فروش پکیج احراز هویت کاربران؛ حاصل نبود بستری مناسب برای هویت سنجی

آگهی فرش پکیج احراز هویت در شبکه‌های اجتماعی نظیر توییتر دست به دست می‌چرخد. این آگهی ۸۰ دلار قیمت خورده و تصویر آن مزین به تعدادی عکس چهره همراه با شماره کارت بانکی و شماره کارت ملی شهروندان است؛ شهروندانی از همه جا بی‌خبر که اطلاعات هویتی‌شان می‌تواند به دست سودجویانی بیفتد که با آن بتوانند اعمال مجرمانه خود را به گردن این افراد بیندازند.

موضوع احراز هویت در فضای مجازی بحث بسیار پیچیده‌ای است به طوری که گوگل هم اخیرا بار دیگر با جدیت وارد آن شده و راهکارهایی مطمئن را برای این موضوع معرفی کرده است. احراز هویت شما در فضای مجازی به این معناست که شخص مذکور در اینترنت شما هستید و هر کاری که توسط کاربر مجازی انجام می‌شود، در حقیقت خود شما هستید.

یکی از اعمالی که برخی سایت‌ها و کسب‌وکارها برای احراز هویت کاربرانشان از خود نشان می‌دهند، گرفتن عکس چهره در کنار کدملی و کارت بانکی آنهاست؛ موضوعی که نقدهای جدی به آن وارد است. حتی اخیراً سرپرست معاونت دادستانی کل کشور نیز با حضور در کمیسیون تجارت الکترونیکی سازمان نظام صنفی رایانه‌ای، گفته بود: «گرفتن عکس و تصویر کارت ملی نیز قطعاً صحیح نیست اساساً کسب‌وکار نباید درگیر ایجاد سیستم احراز هویت شود.»

با این وجود بسیاری از سایت‌های اینترنتی همچنان از این طریق کاربران خود را احراز هویت می‌کنند و می‌گویند که راهی جز این در برابر آنها قرار داده نشده است.

پک احراز هویت از کجا می‌آید؟

«جواد دادگر» کارشناس امنیت اطلاعات در گفتگو با دیجیاتو به ماجرای افشا شدن این عکس‌ها و لو رفتن دیتابیس برخی از سایت‌ها اشاره می‌کند و می‌گوید:

«چند وقت پیش متوجه شدیم که یک سایت فعال در زمینه صرافی آنلاین، هک شده و افرادی سودجو اطلاعات هویتی افراد را برای وریفای کردن خود در سایت‌های مختلف استفاده می‌کنند. ما مجموعه‌ای به اسم لیکفا را راه اندازی کردیم و اطلاعات لو رفته را درون آن جای دادیم و با وسیله تکنولوژی OCR گوگل (که تصاویر را می‌خواند) سعی کردیم به مردم کمک کنیم که متوجه شوند اطلاعاتشان در سیستم لو رفته وجود دارد یا خیر. این تنها کاری بود که از دست ما برمی‌آمد و کارهای بزرگتر از این از عهده ما چند نفر نیروی داوطلب خارج است.»

دادگر تاکید می‌کند که بعد از این مورد که حدودا مربوط به شش ماه پیش است، آنها به چهار مورد دیگر برخورد کرده‌اند و باور دارد این چند مجموعه لو رفته که توسط آنها کشف شده، قطره‌ای از اطلاعات لو رفته کاربران از سایت‌های مختلف است: «امروزه طوری شده که پسران ۱۶ ساله نیز فیشینگ انجام می‌دهند و با این اطلاعات می‌روند و پولشویی می‌کنند.»

به گفته این کارشناس، این اطلاعات اکنون در فضای مجازی به فروش می‌رسد که سر منشا آن از اقدام برخی سایت‌ها برای احراز هویت کاربران است: «خیلی از سایت‌ها فایل‌های آپلود شده از کاربران خود را بدون امنیت خاصی در دیتابیس خود نگه داشته‌اند که به راحتی قابل دسترسی و هک کردن است. متاسفانه استاندارد خاصی در خصوص برخورد با این سایت‌ها هم وجود ندارد و اگر سایتی اطلاعات هویتی کاربرانش لو برود، قانونی برای بازخواست کردن آن مجموعه وجود ندارد.»

دولت باید بستر احراز هویت به کسب‌وکارها بدهد

«جعفر محمدی» عضو هیات مدیره سازمان نظام صنفی رایانه‌ای در گفتگو با دیجیاتو با اشاره به صحبت‌های اخیر معاونت دادستان فضای مجازی کشور تاکید دارد که ابزار لازم در اختیار کسب و کارها قرار نگرفته تا بتوانند کاربران را احراز هویت کنند. او باور دارد که در این میان دولت وظیفه دارد که این ابزار را در اختیار کسب‌وکارها قرار دهد و متوجه باشد که در برخی مواقع نهادهایی همچون بانک یا رگولاتوری باید پاسخگوی مشکل پیش آمده باشد و نه کسب‌وکار. محمدی در پاسخ به این پرسش که آیا کسب‌وکارها راه دیگری برای احراز هویت دارند می‌گوید:

«از نظر من کسب‌وکارها می‌توانند برای احقاق حقوق خود حتی به برخی نهادها شکایت کنند، چرا که اگر مجبور هستند اینچنین احراز هویت کنند، به خاطر عدم امکانات دولتی است. خود آقای جاویدنیا هم معتقد است که اگر مشکلی از طریق سیم‌کارت‌های بی‌نام و نشان صورت بگیرد، باید رگولاتوری پاسخگو باشد و اگر مشکلی حین تراکنش‌های بانکی به وجود بیاید باید خسارتش توسط بانک‌ها پرداخت شود. اما آیا این نهادها مسئولیت پذیر هستند یا همه مسئولیت را به کسب‌وکار واگذار می‌کنند؟»

نایب رییس کمیسیون تجارت الکترونیکی باور دارد که احراز هویت چند مرحله دارد و در برخی مواقع احراز هویت تنها از طریق سیم‌کارت کافی است و در برخی موارد دیگر احراز هویت حساب بانکی با کارت ملی کاربر لازم است: «در هر یک از این مراحل نهادهایی وجود دارند که می‌توانند به کسب‌وکارها کمک کنند تا احراز هویت سریع و بی‌دردسری بگیرند؛ اگر هم خودشان نمی‌خواهند کمک کنند لااقل می‌توانند این اطلاعات را در اختیار کسب‌وکارها قرار دهند تا خودشان چنین کاری انجام دهند.»

به گفته محمدی سامانه‌ای چون سامانه شاهکار می‌تواند تاحدی برای احراز هویت مرحله‌های رده پایین مانند تایید شماره تلفن کارا باشد: «در برخی مواقع سیم‌کارت‌ها هویت ندارند و این مشکل به رگولاتوری برمی‌گردد.»  از نظر محمدی اتصال بانک مرکزی به سامانه شاهکار و تایید شدن حساب بانکی افراد با کد ملی آنها می‌تواند یکی از این راه‌ها باشد. او می‌گوید این اعتبارسنجی در سطوح بالاتر و برای کسب‌وکارهایی که در آنها مسائل مالی مهم‌تر است ضروری است:

«هماهنگی بانک مرکزی با شاهکار می‌تواند باعث این شود که شماره موبایل بگیرد و شماره حساب و یا کدملی بدهد. اگر این اطلاعات هم مغایرت داشته باشد مشکل کسب و کار نیست. نمی‌توان از کسب و کار انتظار داشت که بیشتر از اطلاعات و امنیت یک سیستم بانکی پیش برود.»

محمدی تاکید دارد که امنیت هیچ وقت صد در صدی نیست و نمی‌توان مطمئن بود که امنیت هر سایتی همیشه تامین است. او می‌گوید حتی مجموعه‌های بزرگتری مثل زرین پال یا سایت‌های بزرگ این حوزه، با وجود اینکه سعی می‌کنند از دیتابیس خود به شدت محافظت کنند ولی خطر همیشه در کنار آنهاست و تا زمانی که احراز هویت به این شکل انجام می شود، ممکن است اطلاعات هر آن لو برود.

عضو هیات مدیره سازمان نظام صنفی رایانه‌ای معتقد است که راه‌حل‌های بیشتری نیز می‌توان برای احراز هویت اتخاذ کرد. به گفته او قانون در این باره برای نهادهای دولتی که کم‌کاری کرده‌اند، تصمیمی نگرفته ولی باید دریافت که کم‌کاری آنها باعث بروز چنین مشکلاتی می‌شود: «باید وظیفه احراز هویت از دوش سایت‌ها برداشته شود آنهم با امکاناتی که باید برای آنها فراهم شود ولی نمی‌شود.»