درس‌های اسنپ‌فود

به گزارش اصفهان زیبا؛ ماجرای اسنپ‌فود با انتشار خبر هک و نمونه اطلاعات منتشرشده و تعیین قیمت  ۳۰هزار دلاری توسط هکرها شروع شد و پس از زمانی حدود یک هفته با خبر مذاکره شرکت اسنپ با هکرها و طبق ظواهر با پرداخت چندده‌هزار دلار باج به هکرها توسط این شرکت برای جلوگیری از عدم انتشار اطلاعات در سطح گسترده پایان یافت.

در چند روز گذشته از آغاز تا پایان، ماجرای هک اسنپ فود در صدر اخبار فناوری ایران قرار داشت؛ هکی که در طی آن اطلاعات دقیق ۲۰ میلیون ایرانی، ازجمله مشتریان و پیک‌های فعال در اسنپ فود در اختیار هکرها قرار گرفت.

اطلاعاتی از تاریخ دقیق سفارش‌ها، آدرس دقیق سفارش‌ها، شماره تماس، نام و تقریبا هر آنچه از اطلاعات کاربران در نرم‌افزار اسنپ فود ذخیره می‌شود. هرچند پرونده این ماجرا به‌نوعی بسته شد؛ اما پرونده امنیت اطلاعات در ایران همچنان مفتوح است و باید مسئولان و مردم این پرونده را به سرانجامی مشخص برسانند.

به ‌طور کلی امروزه تقریبا تمام نرم‌افزارهایی که ما استفاده می‌کنیم، از ساده‌ترین نرم‌افزارها (که شاید حتی یک ماشین‌حساب ساده باشد) تا پیچیده‌ترین آن‌ها که در صدر آن شبکه‌های اجتماعی قرار دارد، اطلاعات کاربران خود را جمع‌آوری می‌کنند. این اطلاعات از تعداد کلیک‌ها در برنامه تا اطلاعات حیاتی مانند محل زندگی و مشخصات بیومتریک مانند اثرانگشت فرد را بسته به نرم‌افزار شامل می‌‌شود.

پدیده ذخیره اطلاعات و استفاده‌های گوناگون این اطلاعات ذخیره‌شده مسئله جدیدی در دنیای تکنولوژی نیست؛ اما وقایع مرتبط با آن همچنان در صدر اخبار جهان قرار دارد. برای مثال چندی پیش خبر هک اطلاعات DNA چندمیلیون نفر که از یک استارتاپ فعال در این زمینه منتشر شده بود، به یکی از اخبار مهم رسانه‌های حوزه فناوری تبدیل شد؛ همچنین افشاگری‌های مربوط به فروش اطلاعات توسط شرکت‌های بزرگ مانند متا، یکی از اخبار همیشگی و پرمخاطب دنیای تکنولوژی است. در جهان امروز کشورهای گوناگون قوانین سخت‌گیرانه‌ای را در حوزه حفظ و استفاده اطلاعات مشتریان وضع کرده‌اند که به شکل مداوم نیز به‌روز می‌شود.

هرچند شرکت‌های بزرگ همیشه راهی برای دورزدن آن پیدا می‌کنند؛ اما بااین‌حال برخی از مشکلات اولیه در این حوزه تا حدودی رفع شده است؛ برای مثال سال‌هاست اطلاعات کاربران عادی که در شرکت‌های بزرگ جهانی مانند گوگل یا … وجود دارد، به‌طور گسترده موردحمله موفق قرار نگرفته است؛ همچنین در بسیاری از موارد، نفوذ هکرها به یک وب‌سایت پرکاربر با گستره جهانی، کمتر منجر به سرقت‌رفتن اطلاعات بسیار حساس کاربران شده است. (البته این به معنای مطلق نبود چنین مسئله‌ای نیست.)

با این حال با یک رصد ساده از اخبار فناوری ایران متوجه می‌شوید که ظاهرا هرچند ماه یک‌بار در ایران یک هک بزرگ اتفاق می‌افتد؛ برای مثال هک دیتابیس راهور، هک دیتابیس مربوط به چند بیمه‌گذاری، هک دیتابیس مشتریان اپراتورها، هک دیتابیس سامانه ثبت احوال و … .

برای این منظور می‌توانید به وب‌سایت leakfa.com مراجعه کنید و با واردکردن شماره تلفن همراه خود، ببینید اطلاعات شما در کدام ‌یک از این هک‌ها منتشر شده است. برای مثال نتیجه این جست‌وجو برای یک کاربر به‌طور خلاصه این‌چنین بوده است: سامانه شکار: نام کامل، نام کاربری، شناسه کاربری و … .

پونیشا: نام، نام خانوادگی، جنسیت، شماره ملی، تاریخ تولد، آدرس یا نشانی، رزومه و … .

قرآن صوتی حبل‌المتین: نام کامل، نام کاربری، شناسه کاربری، شهر، آدرس ایمیل، شماره تلفن همراه، برند دستگاه، مدل دستگاه، شناسه IMEI، ‌آدرس وای‌فای و … .

تقویم اذان‌گو باد صبا: نام، نام خانوادگی، نام پدر، شناسه کاربری، آدرس ایمیل، کشور، استان، شهر، منطقه زمانی، مختصات جغرافیایی، شماره تلفن همراه، برند دستگاه، مدل دستگاه، شناسه IMEI و … .

بانک ملی ایران: نام، نام خانوادگی، نام پدر، تاریخ تولد، شماره ملی، شماره کارت، شماره تلفن همراه، شهر، استان، آدرس یا نشانی.

 تپسی: نام، نام خانوادگی، شماره ملی، تاریخ تولد، جنسیت، آدرس ایمیل، شماره تلفن همراه، شناسه کاربری، مختصات جغرافیایی، تاریخ سفر، زمان شروع سفر، مبدأ و مقصد سفر، شناسه راننده و …

درواقع اطلاعات این کاربر حداقل در شش هک متفاوت منتشر شده بود که جمع‌آوری و کنارهم‌گذاشتن این اطلاعات قطعا می‌تواند حریم خصوصی او (و هر فرد مشابه دیگر) را به خطر بیندازد.

در مثال طنز ماجرا درصورتی‌که اطلاعات اسنپ فود منتشر می‌شد می‌توانستید سفارش‌های رفقای خود را چک کنید تا ببینید آیا جایی بدون شما غذاخورده‌اند یا نه!

هرچند ظاهرا این مثال خطر جدی را ایجاد نمی‌کند؛ اما قطعا اگر کسی قصد به‌خطرانداختن شما را داشته باشد، داشتن این اطلاعات برای انجام نقشه او کافی است.

در یک سناریو خیلی ساده ممکن است فردی با شما تماس بگیرد و بگوید آیا شما در فلان تاریخ از رستوران ما سفارش ثبت کرده‌اید؟ آیا کد ملی شما این است؟ آیا آدرس شما این است؟ (و همه اطلاعات درست است) تبریک می‌گوییم! شما برنده قرعه‌کشی رستوران ما شده‌اید. یک لینک برای شما پیامک خواهد شد که با پرکردن فرم می‌توانید جایزه خود را دریافت کنید و … .

این‌ یک سناریو ساده  است که هر فردی با  کمی تأمل می‌تواند اجرا کند و احتمالا در مواردی مخصوصا اگر قربانی کمی مسن باشد یا از دانش دیجیتال کمتری برخوردار باشد، احتمالا در نقشه خود موفق شود. (چنین سناریوهای ساده‌ای همچنان در کشورهای توسعه‌یافته توسط کلاه‌برداران در حال استفاده است و با کمی تغییر همچنان نتیجه‌بخش است!)

انتشار اطلاعات کاربران چه آثاری را در پی دارد؟

در این نمونه انتشار چنین اطلاعاتی باعث می‌شود شما به‌عنوان یک شخص مورد هدف کلاه‌برداری قرار بگیرید و کار کلاه‌بردار برای رسیدن به هدفش آسان شود.

در موارد کلان‌تر، یک سرویس جاسوسی می‌تواند با آنالیز دیتابیس اسنپ فود، عادات غذایی مردم ایران را به تفکیک شهر و محله موردمطالعه قرار دهد، میزان درآمد مردم را در نقاط مختلف شهر موردمطالعه قرار دهد، میزان مخارج مردم برای یک ماده غذایی خاص را موردمطالعه قرار داد، تغییرات ذائقه مردم در طول سالیان را موردمطالعه قرار دهد،‌ تغییرات محل کار و محل زندگی مردم را موردمطالعه قرار دهد.

حتی موارد بسیار غیرمستقیم‌تری نیز می‌تواند توسط این اطلاعات موردمطالعه قرار گیرد و به‌وسیله آن دشمن برای یک هدف امنیتی برنامه‌ریزی دقیق کند و امنیت میلیون‌ها ایرانی را به خطر اندازد.

دقت داشته باشید تمام این موارد می‌تواند فقط با داشتن یک کلان‌داده از سرویسی مانند اسنپ‌فود اتفاق بیفتد. حال ما قرار است در شهر هوشمند اقدام به جمع‌آوری حیاتی‌ترین و حساس‌ترین اطلاعات شهر و شهروندان کنیم.

آنچه باید در وهله اول قرار گیرد، مسئله امنیت اطلاعات است

آنچه در وهله اول، مردم و مسئولان از شهر هوشمند انتظار دارند، این است که روند هوشمندسازی طی شود، اطلاعات جمع‌آوری و موردمطالعه قرار گیرد و زندگی در شهر را هوشمندانه‌تر کند.

اما آنچه باید در وهله اول قرار گیرد و ممکن است در ظاهر انتظارات مردم و مسئولان هم برطرف شود و شاید این مورد دچار مشکل باشد، مسئله امنیت اطلاعات است؛چیزی که اساسا در ظاهر دیده نمی‌شود و فقط وقتی به اهمیت آن پی می‌بریم که کار از کار گذشته باشد.

تقریبا یکی از مشکلات مهم کشور در این زمینه دقیقا از همین‌جا نشئت می‌گیرد.

همیشه بخش امنیت اطلاعات جزو بخش‌هایی است که برای صرفه‌جویی در هزینه‌ها به آن کم‌توجهی می‌شود یا به علت ملموس‌نبودن آن در طول فرآیند پروژه‌ها، بررسی و رصد دقیق آن صورت نمی‌گیرد؛ زیرا قوانین الزام‌آور مفیدی نیز در این زمینه برای شرکت‌ها و… وضع نشده است. (هرچند قوانینی وجود دارد؛ اما قانونی که روندها را مشخص کرده و الزام‌آور باشد وجود ندارد.)‌ برای مثال در آمریکا در سال ۲۰۱۷ شرکت Equifax هک و اطلاعات هویتی ۱۴۷ میلیون آمریکایی منتشر شد. این شرکت در دادگاه محکوم‌به پرداخت ۵۷۵ میلیون دلار شد.

نبود چنین قوانینی باعث شده تا راهکارهایی که در این زمینه مورداستفاده قرار می‌گیرد، در ایران مورد کم‌توجهی قرار گیرد. یکی از روش‌های مرسوم حفظ امنیت اطلاعات در جهان، مسئله «باگ بانتی» است.

سازوکار باگ بانتی به این شکل است که شرکت‌ها به‌طورمستقل یا در سایت‌های مخصوص، اقدام به گذاشتن جایزه برای هکرهای اخلاق‌مداری می‌کنند که بتوانند مشکل یا نفوذی در سیستم‌ها و سامانه‌های شرکت را بیابند. بسته به‌شدت مشکل، این جوایز از کد تخفیف تا جوایز چندمیلیون دلاری متفاوت است.

ظاهرا شرکت اسنپ برای گزارش سنگین‌ترین نوع آسیب‌پذیری، جایزه ۷ میلیون تومانی قرار داده بود که قاعدتا نظر افراد زیادی را به خود جلب نخواهد کرد.

باگ بانتی در حال حاضر در جهان برای عده‌ای نوعی شغل محسوب می‌شود. افرادی که با هک و امنیت آشنایی دارند، تلاش می‌کنند تا در وب‌سایت‌ها و سامانه‌های گوناگون مشکلات امنیتی را بیابند تا با گزارش آن به شرکت مربوط، جایزه دریافت کنند.

از آنجایی‌ که در ایران قوانین بازدارنده در این زمینه وجود ندارد، استارتاپ‌ها و شرکت‌های گوناگون فعالیت زیادی در این حوزه انجام نداده‌اند و عملا باگ بانتی به شکلی که باید، در ایران رواج پیدا نکرده است.

در همین مسئله اسنپ فود که در نهایت این شرکت مجبور شد باج چندده‌هزار دلاری به هکرها بدهد، افرادی در توییتر مدعی بودند قبلا مشکلات امنیتی جدی را به اسنپ گزارش داده‌اند؛ اما پیشنهاد اسنپ برای آن‌ها عددی زیر ۱۰ میلیون تومان بوده است.

در حوزه‌هایی مانند شهر هوشمند راهکارهای دیگری نیز علاوه بر مسئله باگ بانتی باید اتخاذ شود. برای مثال نحوه ذخیره اطلاعات مسئله‌ای است که حتما نیازمند وضع قوانین برای آن هستیم.

رمزنگاری اطلاعات باعث می‌شود در صورت افشای  اطلاعات کمترین آسیب به کاربران وارد شود

در حوزه ذخیره اطلاعات راهکارهایی وجود دارد تا اطلاعات کاربران به‌گونه‌ای ذخیره شود که در صورت افشای اطلاعات، کمترین آسیب را به کاربران وارد کند. برای تقریب به ذهن یک مثال ساده وجود دارد که امروزه بسیاری از وب‌سایت‌های ساده نیز رعایت می‌کنند و آن مسئله رمزنگاری برخی اطلاعات است؛ برای مثال در یک وب‌سایت نباید رمز عبور کاربران به همان شکلی که کاربر آن را وارد می‌کند ذخیره شود، بلکه باید نوع رمزنگاری‌ شده آن در دیتابیس ذخیره شود تا در صورت افشای دیتابیس، رمزی که کاربر برای اکانت خود انتخاب کرده بود افشا نشود؛ چراکه احتمالا آن کاربر از آن رمز عبور در بسیاری از وب‌سایت‌های دیگر نیز استفاده کرده است.

این مسئله در حوزه شهر هوشمند بسیار اهمیت دارد؛ مثلا اگر قرار است میزان خودروهای عبوری از یک خیابان برای تحلیل‌های ترافیکی ذخیره شود، این فرآیند باید به‌گونه‌ای صورت گیرد که در صورت افشای اطلاعات ذخیره‌شده، پلاک و هویت خودروها مشخص نشود.

به‌غیر از موارد بالا که درواقع اصلاحات ساختاری در فرآیندها برای بهبود وضعیت امنیت اطلاعات در کشور است، باید به مواردی در برخورد با افشای اطلاعات نیز توجه کرد.

درخصوص اسنپ فود، شرکت اسنپ با پرداخت باج به این قضیه پایان داد. هرچند سر درستی این مسئله اختلاف وجود دارد؛ اما باید دقت داشت پرداخت باج به هکرها شیوه خیلی خوبی برای پایان‌دادن به این ماجرا نیست.

هرچند شاید جلوی این مورد مصداقی را بگیرد و احتمال افشای اطلاعاتی که به دست هکرها افتاده کمتر شود (که تضمین آن‌چنانی هم برای آن نیست)؛ ولی قطعا باعث ایجاد انگیزه برای سایر گروه‌های هکری می‌شود تا به روش غیراخلاقی اقدام به انتشار اطلاعات شهروندان کنند.

درست زمانی را فرض کنید که به یک بانک دستبرد زده‌شده. درصورتی‌که سارق اقدام به گروگان‌گیری کند و درنهایت بتواند با پول از بانک به شکل موفق فرار کند و دستگیر نشود، امنیت آن شهر در آینده ازلحاظ احتمال افزایش گروگان‌گیری و سرقت بانک، بیشتر به خطر خواهد افتاد.