رخنه اطلاعات، معضلی که نباید برای کاربران عادی شود!
ماجرای داده های نشت کرده
نگارنده: محمدپویا تراشی - ورودی ۱۴۰۱
منتشرشده در شمارۀ دوم از مجلۀ تورینگِ انجمن علمی دانشکدۀ مهندسی کامپیوتر دانشگاه علم و صنعت ایران
بهار 1403
رخنهی اطلاعات، معضلی که نباید برای کاربران عادی شود!
اواسط دیماه 1402 بود که خبر هک شدن اسنپفود، سامانهی سفارش آنلاین غذا، منتشر شد و گفته شد اطلاعات بیش از 20 میلیون کاربر به فروش گذاشته شده. اما این اولین بار نیست که چنین اتفاقی برای یک سامانه یا سرویس در ایران رخ میدهد. همین گروه هکریِ IRLeaks که اطلاعات اسنپفود را برای فروش قرار داده بود، خبرِ هک سامانههایی مثل تپسی، کمیتهی امداد و سوابق 17 موسسهی بیمه را منتشر کرده بود. قبلا هم یک گروه هکری ادعا کرده بود از طریق وبسایت ثبت احوال به اطلاعات 130 میلیون کاربر ایرانی، شامل افراد زنده و متوفی دست پیدا کرده است. این موارد و نمونههای دیگری که شوربختانه کم نیستند، جای سوالات بسیاری را در ذهن شهروندان و کاربران این سرویسها ایجاد میکند:
اطلاعات من به چه دردی میخورد؟
در ابتدا باید ببینیم هکرها از طریق نفوذ به این سامانهها به چه اطلاعاتی دست پیدا میکنند. بهعنوانِمثال، اطلاعات درز شده از اسنپفود شامل نام افراد، آدرس و تقریباً تمامی راههای ارتباطی آنها و موارد شخصی دیگری بود. با این حجم از داده، تحلیلهای آماری متنوعی را میتوان انجام داد. مثلاً میتوان مناطق مختلف یک شهر را بر اساس سلیقهی غذایی آنها دستهبندی کرد و علایق یک گروه خاص از مردم را پیشبینی نمود. این موارد که از آنها تحت عنوان مهندسی اجتماعی یاد میشود، میتواند موجب رشد قارچگونهی پیامهای تبلیغاتی شود. همچنین با استفاده از این اطلاعات میتوان اعتمادسازی کرد و کلاه یک قشر خاص از مردم، مثلاً همهی مشترکان یک بانک مشخص را با پیام حاوی لینک فیشینگ (Phishing) برداشت. جدا ازهمهی اینها، دیگر حریم خصوصی برای هیچکس، اعم از مدیر یک سازمان تا یک فرد کاملاً معمولی معنایی نخواهد داشت. بهراحتی میشود از نام و شمارهتلفن افراد سوءاستفاده کرد، آنها را تهدید نمود و جرایمی مثل اخاذی با وجود این دادهها بهمراتب آسانتر صورت میگیرد. ضمناً امکان ایجاد تغییر در مستندات، و ارائهی اسناد و مدارک جعلی وجود دارد.
چه پیگیریهای قضاییای در خصوص این حملات سایبری انجام گرفته است؟
برای پاسخ به این سؤال، به بررسی چند مورد از اخبار منتشرشده در پی هکهای اخیر میپردازیم. بیانیهای که اسنپفود پس از هکشدن منتشر نمود، اذعان داشت برای شناسایی عوامل نشتِ داده، با پلیس فتا همکاری بهعملآمده است و قرار شد ابعاد جدیدی از دسترسی غیرمجاز، متعاقباً به کاربران اطلاعرسانی شود. از طرفی، گروه هکری IRLeaks، اعلام کرد به علت تجربهای که در به توافق نرسیدن با تپسی دارد، حاضر به مذاکره نخواهد بود. بااینحال در نهایت اعلام شد توافق بین اسنپ فود و هکرها انجام شده و اطلاعاتی از کاربران منتشر نخواهد شد. این نشان میدهد اگر پیگیری قضایی و قانونی مناسب در خصوص هک قبلی رخ میداد، احتمال آنکه اطلاعات کاربران در معرض خطر قرار گیرد کمتر میشد. از طرفی، پاداشی که برای گزارش یک حفرهی امنیتی در سایت اسنپفود در نظر گرفته شده بود، 7.5 میلیون تومان بود. این مبلغ در مقابل vulnerability reward programهایی که شرکتهای مطرح قرار میدهند، مبلغی بسیار ناچیز است، پس منطقاً هیچ هکری تمایل به همکاری و رفع اشکال فنی نخواهد داشت. از طرفی، بر اساس پروتکل کاری، تمام شرکتها و پلتفرمهای کسبوکار باید بهصورت دورهای در پلیس فتا مورد بررسی قرار گیرند؛ بنابراین سهلانگاری و عدم دقت در خصوص موارد فنی، چه از طرف سامانه و چه از طرف پلیس فتا نیز میتواند عاملی برای عدم امنیت سایبری مردم باشد.
نتیجهی همهی این مباحث این است که در کشور ما خلأ قانونی بزرگی در خصوص حفاظت از دادههای کاربران وجود دارد. طبق مادهی 59 قانون تجارت دیجیتال، هر کاربر حق آن را دارد که به داده پیام مربوط به خود در دیتابیس سامانهها دسترسی داشته باشد، بتواند آن را اصلاح نماید یا آن را محو کامل کند. بهاینترتیب، اگر دادههای یک سامانه دچار نشت شد، دادهی کاربرانی که برای مدتی از این سامانه استفاده نکردهاند و آن را حذف نمودهاند کمتر در معرض خطر قرار میگیرد.
از طرفی قانون تجارت دیجیتال دارای خلأ در خصوص پیگیری نشتهای انجامشده است. حتی مواردی که در باب چهارم قانون تجارت الکترونیک در خصوص جرایم و مجازاتها آمده است از بازدارندگی کافی برخوردار نیست. پیگیری این موارد میتواند محرکی برای سامانهها باشد تا از نظر فنی نیز زیرساختهای خود را بهبود بخشند. شایان ذکر است که مدیریت دادههای نشتشده از شرکتهای بیمه، همگی بر عهدهی یک شرکت واحد بود.
سالهاست که لایحهای تحت عنوان حفاظت از اطلاعات در مجلس در حال تصویب است و هنوز مراحل آن کامل انجام نشده. در حالی که اروپا از سال 2016 مقرراتی را تحت عنوان GDPR تدوین نموده که در آن به حفاظت از دادهها در کل منطقهی اقتصادی اروپا میپردازد. همچنین پیگیریهای قضاییای که در خصوص موارد مشابه در نشتهای داده در خصوص سیستمهای خارجی وجود دارد، میتواند نمونهای برای الگوبرداری باشد. بهعنوانمثال سایت DoorDash که سرویسی مشابه اسنپفود در آمریکا است در سال 2019 دچار نشت اطلاعات شد که در پی آن اطلاعات 4.9 میلیون نفر لو رفته بود و ارزش آن حدود میلیون دلار تخمین زده شده بود. در اولین اقدام، شرکت مذکور اظهار کرد یک متخصص امنیت سایبری را استخدام کرده تا ابعاد فنی نشت را بررسی نماید. همچنین یک سامانهی تلفنی را برای کاربران قرار داد تا بتوانند وضعیت نشت اطلاعات خود را پیگیری نمایند. در ادامه مشتریان، رستورانها و رانندگان، ادعای دعوی قانونی نمودند. نشت داده، همچنین سازمانهای دولتی مربوط را جلب کرد که درمورد این حادثه تحقیقات انجام دهند. هدف این تحقیقات تعیین میزان نشت، ارزیابی سپرهای امنیتی DoorDash و بررسی سهلانگاریهای ممکن و عدم رعایت مقررات بود.
در نتیجه، ازآنجاییکه اطلاعات شخصی و حریم خصوصی هر فرد بسیار ارزشمند است و نقض آن میتواند عواقب جدی برای افراد داشته باشد، لازم است که مقررات قانونی محکمتری در این زمینه وضع گردد. همچنین باید شرکتها و سامانههای مختلفی که از دادههای کاربران استفاده میکنند، برای تضمین امنیت اطلاعات و حفظ حریم خصوصی، استانداردهای سختگیرانهتری را پیش بگیرند و بهروزرسانیهای منظم در زمینه امنیت اطلاعات انجام دهند. افزون بر این، نیاز به همکاری بین دولت، نهادهای قضایی و شرکتهای خصوصی برای پیگیری و پیشگیری از حوادث مشابه، لازم و ضروری است. امیدواریم که با اقدامات مؤثر در این زمینه، امنیت اطلاعات و حریم خصوصی هموطنان تضمین شود و روندی بهبودیافته در جهت مقابله با رخنههای اطلاعاتی و سایبری ایجاد گردد.
مطلبی دیگر از این انتشارات
نشست کاری یک - با ما بیا به دیوار
مطلبی دیگر از این انتشارات
پرونده ویژه - در جستجوی هیئت علمی!
مطلبی دیگر از این انتشارات
تاملی در باب مسیرهای عادی دانشجویی