رخنه اطلاعات، معضلی که نباید برای کاربران عادی شود!

ماجرای داده های نشت کرده

نگارنده: محمدپویا تراشی - ورودی ۱۴۰۱

منتشرشده در شمارۀ دوم از مجلۀ تورینگِ انجمن علمی دانشکدۀ مهندسی کامپیوتر دانشگاه علم و صنعت ایران

بهار 1403

رخنه‌ی اطلاعات، معضلی که نباید برای کاربران عادی شود!

اواسط دی‌ماه 1402 بود که خبر هک شدن اسنپ‌فود، سامانه‌ی سفارش آنلاین غذا، منتشر شد و گفته شد اطلاعات بیش از 20 میلیون کاربر به فروش گذاشته شده. اما این اولین بار نیست که چنین اتفاقی برای یک سامانه یا سرویس در ایران رخ می‌دهد. همین گروه هکریِ IRLeaks که اطلاعات اسنپ‌فود را برای فروش قرار داده بود، خبرِ هک سامانه‌هایی مثل تپسی، کمیته‌ی امداد و سوابق 17 موسسه‌ی بیمه را منتشر کرده بود. قبلا هم یک گروه هکری ادعا کرده بود از طریق وبسایت ثبت احوال به اطلاعات 130 میلیون کاربر ایرانی، شامل افراد زنده و متوفی دست پیدا کرده است. این موارد و نمونه‌های دیگری که شوربختانه کم نیستند، جای سوالات بسیاری را در ذهن شهروندان و کاربران این سرویس‌ها ایجاد می‌کند:

اطلاعات من به چه دردی می‌خورد؟

در ابتدا باید ببینیم هکرها از طریق نفوذ به این سامانه‌ها به چه اطلاعاتی دست پیدا می‌کنند. به‌عنوان‌ِمثال، اطلاعات درز شده از اسنپ‌فود شامل نام افراد، آدرس و تقریباً تمامی راه‌های ارتباطی آن‌ها و موارد شخصی دیگری بود. با این حجم از داده، تحلیل‌های آماری متنوعی را می‌توان انجام داد. مثلاً می‌توان مناطق مختلف یک شهر را بر اساس سلیقه‌ی غذایی آن‌ها دسته‌بندی کرد و علایق یک گروه خاص از مردم را پیش‌بینی نمود. این موارد که از آنها تحت عنوان مهندسی اجتماعی یاد می‌شود، می‌تواند موجب رشد قارچ‌گونه‌ی پیام‌های تبلیغاتی شود. همچنین با استفاده از این اطلاعات می‌توان اعتمادسازی کرد و کلاه یک قشر خاص از مردم، مثلاً همه‌ی مشترکان یک بانک مشخص را با پیام حاوی لینک فیشینگ (Phishing) برداشت. جدا ازهمه‌ی این‌ها، دیگر حریم خصوصی برای هیچ‌کس، اعم از مدیر یک سازمان تا یک فرد کاملاً معمولی معنایی نخواهد داشت. به‌راحتی می‌شود از نام و شماره‌تلفن افراد سوءاستفاده کرد، آن‌ها را تهدید نمود و جرایمی مثل اخاذی با وجود این داده‌ها به‌مراتب آسان‌تر صورت می‌گیرد. ضمناً امکان ایجاد تغییر در مستندات، و ارائه‌ی اسناد و مدارک جعلی وجود دارد.

چه پیگیری‌های قضایی‌ای در خصوص این حملات سایبری انجام ‌گرفته است؟

برای پاسخ به این سؤال، به بررسی چند مورد از اخبار منتشر‌شده در پی هک‌های اخیر می‌پردازیم. بیانیه‌ای که اسنپ‌فود پس از هک‌شدن منتشر نمود، اذعان داشت برای شناسایی عوامل نشتِ داده، با پلیس فتا همکاری به‌عمل‌آمده است و قرار شد ابعاد جدیدی از دسترسی غیر‌مجاز، متعاقباً به کاربران اطلاع‌رسانی شود. از طرفی، گروه هکری IRLeaks، اعلام کرد به علت تجربه‌ای که در به توافق نرسیدن با تپسی دارد، حاضر به مذاکره نخواهد بود. بااین‌حال در نهایت اعلام شد توافق بین اسنپ فود و هکرها انجام شده و اطلاعاتی از کاربران منتشر نخواهد شد. این نشان می‌دهد اگر پیگیری قضایی و قانونی مناسب در خصوص هک قبلی رخ می‌داد، احتمال آنکه اطلاعات کاربران در معرض خطر قرار گیرد کمتر می‌شد. از طرفی، پاداشی که برای گزارش یک حفره‌ی امنیتی در سایت اسنپ‌فود در نظر گرفته شده بود، 7.5 میلیون تومان بود. این مبلغ در مقابل vulnerability reward programهایی که شرکت‌های مطرح قرار می‌دهند، مبلغی بسیار ناچیز است، پس منطقاً هیچ هکری تمایل به همکاری و رفع اشکال فنی نخواهد داشت. از طرفی، بر اساس پروتکل کاری، تمام شرکت‌ها و پلتفرم‌های کسب‌وکار باید به‌صورت دوره‌ای در پلیس فتا مورد بررسی قرار گیرند؛ بنابراین سهل‌انگاری و عدم دقت در خصوص موارد فنی، چه از طرف سامانه و چه از طرف پلیس فتا نیز می‌تواند عاملی برای عدم امنیت سایبری مردم باشد.

نتیجه‌ی همه‌ی این مباحث این است که در کشور ما خلأ قانونی بزرگی در خصوص حفاظت از داده‌های کاربران وجود دارد. طبق ماده‌ی 59 قانون تجارت دیجیتال، هر کاربر حق آن را دارد که به داده پیام مربوط به خود در دیتابیس سامانه‌ها دسترسی داشته باشد، بتواند آن را اصلاح نماید یا آن را محو کامل کند. به‌این‌ترتیب، اگر داده‌های یک سامانه دچار نشت شد، داده‌ی کاربرانی که برای مدتی از این سامانه استفاده نکرده‌اند و آن را حذف نموده‌اند کم‌تر در معرض خطر قرار می‌گیرد.

از طرفی قانون تجارت دیجیتال دارای خلأ در خصوص پیگیری نشت‌های انجام‌شده است. حتی مواردی که در باب چهارم قانون تجارت الکترونیک در خصوص جرایم و مجازات‌ها آمده است از بازدارندگی کافی برخوردار نیست. پیگیری این موارد می‌تواند محرکی برای سامانه‌ها باشد تا از نظر فنی نیز زیرساخت‌های خود را بهبود بخشند. شایان ذکر است که مدیریت داده‌های نشت‌شده از شرکت‌های بیمه، همگی بر عهده‌ی یک شرکت واحد بود.

سال‌هاست که لایحه‌ای تحت عنوان حفاظت از اطلاعات در مجلس در حال تصویب است و هنوز مراحل آن کامل انجام نشده. در حالی که اروپا از سال 2016 مقرراتی را تحت عنوان GDPR تدوین نموده که در آن به حفاظت از داده‌ها در کل منطقه‌ی اقتصادی اروپا می‌پردازد. همچنین پیگیری‌های قضایی‌ای که در خصوص موارد مشابه در نشت‌های داده در خصوص سیستم‌های خارجی وجود دارد، می‌تواند نمونه‌ای برای الگوبرداری باشد. به‌عنوان‌مثال سایت DoorDash که سرویسی مشابه اسنپ‌فود در آمریکا است در سال 2019 دچار نشت اطلاعات شد که در پی آن اطلاعات 4.9 میلیون نفر لو رفته بود و ارزش آن حدود میلیون دلار تخمین زده شده بود. در اولین اقدام، شرکت مذکور اظهار کرد یک متخصص امنیت سایبری را استخدام کرده تا ابعاد فنی نشت را بررسی نماید. همچنین یک سامانه‌ی تلفنی را برای کاربران قرار داد تا بتوانند وضعیت نشت اطلاعات خود را پیگیری نمایند. در ادامه مشتریان، رستوران‌ها و رانندگان، ادعای دعوی قانونی نمودند. نشت داده، همچنین سازمان‌های دولتی مربوط را جلب کرد که درمورد این حادثه تحقیقات انجام دهند. هدف این تحقیقات تعیین میزان نشت، ارزیابی سپرهای امنیتی DoorDash و بررسی سهل‌انگاری‌های ممکن و عدم رعایت مقررات بود.

در نتیجه، ازآنجایی‌که اطلاعات شخصی و حریم خصوصی هر فرد بسیار ارزشمند است و نقض آن می‌تواند عواقب جدی برای افراد داشته باشد، لازم است که مقررات قانونی محکم‌تری در این زمینه وضع گردد. همچنین باید شرکت‌ها و سامانه‌های مختلفی که از داده‌های کاربران استفاده می‌کنند، برای تضمین امنیت اطلاعات و حفظ حریم خصوصی، استانداردهای سخت‌گیرانه‌تری را پیش بگیرند و به‌روزرسانی‌های منظم در زمینه امنیت اطلاعات انجام دهند. افزون بر این، نیاز به همکاری بین دولت، نهادهای قضایی و شرکت‌های خصوصی برای پیگیری و پیشگیری از حوادث مشابه، لازم و ضروری است. امیدواریم که با اقدامات مؤثر در این زمینه، امنیت اطلاعات و حریم خصوصی هم‌وطنان تضمین شود و روندی بهبودیافته در جهت مقابله با رخنه‌های اطلاعاتی و سایبری ایجاد گردد.