حراج اطلاعات کاربران!

از مقاومت تا سکوت چند‌‌‌ هفته‌‌‌ای

شنبه گذشته بود که کانالی تلگرامی منتسب به یک گروه هکری، مدعی هک تپسی شد. به فاصله کوتاهی پس از درج این پست، میلاد منشی‌‌‌پور، مدیرعامل تاکسی آنلاین تپسی، با انتشار پستی در حساب کاربری خود در «ایکس»، هک شدن سیستم‌های اطلاعاتی این شرکت را تایید کرد. وی در پست خود نوشت: «طی روزهای گذشته متوجه دسترسی غیرمجازی به زیرساخت‌های شرکت تپسی و برداشت بخشی از اطلاعات شدیم. به محض کشف این موضوع، ضمن ثبت شکایت، پلیس را در جریان قرار دادیم و راه دسترسی هکرها را بستیم.» مدیرعامل تپسی در ادامه تاکید کرد: «ایمیل‌‌‌های دریافتی از گروه مهاجم، از قصد آنها برای اخاذی و دریافت پول در ازای منتشر نکردن داده‌‌‌ها حکایت داشت و ما تصمیم گرفتیم که به این خواسته تن ندهیم. زیرا در مذاکره با آنها متوجه شدیم که ضمانتی برای عدم‌نشر اطلاعات و سوءاستفاده‌‌‌های آتی وجود ندارد و از طرفی، باج‌‌‌دهی به آنها به مشوقی برای تکرار این اقدامشان در قبال دیگر شرکت‌ها منجر خواهد شد.» منشی‌‌‌پور در ادامه با پذیرش مسوولیت این اتفاق، از بروز آن ابراز تاسف کرد و از همکاری نزدیک این مجموعه با پلیس برای کشف ابعاد جدید این حمله خبر داد.

آن‌طور که هکرها مدعی شدند، در این حملات به اطلاعات بیش از ۲۷ میلیون مسافر تپسی شامل نام، نام خانوادگی، شماره همراه، شهر و بعضا ایمیل و همچنین اطلاعات بیش از ۶ میلیون راننده شامل نام، نام خانوادگی، کد ملی، شهر، شماره همراه دست یافته‌‌‌اند. آنها تاکید کردند که حتی اطلاعات بیش از ۱۳۶ میلیون سفر مسافران این شرکت شامل آی‌‌‌دی مسافر، اطلاعات دستگاه همراه مسافر و راننده، آدرس کامل مبدأ و مقصد، آدرس کوتاه مبدأ و مقصد، مشخصات جغرافیایی (GPS Locations)  مبدأ و مقصد را در اختیار دارند و در کنار این موارد توانسته‌‌‌اند سورس کد محصولات شرکت تپسی مانند اپلیکیشن‌‌‌های موبایل را نیز به دست آورند. این افشاگری در کنار تجربه‌‌‌ هک دیگری که در سال ۹۸ برای شرکت تپسی اتفاق افتاده بود، نام این شرکت را بر سر زبان‌ها انداخت و از عملکرد این شرکت در حفاظت از داده‌‌‌های کاربران انتقاد شد.

با این‌حال به فاصله کوتاهی از این ماجرا مشخص شد که تپسی تنها شرکتی نبوده که از سوی هکرها مورد حمله واقع شده و همین گروه هکری چند هفته پیش از رسانه‌‌‌ای کردن هک تپسی، اطلاعات ۱۸ شرکت بیمه‌‌‌ای را برای فروش در فضای مجازی آگهی کرده بودند. طبق ادعای هکرها، داده‌‌‌های کسب شده، ۱۱۵ میلیون رکورد اطلاعاتی شامل نام، نام‌‌‌خانوادگی، تاریخ تولد، نام پدر، شماره تلفن/ موبایل، شماره شناسنامه، کد ملی، کد ملی شرکت و... بوده و این گروه برای فروش این اطلاعات برای متقاضیان قیمت نیز تعیین و اعلام آمادگی کرده‌‌‌اند. با وجود این مشخص شده که تا زمان افشای این اطلاعات، بیمه مرکزی هیچ اظهارنظری در این‌باره نکرده و موضوع را مسکوت گذاشته است. اگرچه بیمه مرکزی پس از رسانه‌‌‌ای شدن این خبر، نشت اطلاعات را تکذیب کرد، اما عزل مدیرکل بیمه مرکزی و انتصاب مدیری جدید، باعث شد این احتمال در ذهن کاربران تقویت شود.

بازار اخبار هک اطلاعات شرکت‌ها در هفته گذشته به حدی داغ بود که ماجرا به همین‌‌‌جا نیز ختم نشد و شایعات دیگری مبنی بر هک اطلاعات چند صرافی آنلاین رمزارز و حتی چند شرکت استارت‌آپی مطرح دیگر نیز به گوش رسید که بعضی از آنها در بیانیه‌‌‌هایی رسمی این موضوع را تایید و بعضی دیگر به شکل غیر‌رسمی این ادعا را رد کردند. آن‌طور که به نظر می‌رسد شاید مدیران برخی از استارت‌آپ‌های کوچک‌تر دیگر- که احتمالا خبر هک آنها نیز صحت داشت- حتی ترجیح دادند تا در جنجال ایجاد شده حول موضوع هک تپسی، به کل هیچ واکنشی به این احتمالات نشان ندهند.

افشای زیست مجازی کاربران

گذشته از آنکه تعداد شرکت‌های هک شده در یک ماه اخیر چند مورد بوده است، تحلیل همین میزان اطلاعاتی که هکرها مدعی دستیابی به آن شده بودند، باعث شد تا سوالاتی پیرامون آسیب‌‌‌های احتمالی سوءاستفاده از این داده‌‌‌ها مطرح شود.

میلاد نوری،کارشناس حوزه آی‌‌‌تی، در نقدی که در حساب ایکس خود منتشر کرده بود، تشریح کرد که نشت چنین مجموعه‌‌‌ای از داده می‌تواند چه خطراتی را متوجه کاربران کند. این برنامه‌‌‌نویس با تاکید بر آنکه دسترسی به چنین داده‌‌‌هایی می‌تواند هویت فرد در دنیای واقعی را فاش کرده و زمینه را برای کلاهبرداری و آزار افراد فراهم کند، نوشت: «ماجرا به اینجا ختم نمی‌شود و به کمک برخی پارامترهای موجود در این داده‌‌‌ها و اطلاعاتی که از دستگاه کاربران مسافر و راننده در دسترس است، می‌توان فعالیت‌‌‌های آتی آنها در اپلیکیشن‌‌‌های دیگر را نیز ردیابی کرد.» نوری در بخش دیگری از تحلیل خود نوشته بود: «با تطابق برخی از این شناسه‌‌‌ها در سرویس‌‌‌های مختلف، مشخص می‌شود مثلا شمایی که در یک اپلیکیشن خبری، خبر ۱ و ۳ را خوانده‌‌‌اید، همان کاربری هستید که در یک اپلیکیشن دیگر یک عکس مشخص را بارگذاری کرده‌‌‌اید و در برنامه یک تاکسی آنلاین نیز از چنین مسیرهایی عبور کرده‌‌‌اید. به این ترتیب اطلاعات قابل‌‌‌توجهی از زیست مجازی فرد به دست می‌‌‌آید و حریم خصوصی کاربر، آن هم در شرایطی که به گمان خود به صورت ناشناس در فضای مجازی فعالیت می‌کند، نقض شده است.»

یاشار شاهین‌‌‌زاده، یکی از کارشناسان حوزه امنیت سایبری نیز در مصاحبه با «دنیای‌اقتصاد»، با تایید چنین ریسک‌‌‌هایی گفت: «اگرچه به‌‌‌روز بودن سیستم‌‌‌عامل دستگاه‌‌‌های مورد استفاده کاربران، تا حد زیادی ریسک چنین سوءاستفاده‌‌‌هایی را کاهش می‌دهد، اما نمی‌توان صددرصد نشت چنین اطلاعاتی را بی‌‌‌خطر دانست.» این کارشناس امنیت اطلاعات با تاکید بر آنکه نشت چنین مجموعه اطلاعاتی می‌تواند زمینه‌‌‌ساز بروز طیف گسترده‌‌‌ای از آسیب‌‌‌ها -از حملات فیشینگ تا حتی سرقت‌‌‌های فیزیکی- باشد، می‌‌‌گوید: در مواردی حتی شرکت‌های رقیب می‌توانند از چنین اطلاعاتی سوءاستفاده کنند و با ارائه پیشنهادهایی جذاب که با رفتار کاربر تطابق دارد، انتخاب آنها را به نفع خود تغییر دهند.

رمزگشایی تکرار این حملات

فارغ از خطرات متعددی که این هک‌ها و نشت داده‌‌‌های شرکت‌ها می‌تواند برای کاربران ایجاد کند، این سوال مطرح می‌شود که اصلا چرا اخیرا تعداد این حملات تا این اندازه بالا رفته و چگونه می‌توان احتمال تکرار آنها را کاهش داد. شاهین‌‌‌زاده در بخش دیگری از گفت‌وگوی خود با «دنیای‌اقتصاد» به رمزگشایی تکرار این حملات پرداخته و می‌‌‌گوید:« اگرچه امنیت هیچ‌گاه صددرصدی نیست، اما برای دستیابی به یک سطح قابل‌‌‌قبول، باید مراحلی طی شود که هزینه‌‌‌های نسبتا قابل‌‌‌توجهی دارند. وضعیت درآمدی و رقابتی شرکت‌ها گاهی آنها را به جایی می‌‌‌رساند که ترجیح می‌دهند هزینه زیادی در این بخش صرف نکنند و گاهی شکست از همین نقطه شروع می‌شود.» این کارشناس معتقد است که داشتن یک تیم قوی و متخصص برای شناسایی حفره‌‌‌های امنیتی، اولین لایه برای حفاظت از اطلاعات است و در ادامه شرکت‌ها باید یک واحد امنیت مجزا نیز داشته باشند تا با رصد مداوم شبکه، حملات احتمالی را شناسایی و سریعا وارد عمل شوند.

شاهین‌‌‌زاده می‌‌‌افزاید: با این حال حتی این دو مرحله نیز برای برقراری امنیت اطلاعاتی کفایت نمی‌‌‌کند و شرکت‌ها باید به مانند آنچه در خارج از کشور نیز انجام می‌شود، بستری داشته باشند تا به کسانی که حفره‌‌‌ها و باگ‌‌‌های امنیتی یک کسب‌و‌‌کار را گزارش می‌کنند، پاداش و جایزه دهند. تعریف بانتی (جایزه در ازای کشف باگ) به مانند آن است که شما باگ‌‌‌یابی کسب و کار خود را به کل دنیا برون‌‌‌سپاری کنید و به سرعت از وجود هرگونه آسیب‌‌‌پذیری در زیرساخت‌های خود آگاه شوید.

این کارشناس امنیت با بیان اینکه اکنون در ایران نیز کسب‌و‌کارهایی مانند «دیوار» و «‌‌‌بازار»، به خوبی در حال اجرای این رویه هستند و جوایز قابل‌‌‌قبولی نیز به هکرهای کلاه سفید اعطا می‌کنند، می‌‌‌گوید: اما متاسفانه برخی کسب‌و‌کارها به این مورد بی‌‌‌توجه هستند. آنها یا چنین سیستمی ندارند یا مانند مورد اخیر تپسی، جایزه آنها به قدری کم است که هکرها رغبتی به همکاری با آنها برای کشف آسیب‌‌‌پذیری‌‌‌ها ندارند. مثلا ماکزیمم پاداش در نظر گرفته شده از سوی تپسی برای گزارش باگی مشابه آنچه مورد سوءاستفاده قرار گرفت، ۱۲ میلیون تومان بوده است.

وی تاکید می‌کند: زمانی که مثلا فیس‌بوک حاضر است تا ۶۰‌‌‌هزار دلار برای گزارش باگ‌‌‌ جایزه دهد و هکرهای کلاه سفید ایرانی می‌توانند با کاری مشابه آنچه می‌توانستند برای تپسی انجام دهند، از یک شرکت خارجی دست کم ۲هزار دلار بگیرند، دیگر انگیزه‌‌‌ای برای همکاری با شرکت‌های داخلی نخواهند داشت. شاهین‌‌‌زاده معتقد است که هزینه نکردن شرکت‌ها برای بحث امنیت که گاهی ناشی از بی‌‌‌میلی آنهاست و گاهی فضای رقابتی اجازه آن را نمی‌‌‌دهد، باعث شده تا حریم خصوصی در کشور، از هر زمان دیگری آسیب‌‌‌پذیرتر شده و فعلا امیدی به بهبود آن نباشد.

در پناه بی‌‌‌قانونی

نبود قانون مشخصی که شرکت‌ها را به حفظ برخی حداقل‌‌‌ها در بحث امنیت اطلاعات کاربران مکلف کند، یکی از موضوعاتی است که کارشناسان بارها بر آن به عنوان عاملی در تشدید نابسامانی‌‌‌های امنیتی موجود، تاکید کرده‌‌‌اند. یاشار شاهین‌‌‌زاده در تشریح این مورد می‌‌‌گوید: در سال‌های اخیر حاکمیت کشورها سخت‌‌‌گیری‌‌‌های جدی‌‌‌تری را نسبت به هزینه‌‌‌کرد و خروجی امنیتی شرکت‌ها به خرج می‌دهند و همین باعث می‌شود که با تمام دشواری‌‌‌های تجارت، همواره بودجه قابل‌‌‌قبولی از سوی شرکت‌ها به بحث تامین امنیت اطلاعات تخصیص داده شود. این فعال حوزه امنیت چنین ادامه می‌دهد: از سوی دیگر، شرکت‌ها ملزم هستند امکانی فراهم کنند تا کاربر در صورت تمایل، بتواند تمام سوابق اطلاعاتی خود را از سرور یک کسب و کار مشخص حذف کند. این در حالی است که در کشور ما قانون خاصی برای حمایت از حریم خصوصی کاربران وجود ندارد؛ در نتیجه عمدتا امکان حذف اطلاعات در اختیار کاربران قرار نمی‌گیرد و شرکت‌ها نیز در سایه همین ضعف قانونی، الزامی برای فراهم کردن آن نمی‌‌‌بینند.

در کنار ضعف قانونی موجود، واکنش پلیس فتا به ماجرای نشت اطلاعات کاربران تپسی یکی دیگر از موضوعاتی بود که در این چند روز واکنش‌‌‌برانگیز شد و انتقاداتی را متوجه رویکرد این نهاد حافظ امنیت فضای مجازی کشور کرد. در همان روزی که بحث بررسی عمق ماجرای هک تپسی از سوی کاربران حسابی داغ بود، معاون اجتماعی پلیس فتا در مصاحبه‌‌‌ای با خبرگزاری مهر، به تشریح ابعاد این ماجرا پرداخت. رامین پاشائی ضمن اعلام آنکه هویت گروه هکری مشخص شده و این افراد خواستار دریافت ۳۵‌‌‌هزار دلار در ازای عدم‌افشای اطلاعات بودند، از شکایت شرکت تپسی از این هکرها خبر داد. وی با تاکید بر آنکه در پی شکایت تپسی، اقدامات قضایی انجام و منبع آلودگی برطرف شد، گفت: شرکت تپسی هم در حال انجام خدمات خود است و هیچ نگرانی برای هموطنان وجود ندارد.

تاکید معاون اجتماعی پلیس فتا بر اینکه جای نگرانی نیست، باعث شد تا انتقاداتی نسبت به رویکرد پلیس در قبال حملات سایبری اخیر مطرح شود. وحید فرید، از برنامه‌‌‌نویسان و فعالان حوزه ICT در گفت‌وگوی خود با «دنیای‌اقتصاد»، به نقد رویکرد پلیس پرداخت و گفت: اگرچه پلیس با تاکید بر آنکه همه چیز تحت کنترل است، قصد دارد آرامش را به کاربران القا کند، اما حقیقت آن است که اکنون اطلاعات کاربران در اینترنت موجود است و حتی شاید در دارک‌‌‌وب در حال خرید و فروش باشد. در چنین شرایطی حفظ آرامش مشکل را حل نمی‌‌‌کند و باید نسبت به عواقب این نشت اطلاعات آگاه بود. وی معتقد است که کاربران باید به شکلی شفاف در جریان آنچه اتفاق افتاده و تمام خطراتی که ممکن است متوجه آنها باشد، قرار بگیرند و القای آرامش در حالی که نشت اطلاعات عملی شده، در واقع پاک کردن صورت مساله است.

در راستای پیگیری جزئیات بیشتر این ماجرا، روابط عمومی تپسی در پاسخ به «دنیای‌اقتصاد» اعلام کرد که فعلا ترجیح می‌دهند واکنش بیشتری به این موضوع نداشته باشند و در صورت لزوم، اطلاعات جدیدی به زودی در اختیار رسانه‌‌‌ها قرار خواهد گرفت. در ادامه سکوت فعلی تپسی، فرید تاکید می‌کند: «اکنون هدف صرفا متهم کردن و فشار آوردن به یک شرکت خاص نیست که حالا خودش نیز قربانی شده و آسیب ‌‌‌دیده است؛ بلکه باید نگاه جامعی به تمام حملاتی داشت که در ماه‌‌‌ها و سال‌های اخیر، مکررا اتفاق می‌‌‌افتند و هیچ اقدام خاصی نیز در راستای جلوگیری از وقوع آنها انجام نمی‌شود.» وی با اشاره به ضعف قانونی موجود می‌‌‌گوید: «از آنجا که قانون حدود مسوولیت‌ها و وظایف پلتفرم‌‌‌ها را مشخص نکرده، صاحبان این کسب‌و‌کارها نیز چندان برقراری امنیت را جدی نمی‌‌‌گیرند و حاضر به صرف هزینه کافی برای آن نیستند.»

این کارشناس حوزه فناوری اطلاعات در بخش دیگری از صحبت‌های خود، به نوع داده‌‌‌هایی که در مورد اخیر هک اطلاعات تپسی نشت پیدا کرده اشاره کرده و می‌‌‌گوید: خوب است که از همین موارد هکی که اتفاق افتاده بهره ببریم و شرکت‌ها را وادار به شفاف‌‌‌سازی درباره نوع اطلاعاتی کنیم که به طور منظم از کاربرانشان جمع‌‌‌آوری می‌کنند. فرید با تاکید دوباره بر لزوم شفاف‌‌‌سازی تپسی درباره حدود اطلاعاتی که از کاربران جمع‌‌‌آوری کرده، به مرور آنچه کارشناسان دیگر درباره ریسک‌‌‌های احتمالی نگهداری این اطلاعات گفته‌‌‌اند می‌‌‌پردازد. وی تاکید می‌کند: «باید مشخص شود که یک پلتفرم خاص، مثلا یک تاکسی اینترنتی که مدل درآمدی آن دریافت سهم از سفرهای انجام شده است، برای پیشبرد وظیفه اصلی خود به چه حدی از اطلاعات کاربر نیاز دارد تا هیچ شرکتی اجازه نداشته باشد داده‌‌‌ای فراتر از نیاز واقعی، جمع‌‌‌آوری کند.»

یکی از موضوعاتی که برخی کارشناسان حقوقی در این میان مورد تاکید قرار دادند، حمایت قانونی بسیاری از کشورهای خارجی از کاربرانی بود که اطلاعات آنها نشت پیدا کرده است. این درحالی است که با وجود آنکه به گواه آمارهای بین‌المللی، کشور ما یکی از مهم‌ترین مقاصد حملات سایبری در جهان به حساب می‌‌‌آید، هنوز با خلأ قانونی درباره حمایت از داده‌‌‌های کاربران مواجه هستیم. در همین راستا علیرضا طباطبایی‌هاشمی، وکیل پایه یک دادگستری، در گفت‌‌‌وگو با «باشگاه خبرنگاران جوان» تصریح کرده بود: «ما در قانون جرائم رایانه‌‌‌ای در خصوص مسوولیت تپسی در قبال این اطلاعات خلأ داریم و هیچ قانونی در این زمینه وجود ندارد و از این بابت قانون مسوولیتی برای شرکت‌ها در نظر نگرفته است. در نتیجه امروزه شرکت‌ها آنقدر نگران لو رفتن دیتا نیستند.» اگرچه سیاستگذاران با دنبال کردن تصویب طرحی مانند صیانت، بر حمایت از حقوق کاربران در فضای مجازی تاکید داشتند، اما انتشار مفاد جزئیات این طرح در عمل نشان داد که طرح، کارکرد موثری در این زمینه ندارد و تنها به محدود کردن زیست مجازی کاربران پرداخته است. در همین حال، با وجود گذشت دو سال از پیشنهاد لایحه‌‌‌ای برای حفاظت از داده‌‌‌های کاربران، هنوز سرنوشت این لایحه مشخص نشده است.