به گزارش اصفهان زیبا؛ ماجرای اسنپفود با انتشار خبر هک و نمونه اطلاعات منتشرشده و تعیین قیمت ۳۰هزار دلاری توسط هکرها شروع شد و پس از زمانی حدود یک هفته با خبر مذاکره شرکت اسنپ با هکرها و طبق ظواهر با پرداخت چنددههزار دلار باج به هکرها توسط این شرکت برای جلوگیری از عدم انتشار اطلاعات در سطح گسترده پایان یافت.
در چند روز گذشته از آغاز تا پایان، ماجرای هک اسنپ فود در صدر اخبار فناوری ایران قرار داشت؛ هکی که در طی آن اطلاعات دقیق ۲۰ میلیون ایرانی، ازجمله مشتریان و پیکهای فعال در اسنپ فود در اختیار هکرها قرار گرفت.
اطلاعاتی از تاریخ دقیق سفارشها، آدرس دقیق سفارشها، شماره تماس، نام و تقریبا هر آنچه از اطلاعات کاربران در نرمافزار اسنپ فود ذخیره میشود. هرچند پرونده این ماجرا بهنوعی بسته شد؛ اما پرونده امنیت اطلاعات در ایران همچنان مفتوح است و باید مسئولان و مردم این پرونده را به سرانجامی مشخص برسانند.
به طور کلی امروزه تقریبا تمام نرمافزارهایی که ما استفاده میکنیم، از سادهترین نرمافزارها (که شاید حتی یک ماشینحساب ساده باشد) تا پیچیدهترین آنها که در صدر آن شبکههای اجتماعی قرار دارد، اطلاعات کاربران خود را جمعآوری میکنند. این اطلاعات از تعداد کلیکها در برنامه تا اطلاعات حیاتی مانند محل زندگی و مشخصات بیومتریک مانند اثرانگشت فرد را بسته به نرمافزار شامل میشود.
پدیده ذخیره اطلاعات و استفادههای گوناگون این اطلاعات ذخیرهشده مسئله جدیدی در دنیای تکنولوژی نیست؛ اما وقایع مرتبط با آن همچنان در صدر اخبار جهان قرار دارد. برای مثال چندی پیش خبر هک اطلاعات DNA چندمیلیون نفر که از یک استارتاپ فعال در این زمینه منتشر شده بود، به یکی از اخبار مهم رسانههای حوزه فناوری تبدیل شد؛ همچنین افشاگریهای مربوط به فروش اطلاعات توسط شرکتهای بزرگ مانند متا، یکی از اخبار همیشگی و پرمخاطب دنیای تکنولوژی است. در جهان امروز کشورهای گوناگون قوانین سختگیرانهای را در حوزه حفظ و استفاده اطلاعات مشتریان وضع کردهاند که به شکل مداوم نیز بهروز میشود.
هرچند شرکتهای بزرگ همیشه راهی برای دورزدن آن پیدا میکنند؛ اما بااینحال برخی از مشکلات اولیه در این حوزه تا حدودی رفع شده است؛ برای مثال سالهاست اطلاعات کاربران عادی که در شرکتهای بزرگ جهانی مانند گوگل یا … وجود دارد، بهطور گسترده موردحمله موفق قرار نگرفته است؛ همچنین در بسیاری از موارد، نفوذ هکرها به یک وبسایت پرکاربر با گستره جهانی، کمتر منجر به سرقترفتن اطلاعات بسیار حساس کاربران شده است. (البته این به معنای مطلق نبود چنین مسئلهای نیست.)
با این حال با یک رصد ساده از اخبار فناوری ایران متوجه میشوید که ظاهرا هرچند ماه یکبار در ایران یک هک بزرگ اتفاق میافتد؛ برای مثال هک دیتابیس راهور، هک دیتابیس مربوط به چند بیمهگذاری، هک دیتابیس مشتریان اپراتورها، هک دیتابیس سامانه ثبت احوال و … .
برای این منظور میتوانید به وبسایت leakfa.com مراجعه کنید و با واردکردن شماره تلفن همراه خود، ببینید اطلاعات شما در کدام یک از این هکها منتشر شده است. برای مثال نتیجه این جستوجو برای یک کاربر بهطور خلاصه اینچنین بوده است: سامانه شکار: نام کامل، نام کاربری، شناسه کاربری و … .
پونیشا: نام، نام خانوادگی، جنسیت، شماره ملی، تاریخ تولد، آدرس یا نشانی، رزومه و … .
قرآن صوتی حبلالمتین: نام کامل، نام کاربری، شناسه کاربری، شهر، آدرس ایمیل، شماره تلفن همراه، برند دستگاه، مدل دستگاه، شناسه IMEI، آدرس وایفای و … .
تقویم اذانگو باد صبا: نام، نام خانوادگی، نام پدر، شناسه کاربری، آدرس ایمیل، کشور، استان، شهر، منطقه زمانی، مختصات جغرافیایی، شماره تلفن همراه، برند دستگاه، مدل دستگاه، شناسه IMEI و … .
بانک ملی ایران: نام، نام خانوادگی، نام پدر، تاریخ تولد، شماره ملی، شماره کارت، شماره تلفن همراه، شهر، استان، آدرس یا نشانی.
تپسی: نام، نام خانوادگی، شماره ملی، تاریخ تولد، جنسیت، آدرس ایمیل، شماره تلفن همراه، شناسه کاربری، مختصات جغرافیایی، تاریخ سفر، زمان شروع سفر، مبدأ و مقصد سفر، شناسه راننده و …
درواقع اطلاعات این کاربر حداقل در شش هک متفاوت منتشر شده بود که جمعآوری و کنارهمگذاشتن این اطلاعات قطعا میتواند حریم خصوصی او (و هر فرد مشابه دیگر) را به خطر بیندازد.
در مثال طنز ماجرا درصورتیکه اطلاعات اسنپ فود منتشر میشد میتوانستید سفارشهای رفقای خود را چک کنید تا ببینید آیا جایی بدون شما غذاخوردهاند یا نه!
هرچند ظاهرا این مثال خطر جدی را ایجاد نمیکند؛ اما قطعا اگر کسی قصد بهخطرانداختن شما را داشته باشد، داشتن این اطلاعات برای انجام نقشه او کافی است.
در یک سناریو خیلی ساده ممکن است فردی با شما تماس بگیرد و بگوید آیا شما در فلان تاریخ از رستوران ما سفارش ثبت کردهاید؟ آیا کد ملی شما این است؟ آیا آدرس شما این است؟ (و همه اطلاعات درست است) تبریک میگوییم! شما برنده قرعهکشی رستوران ما شدهاید. یک لینک برای شما پیامک خواهد شد که با پرکردن فرم میتوانید جایزه خود را دریافت کنید و … .
این یک سناریو ساده است که هر فردی با کمی تأمل میتواند اجرا کند و احتمالا در مواردی مخصوصا اگر قربانی کمی مسن باشد یا از دانش دیجیتال کمتری برخوردار باشد، احتمالا در نقشه خود موفق شود. (چنین سناریوهای سادهای همچنان در کشورهای توسعهیافته توسط کلاهبرداران در حال استفاده است و با کمی تغییر همچنان نتیجهبخش است!)
انتشار اطلاعات کاربران چه آثاری را در پی دارد؟
در این نمونه انتشار چنین اطلاعاتی باعث میشود شما بهعنوان یک شخص مورد هدف کلاهبرداری قرار بگیرید و کار کلاهبردار برای رسیدن به هدفش آسان شود.
در موارد کلانتر، یک سرویس جاسوسی میتواند با آنالیز دیتابیس اسنپ فود، عادات غذایی مردم ایران را به تفکیک شهر و محله موردمطالعه قرار دهد، میزان درآمد مردم را در نقاط مختلف شهر موردمطالعه قرار دهد، میزان مخارج مردم برای یک ماده غذایی خاص را موردمطالعه قرار داد، تغییرات ذائقه مردم در طول سالیان را موردمطالعه قرار دهد، تغییرات محل کار و محل زندگی مردم را موردمطالعه قرار دهد.
حتی موارد بسیار غیرمستقیمتری نیز میتواند توسط این اطلاعات موردمطالعه قرار گیرد و بهوسیله آن دشمن برای یک هدف امنیتی برنامهریزی دقیق کند و امنیت میلیونها ایرانی را به خطر اندازد.
دقت داشته باشید تمام این موارد میتواند فقط با داشتن یک کلانداده از سرویسی مانند اسنپفود اتفاق بیفتد. حال ما قرار است در شهر هوشمند اقدام به جمعآوری حیاتیترین و حساسترین اطلاعات شهر و شهروندان کنیم.
آنچه باید در وهله اول قرار گیرد، مسئله امنیت اطلاعات است
آنچه در وهله اول، مردم و مسئولان از شهر هوشمند انتظار دارند، این است که روند هوشمندسازی طی شود، اطلاعات جمعآوری و موردمطالعه قرار گیرد و زندگی در شهر را هوشمندانهتر کند.
اما آنچه باید در وهله اول قرار گیرد و ممکن است در ظاهر انتظارات مردم و مسئولان هم برطرف شود و شاید این مورد دچار مشکل باشد، مسئله امنیت اطلاعات است؛چیزی که اساسا در ظاهر دیده نمیشود و فقط وقتی به اهمیت آن پی میبریم که کار از کار گذشته باشد.
تقریبا یکی از مشکلات مهم کشور در این زمینه دقیقا از همینجا نشئت میگیرد.
همیشه بخش امنیت اطلاعات جزو بخشهایی است که برای صرفهجویی در هزینهها به آن کمتوجهی میشود یا به علت ملموسنبودن آن در طول فرآیند پروژهها، بررسی و رصد دقیق آن صورت نمیگیرد؛ زیرا قوانین الزامآور مفیدی نیز در این زمینه برای شرکتها و… وضع نشده است. (هرچند قوانینی وجود دارد؛ اما قانونی که روندها را مشخص کرده و الزامآور باشد وجود ندارد.) برای مثال در آمریکا در سال ۲۰۱۷ شرکت Equifax هک و اطلاعات هویتی ۱۴۷ میلیون آمریکایی منتشر شد. این شرکت در دادگاه محکومبه پرداخت ۵۷۵ میلیون دلار شد.
نبود چنین قوانینی باعث شده تا راهکارهایی که در این زمینه مورداستفاده قرار میگیرد، در ایران مورد کمتوجهی قرار گیرد. یکی از روشهای مرسوم حفظ امنیت اطلاعات در جهان، مسئله «باگ بانتی» است.
سازوکار باگ بانتی به این شکل است که شرکتها بهطورمستقل یا در سایتهای مخصوص، اقدام به گذاشتن جایزه برای هکرهای اخلاقمداری میکنند که بتوانند مشکل یا نفوذی در سیستمها و سامانههای شرکت را بیابند. بسته بهشدت مشکل، این جوایز از کد تخفیف تا جوایز چندمیلیون دلاری متفاوت است.
ظاهرا شرکت اسنپ برای گزارش سنگینترین نوع آسیبپذیری، جایزه ۷ میلیون تومانی قرار داده بود که قاعدتا نظر افراد زیادی را به خود جلب نخواهد کرد.
باگ بانتی در حال حاضر در جهان برای عدهای نوعی شغل محسوب میشود. افرادی که با هک و امنیت آشنایی دارند، تلاش میکنند تا در وبسایتها و سامانههای گوناگون مشکلات امنیتی را بیابند تا با گزارش آن به شرکت مربوط، جایزه دریافت کنند.
از آنجایی که در ایران قوانین بازدارنده در این زمینه وجود ندارد، استارتاپها و شرکتهای گوناگون فعالیت زیادی در این حوزه انجام ندادهاند و عملا باگ بانتی به شکلی که باید، در ایران رواج پیدا نکرده است.
در همین مسئله اسنپ فود که در نهایت این شرکت مجبور شد باج چنددههزار دلاری به هکرها بدهد، افرادی در توییتر مدعی بودند قبلا مشکلات امنیتی جدی را به اسنپ گزارش دادهاند؛ اما پیشنهاد اسنپ برای آنها عددی زیر ۱۰ میلیون تومان بوده است.
در حوزههایی مانند شهر هوشمند راهکارهای دیگری نیز علاوه بر مسئله باگ بانتی باید اتخاذ شود. برای مثال نحوه ذخیره اطلاعات مسئلهای است که حتما نیازمند وضع قوانین برای آن هستیم.
رمزنگاری اطلاعات باعث میشود در صورت افشای اطلاعات کمترین آسیب به کاربران وارد شود
در حوزه ذخیره اطلاعات راهکارهایی وجود دارد تا اطلاعات کاربران بهگونهای ذخیره شود که در صورت افشای اطلاعات، کمترین آسیب را به کاربران وارد کند. برای تقریب به ذهن یک مثال ساده وجود دارد که امروزه بسیاری از وبسایتهای ساده نیز رعایت میکنند و آن مسئله رمزنگاری برخی اطلاعات است؛ برای مثال در یک وبسایت نباید رمز عبور کاربران به همان شکلی که کاربر آن را وارد میکند ذخیره شود، بلکه باید نوع رمزنگاری شده آن در دیتابیس ذخیره شود تا در صورت افشای دیتابیس، رمزی که کاربر برای اکانت خود انتخاب کرده بود افشا نشود؛ چراکه احتمالا آن کاربر از آن رمز عبور در بسیاری از وبسایتهای دیگر نیز استفاده کرده است.
این مسئله در حوزه شهر هوشمند بسیار اهمیت دارد؛ مثلا اگر قرار است میزان خودروهای عبوری از یک خیابان برای تحلیلهای ترافیکی ذخیره شود، این فرآیند باید بهگونهای صورت گیرد که در صورت افشای اطلاعات ذخیرهشده، پلاک و هویت خودروها مشخص نشود.
بهغیر از موارد بالا که درواقع اصلاحات ساختاری در فرآیندها برای بهبود وضعیت امنیت اطلاعات در کشور است، باید به مواردی در برخورد با افشای اطلاعات نیز توجه کرد.
درخصوص اسنپ فود، شرکت اسنپ با پرداخت باج به این قضیه پایان داد. هرچند سر درستی این مسئله اختلاف وجود دارد؛ اما باید دقت داشت پرداخت باج به هکرها شیوه خیلی خوبی برای پایاندادن به این ماجرا نیست.
هرچند شاید جلوی این مورد مصداقی را بگیرد و احتمال افشای اطلاعاتی که به دست هکرها افتاده کمتر شود (که تضمین آنچنانی هم برای آن نیست)؛ ولی قطعا باعث ایجاد انگیزه برای سایر گروههای هکری میشود تا به روش غیراخلاقی اقدام به انتشار اطلاعات شهروندان کنند.
درست زمانی را فرض کنید که به یک بانک دستبرد زدهشده. درصورتیکه سارق اقدام به گروگانگیری کند و درنهایت بتواند با پول از بانک به شکل موفق فرار کند و دستگیر نشود، امنیت آن شهر در آینده ازلحاظ احتمال افزایش گروگانگیری و سرقت بانک، بیشتر به خطر خواهد افتاد.