زیرساختی شرکت‌های فعال در حوزه فناوری است. در همین مجموعه اسنپ طبق اطلاعات موجود در گزارش عملکرد سال 1401، تعداد قابل‌توجهی از افراد ستادی آن به خارج از کشور مهاجرت کرده‌اند، برای مثال از دوهزار و 436 نفر کارمند اسنپ خودرو، 96 نفر، 408 کارمند اسنپ باکس، 12 نفر، هزار و 500 کارمند اسنپ فود، 24 نفر، 974 کارمند سوپرمارکت اسنپ، 12 نفر، 187 کارمند اسنپ پی، شش نفر، 530 کارمند اسنپ تریپ، شش نفر، 90 کارمند اسنپ دکتر، یک نفر و 86 کارمند تیم مرکزی گروه اسنپ دو نفر فقط در سال 1401 مهاجرت کرده‌اند که آمار قابل‌تاملی است. به‌هرحال این افراد سوای تخصص و توانایی‌هایی که دارند، مجموعه‌ای از اطلاعات و شناخت را هم به‌خاطر فعالیت در این مجموعه دارند که می‌تواند بعد از جدایی اطلاعات ارزشمندتری هم باشد. القصه، آنچه در حوزه فناوری و زیرساختی درحال رخ دادن است، چیزی فراتر از یک سهل‌انگاری است و ما با یک ساده‌انگاری و بی‌توجهی به امنیت اطلاعات کاربران و امنیت زیرساخت‌های کشور مواجهیم. بی‌توجهی که برای رفع آن، نیاز به یک جراحی بزرگ در سیاستگذاری‌ها و قانون‌گذاری‌ها و البته چینش و گزینش مدیران متولی در این حوزه داریم.

 

تصاویر جهت دانلود

تصویر کم حجم
https://mobinonline.ir/?p=39293 کپی