اسنپ گیت و نشت اطلاعات ۲۰ میلیون ایرانی؛ بحرانی که کاربران را تهدید می‌کند/ کاربران اسنپ مراقب لینک های ارسالی باشند

مجموعه: اخبار تکنولوژی

به گزارش اقتصاد۲۴؛هکر‌هایی که موفق به هک اطلاعات ۳۰ میلیون کاربر تپسی شده بودند این بار احتمالا در آرامش کامل، اطلاعات ۲۰ میلیون کاربر اسنپ فود را هک کردند و بعد از دو روز سروصدای جدی و حتی خبر استقرار نیرو‌های فتا در دفتر اسنپ فود، بالاخره مشخص شد که اطلاعات با همان رقم پیشنهادی اولیه ۳۰ هزار دلار در دارک وب فروخته شده است، رقمی که با توجه به حجم بزرگ اطلاعات برای بسیاری واقعا عجیب بود و حتی عجیب‌تر اینکه چرا اساسا خود اسنپ این رقم را پرداخت نکرد ؛ رقمی که با احتساب دلار ۵۰ هزار تومانی هم در نهایت به یک میلیارد و ۵۰۰ میلیون تومان می‌رسید.

البته مساله این جاست خسارتی که این هک به شهروندان ایرانی خواهد زد در نتیجه بسیار بیشتر از این ارقام است.

هرچند که عصر دیروز این گروه هکری در خبری که مشخص نیست در قالب رپرتاژ در برخی رسانه‌ها منتشر شده است یا خیر، مدعی شد «پیرو مذاکراتی که با تیم اسنپ‌فود داشتیم، دیتای این مجموعه به هیچکس فروخته نشده و نخواهد شد!»

اطلاعات منتشر شده شامل چه بخشی بوده است؟
آنچه، اما منتشر شد شامل همه اطلاعات زیر از ابتدای تاسیس اسنپ تا امروز بوده است؛

- اسم، کدملی، تلفن، ایمیل، تمامی آدرس‌ها، GPS آدرس‌ها، تمامی دستگاه‌ها، تمامی تراکنش‌ها، شماره کارت‌ها و تمامی سفارشات و هر چیزی که یک کاربر یا مشتری در اسنپ فود داشته است.

- اسم، کدملی، تلفن، ایمیل، آدرس‌ها، اطلاعات حساب، واریزها، نوع وسیله نقلیه، سن، سفر‌ها و هر چیزی که پیک‌ها داشته اند.

- اسم، آدرس‌ها، شماره‌ها، اطلاعات حساب‌ها، تراکنش‌ها، اطلاعات رابط‌ها و تمام اطلاعاتی که رستوران‌ها به اسنپ دادند.

- تمام اطلاعات شرکت‌ها، پرسنل، اطلاعات رابط و هر اطلاعاتی که موسسات و شرکت‌ها برای اکانت‌های سازمانی به آنان داده اند.

جالب این است که تیم هکری در همان ابتدا گفت اقدام هک را به اسنپ فود اطلاع نداده اند و مستقیما اطلاعات را برای فروش گذاشته است. اما دلیل این عدم اطلاع باز می‌گردد به تابستان امسال که همان گروه هکری تپسی را هک کرده بود و این بار عنوان کردند که پس از ماجرای تپسی تصمیم گرفتیم با هیچ شرکتی در آینده مذاکره نکنیم!
چرا که شرکت تپسی پس از یک دور مذاکره بی حاصل در نهایت اعلام کرد تصمیم به دادن هیچ باجی به هکر‌ها ندارد و هکر‌ها نیز اطلاعات را در اینترنت منتشر کردند.

اهمیت و ارزش اطلاعاتی که به سرقت رفت
اما کافی است نگاهی به آنچه در این هک بزرگ و افشای اطلاعات رخ داده است بیاندازید تا متوجه اهمیت و ارزش اطلاعات از دست رفته شوید.

البته که اسنپ‌فود در اطلاعیه رسمی خود اشاره کرده که مشتریان نباید نگران اطلاعات حساب بانکی خود یا دست‌کم سرقت موجودی حساب‌های‌شان باشند؛ چون اطلاعات لو‌ رفته شامل کد امنیتی کارت CVV۲، رمز عبور و تاریخ انقضا نمی‌شود. با این حال بسیاری از کاربران به حق نگران اطلاعات لو‌ رفته در شبکه‌های مجازی هستند و با حجم اطلاعات افشا شده به نظر می‌رسد که کاملا نیز حق داشته باشند.

 اما مساله این است که آنطور که بررسی نمونه‌ها توسط دیجیاتو نشان می‌دهد، آخرین نمونه اطلاعات نشت شده در اسنپ مربوط به تاریخ ۱۰ دسامبر ۲۰۲۳ است. این موضوع احتمالا می‌تواند حاکی از آن باشد که اطلاعات حدود ۲۰ روز پیش از اعلام شدنش از اسنپ فود استخراج شده است.

افزایش هک در ماه‌های اخیر
مساله این است که در ماه‌های اخیر تعداد حملات سایبری به سازمان‌های دولتی و همچنین اپلیکیشن‌های کسب و کار افزایش یافته است، اما نباید با همه این موارد اهمیت این موضوع و توجه به امنیتی که با هر حمله و نشت اطلاعات به مخاطره می‌افتد، نادیده گرفته شود. مساله این است که طی ماه‌های اخیر به طور توامان هم حملات سایبری به سامانه‌ها و پلتفرم‌ها افزایش پیدا کرده، و هم به طور مداوم شاهد عدم واکنش صحیح به این موضوع از طرف مراجع قانون‌گذار هستیم، به طوری که گویا این حملات سایبری و نشت اطلاعات شهروندان فاقد اهمیت است، در حالی که هر کدام از این افشای اطلاعات توسط هک در کشور‌هایی با قوانین مدون و لازم می‌توانست منجر به فاجعه‌ای جدی شود که نه تنها مجازات سنگین برای پلتفرم در بر داشته باشد که حتی کل قوانین قضایی آن کشور را نیز تغییر دهد، اما در ایران به نظر می‌رسد هنوز اهمیت نقض حریم خصوصی شهروندان و افشای اطلاعات آنان در ردیف جرم‌هایی که باید آن را خطرناک دسته بندی کرد قرار نگرفته است.

مساله، اما اکنون این است که برای جلوگیری و ممانعت از اینکه حمله سایبری، نشر اطلاعات کاربران و نقض امنیت و حقوق شهروندان تبدیل به یک موضوع معمولی نشود باید تبعات این اتفاق از بعد امنیتی و اقتصادی به طور مکرر مورد بررسی قرار بگیرد.

اینکه اسنپ‌فود مورد حمله گروه هکری IRLeaks قرار گرفته، که پیش‌تر تپسی را هک کرده بود، و داده‌های فراوان با جزئیات بسیاری از ۲۰ میلیون کاربر این پلتفرم و مشخصات کسب‌وکار‌هایی که در آن فعال بوده‌اند به دست هکر‌ها افتاده است چنان از سوی اسنپ عادی سازی شد و بیانیه خونسردانه‌ای صادر شد که عملا تمامی نشر اطلاعات شخصی و خصوصی شهروندان تنها از این باب که اطلاعات کارت بانکی شان کامل افشا نشده است، به هیچ گرفته شد.

شرکت‌های بی تعهد و خطری که کاربران را تهدید می‌کند
مساله‌ای که به وضوح نشان از عدم تعهد این شرکت بزرگ داشته آن هم در حالی که از امروز همه کاربران اسنپ فود به طور مکرر و روزانه باید نگران تک تک پیامک‌هایی که برای آنان ارسال می‌شود باشند چرا که می‌تواند امنیت اقتصادی شهروندان را به راحتی با این اطلاعات تهدید کرد.

به گزارش اقتصاد ۲۴، اما حمله‎‌های سایبری ماه‌های اخیر ابدا به کسب‌وکار‌ها محدود نبوده و حمله سایبری به پمپ‌بنزین‌ها و کل سامانه سوخت‌رسانی کشور، حمله به سامانه ثبت احوال و لو رفتن اطلاعات مردم و حمله به سرور‌های بنیاد شهید هم از موارد اخیر هک سازمان‌ها و نهاد‌های دولتی بوده است؛ حملات هکری که در هر مرحله بخشی از اطلاعات کاربران ایرانی به راحتی در اختیار شبکه‌ها و گروه‌هایی قرار گرفته است که هیچ گاه هویت آنان به دقت مشخص نشده است.

مساله دیگر، اما در این میان همین که هک و نشت اطلاعات اسنپ فود باعث بار دیگر مساله عدم وجود قانونی برای حفاظت از داده‌ها و اطلاعات در سطح کشور مطرح شود و آن را یکی از مهم‌ترین دلایل پایین بودن سطح امنیت سایبری در کشور نیز بسیاری بدانند. عملا در ایران قانونی وجود ندارد که شرکت‌ها را موظف و ملزم به پاسخ‌گویی در قبال نشر اطلاعات کاربران و مشتریان خود کند. البته در چند سال گذشته تلاش‌هایی برای تدوین لایحه حمایت و حفاظت از داده‌های شخصی صورت گرفته، اما این لایحه به اندازه لوایح و قوانینی مانند صیانت اهمیت نداشته که به تصویب برسد و اجرای آن با جدیت پیگیری شود.

بحران قوانین کارآمد برای محافظت از شهروندان
به گزارش اقتصاد ۲۴ در این میان، اما ایرنا گزارش داده است که عیسی زارع پور ، وزیر ارتباطات پس از انتشار خبر هک اسنپ‎‌فود و افشای اطلاعات کاربران بار دیگر به این لایحه اشاره کرده و البته مسئولیت رسیدگی به موضوع حملات سایبری را با پلیس فتا دانسته و گفته است: «مسئول رسیدگی به امنیت کسب‌وکار‌ها پلیس فتا است. لایحه حریم خصوصی به کمیسیون حقوقی و قضایی دولت ارجاع داده شده است. به این ترتیب حقوق و تکالیف مردم و پلتفرم‌ها مشخص خواهد شد.»

سعید سوزنگر، کارشناس حوزه امنیت سایبری نیز به زومیت گفته است که: «در یک جهان نرمال کسب‌وکار‌ها ملزم هستند که حامی حقوق کاربرانشان باشند، اما در شرایط کشور ما کسب‌وکار می‌بیند که به واسطه سهام و پشتوانه‌هایی که دارد از انحصار برخوردار است و برای هیچ نهادی هم مهم نیست که این اطلاعات منتشر شود پس وارد فرایند هزینه‌بر ارتقای سطح امنیت خود نمی‌شود.» این کارشناس در ادامه به سیاست‌های کلان حاکمیتی در حوزه اینترنت اشاره می‌کند که باعث به وجود آمدن این وضعیت شده است: «نهاد‌های رگولاتور و قانون‌گذار به جای اینکه تمرکزشان را روی جلوگیری از نقض قوانین و حقوق شهروندی بگذارند، خودشان با قطع و فیلتر کردن، این حقوق را نقض می‌کنند و با این کار سطح امنیت را هم کاهش می‌دهند. مردم هم این وسط اهمیتی ندارند که این نهاد‌ها برای حفظ امنیت اطلاعاتشان تلاش کنند در حالی که حاکمیت موظف است از داده‌های شهروندانش محافظت کند.»

انحصار و فیلترینگ دو بحران بزرگ
در واقع آنچه این کارشناس امنیت سایبری و شبکه به آن اشاره می‌کند را شاید باید ریشه اصلی بحران پلتفرم‌های ایرانی دانست، مساله انحصار در این پلتفرم‌ها که همواره بدون واکنش با دولت‌ها مواجه شده است از بحران‌های اصلی در کشور محسوب می‌شود.

البته باید توجه داشت که به اعتقاد کارشناسان مواردی مانند فیلترینگ سطح امنیت کاربران و پلتفرم‌ها را کاهش داده و میزان آسیب‌پذیری آن‌ها را بالا برده است و البته گروهی دیگر از کارشناسان حوزه امنیت معتقد هستند فیلترینگ فقط تسهیل کننده بوده و امنیت سایبری در کشور همواره در سطح پایینی قرار داشته و یک عامل مهم آن نبود قوانین بازدارنده کافی است و در نتیجه پلتفرم‌های آنلاین توجهی به وضعیت آشفته امنیت سایبری ندارند و چون مجازات چندانی درباره افشای اطلاعات نیز نمی‌شوند پس اساسا لزومی برای حل این بحران و افزایش سطح امنیت خود نیز نمی‌کنند.

هکر‌ها متمرکز روی ایران
به گزارش اقتصاد ۲۴،  در این میان باید به نظر کارشناسان امنیت سایبری نیز توجه کرد که اعتقاد دارند علت افزایش حمله‌های سایبری در سال‌ها و ماه‌های اخیر در کشور یکی این است که تمرکز تیم‌های هکری به سمت ایران بیشتر شده، چرا که استفاده از فیلتر شکن، امنیت شبکه را به طور جدی کاهش داده و از سوی دیگر نبود قوانین کافی منجر به بی توجهی پلتفرم‌ها نیز می‌شود.

همچنین با درز هر بار اطلاعات و تلاش برای فروش اطلاعات، مساله هک شدن‌ها، رسانه ای شده و باگ‌های بزرگتری از شبکه اطلاعاتی کشور افشا می‌شود.

 همین حالا می‌بینید که در ایران چنان افشای بزرگ اطلاعاتی رخ داده است، اما اسنپ‌فود می‌داند که حتی لو رفتن دیتای مشتری از پلتفرمش نیز چندان برایش هزینه ندارد چرا که نه قوانین کافی وجود دارد و نه قوانین ضدانحصار در کشور عمل می‌کند پس چیزی از دست نخواهد داد و در نتیجه به فکر مقاوم‌سازی خود در برابر تهدید‌های امنیتی نیز نیست.

کما این که اگر روزگاری سعی می‌کرد هکر‌ها را با رقم ۷ میلیون و پانصد هزار تومان برای افشای باگ‌های خود به مسخره بگیرد، حالا، اما دیگر می‌داند که شوخی وی چندان کارآمد نیست و اطلاعاتش به قیمت ۳۰ هزار دلار به فروش رفته است، آن هم فروشی که برخی خریدارش را یکی از رقبای تازه نفسی می‌دانند که احتمالا به زودی به عرصه وارد خواهد شد.

البته در این موضوع خاص آن چه در موضوع هک اسنپ فود و نشت اطلاعات ۲۰ میلیون کاربر ایرانی خود را به رخ کشیده است، سکوت دادستان به عنوان مدعی العموم است.

فراموش نکنیم که از امروز هر کاربر اسنپ فود باید نگران هر پیامک، هر لینکی که برای وی ارسال می‌شود و هر نوع درز اطلاعاتش باشد.

کاربر ایرانی در خطر مداوم از فیشینگ تا ارسال لینک‌های آلوده
به گزارش اقتصاد ۲۴،  این که روزگاری با فیشینگ حساب بانکی خالی می‌شد حالا می‌تواند به بحرانی تازه تبدیل شود. کاربری که نام و کدملی و اطلاعات محل سکونتش به همراه شماره موبایل و حتی شماره کارت بانکی وی لو رفته است، حالا در معرض امکان انوع دزدی‌ها قرار می‌گیرد و امنیت او نه فقط به صورت مجازی که حتی به صورت واقعی می‌تواند در خطر باشد.

تصور کنید شهروندی به ناگاه با پیامک یا پیغامی در یکی از شبکه‌های اجتماعیش مواجه شود که نام و کد ملی وی را به درستی قید کرده و لینکی نیز برای وی ارسال شده است، او به راحتی ممکن است اعتماد کند و با یک کلیک ساده روی لینک کمترین چیزی که از دست برود اطلاعات حساب‌های بانکی وی باشد.

از سوی دیگر این حجم اطلاعات لو رفته می‌تواند منجر به باج گیری اقتصادی، از بین رفتن امنیت این شهروندان حتی به طور حقیقی شود و در واقع هک رخ داده در اسنپ فود را باید اسنپ گیت دانست و کمترین درخواست در این میان قطعا حضور دادستان به عنوان مدعی العموم و اعلام رسمی و صدور سریع کیفرخواست علیه شرکتی است که با انحصار پیشتازی می‌کند و اتفاقا به مدد همین انحصار است که بعد از افشای چنین درز و نشت اطلاعاتی هنوز در حال ادامه دادن کار است.

در این میان باید یکبار دیگر نیز به مسئولان یادآور شد که بخشی از فاجعه رخ داده جدا از مساله عدم قوانین درست و کارآمد و البته انحصار در بازار، نتیجه مستقیم اعمال فیلترینگ است که عملا اینترنت ایران را به یک شبکه غیرقابل اعتماد تبدیل کرده و صیانت وعده داده شده به کاربران را نیز عملا هیچ دانسته است.

سهم کاربر ایرانی از صیانت فقط فیلترینگ است
سهم کاربران ایرانی حالا از صیانت، تنها به فیلترینگ مداوم و قطع دسترسی آزاد به گردش اطلاعات تبدیل شده و به نظر می‌رسد در برابر نشر این مدل اطلاعات هیچ سهمی از ادعا‌های مطرح شده درباره صیانت ندارند.

خوب است مسئولان کشور برای درک مساله صیانت از حقوق کاربران به جای فشار مداوم دکمه فیلترینگ، یک بار زحمت بکشند و نگاهی به قوانین اتحادیه اروپا برای حقوق کاربران بیاندازند و اصلا چرا راه دور، جلسه کنگره آمریکا با مارک زاکربرگ را برای حفظ امنیت کاربران بار دیگر تماشاکنند، شاید بالاخره کاری به جز فیلترینگ نیز از دستشان بربیایید.