فروش پکیج احراز هویت کاربران؛ حاصل نبود بستری مناسب برای هویت سنجی

آگهی فرش پکیج احراز هویت در شبکه‌های اجتماعی نظیر توییتر دست به دست می‌چرخد. این آگهی ۸۰ دلار قیمت خورده و تصویر آن مزین به تعدادی عکس چهره همراه با شماره کارت بانکی و شماره کارت ملی شهروندان است؛ شهروندانی از همه جا بی‌خبر که اطلاعات هویتی‌شان می‌تواند به دست سودجویانی بیفتد که با آن بتوانند اعمال مجرمانه خود را به گردن این افراد بیندازند.

فروش بسته‌ های احراز هویت

موضوع احراز هویت در فضای مجازی بحث بسیار پیچیده‌ای است به طوری که گوگل هم اخیرا بار دیگر با جدیت وارد آن شده و راهکارهایی مطمئن را برای این موضوع معرفی کرده است. احراز هویت شما در فضای مجازی به این معناست که شخص مذکور در اینترنت شما هستید و هر کاری که توسط کاربر مجازی انجام می‌شود، در حقیقت خود شما هستید.

یکی از اعمالی که برخی سایت‌ها و کسب‌وکارها برای احراز هویت کاربرانشان از خود نشان می‌دهند، گرفتن عکس چهره در کنار کدملی و کارت بانکی آنهاست؛ موضوعی که نقدهای جدی به آن وارد است. حتی اخیراً سرپرست معاونت دادستانی کل کشور نیز با حضور در کمیسیون تجارت الکترونیکی سازمان نظام صنفی رایانه‌ای، گفته بود: «گرفتن عکس و تصویر کارت ملی نیز قطعاً صحیح نیست اساساً کسب‌وکار نباید درگیر ایجاد سیستم احراز هویت شود.»

با این وجود بسیاری از سایت‌های اینترنتی همچنان از این طریق کاربران خود را احراز هویت می‌کنند و می‌گویند که راهی جز این در برابر آنها قرار داده نشده است.

پک احراز هویت از کجا می‌آید؟

«جواد دادگر» کارشناس امنیت اطلاعات در گفتگو با دیجیاتو به ماجرای افشا شدن این عکس‌ها و لو رفتن دیتابیس برخی از سایت‌ها اشاره می‌کند و می‌گوید:

«چند وقت پیش متوجه شدیم که یک سایت فعال در زمینه صرافی آنلاین، هک شده و افرادی سودجو اطلاعات هویتی افراد را برای وریفای کردن خود در سایت‌های مختلف استفاده می‌کنند. ما مجموعه‌ای به اسم لیکفا را راه اندازی کردیم و اطلاعات لو رفته را درون آن جای دادیم و با وسیله تکنولوژی OCR گوگل (که تصاویر را می‌خواند) سعی کردیم به مردم کمک کنیم که متوجه شوند اطلاعاتشان در سیستم لو رفته وجود دارد یا خیر. این تنها کاری بود که از دست ما برمی‌آمد و کارهای بزرگتر از این از عهده ما چند نفر نیروی داوطلب خارج است.»

دادگر تاکید می‌کند که بعد از این مورد که حدودا مربوط به شش ماه پیش است، آنها به چهار مورد دیگر برخورد کرده‌اند و باور دارد این چند مجموعه لو رفته که توسط آنها کشف شده، قطره‌ای از اطلاعات لو رفته کاربران از سایت‌های مختلف است: «امروزه طوری شده که پسران ۱۶ ساله نیز فیشینگ انجام می‌دهند و با این اطلاعات می‌روند و پولشویی می‌کنند.»

به گفته این کارشناس، این اطلاعات اکنون در فضای مجازی به فروش می‌رسد که سر منشا آن از اقدام برخی سایت‌ها برای احراز هویت کاربران است: «خیلی از سایت‌ها فایل‌های آپلود شده از کاربران خود را بدون امنیت خاصی در دیتابیس خود نگه داشته‌اند که به راحتی قابل دسترسی و هک کردن است. متاسفانه استاندارد خاصی در خصوص برخورد با این سایت‌ها هم وجود ندارد و اگر سایتی اطلاعات هویتی کاربرانش لو برود، قانونی برای بازخواست کردن آن مجموعه وجود ندارد.»

دولت باید بستر احراز هویت به کسب‌وکارها بدهد

«جعفر محمدی» عضو هیات مدیره سازمان نظام صنفی رایانه‌ای در گفتگو با دیجیاتو با اشاره به صحبت‌های اخیر معاونت دادستان فضای مجازی کشور تاکید دارد که ابزار لازم در اختیار کسب و کارها قرار نگرفته تا بتوانند کاربران را احراز هویت کنند. او باور دارد که در این میان دولت وظیفه دارد که این ابزار را در اختیار کسب‌وکارها قرار دهد و متوجه باشد که در برخی مواقع نهادهایی همچون بانک یا رگولاتوری باید پاسخگوی مشکل پیش آمده باشد و نه کسب‌وکار. محمدی در پاسخ به این پرسش که آیا کسب‌وکارها راه دیگری برای احراز هویت دارند می‌گوید:

«از نظر من کسب‌وکارها می‌توانند برای احقاق حقوق خود حتی به برخی نهادها شکایت کنند، چرا که اگر مجبور هستند اینچنین احراز هویت کنند، به خاطر عدم امکانات دولتی است. خود آقای جاویدنیا هم معتقد است که اگر مشکلی از طریق سیم‌کارت‌های بی‌نام و نشان صورت بگیرد، باید رگولاتوری پاسخگو باشد و اگر مشکلی حین تراکنش‌های بانکی به وجود بیاید باید خسارتش توسط بانک‌ها پرداخت شود. اما آیا این نهادها مسئولیت پذیر هستند یا همه مسئولیت را به کسب‌وکار واگذار می‌کنند؟»

فروش بسته‌ های احراز هویت

نایب رییس کمیسیون تجارت الکترونیکی باور دارد که احراز هویت چند مرحله دارد و در برخی مواقع احراز هویت تنها از طریق سیم‌کارت کافی است و در برخی موارد دیگر احراز هویت حساب بانکی با کارت ملی کاربر لازم است: «در هر یک از این مراحل نهادهایی وجود دارند که می‌توانند به کسب‌وکارها کمک کنند تا احراز هویت سریع و بی‌دردسری بگیرند؛ اگر هم خودشان نمی‌خواهند کمک کنند لااقل می‌توانند این اطلاعات را در اختیار کسب‌وکارها قرار دهند تا خودشان چنین کاری انجام دهند.»

به گفته محمدی سامانه‌ای چون سامانه شاهکار می‌تواند تاحدی برای احراز هویت مرحله‌های رده پایین مانند تایید شماره تلفن کارا باشد: «در برخی مواقع سیم‌کارت‌ها هویت ندارند و این مشکل به رگولاتوری برمی‌گردد.»  از نظر محمدی اتصال بانک مرکزی به سامانه شاهکار و تایید شدن حساب بانکی افراد با کد ملی آنها می‌تواند یکی از این راه‌ها باشد. او می‌گوید این اعتبارسنجی در سطوح بالاتر و برای کسب‌وکارهایی که در آنها مسائل مالی مهم‌تر است ضروری است:

«هماهنگی بانک مرکزی با شاهکار می‌تواند باعث این شود که شماره موبایل بگیرد و شماره حساب و یا کدملی بدهد. اگر این اطلاعات هم مغایرت داشته باشد مشکل کسب و کار نیست. نمی‌توان از کسب و کار انتظار داشت که بیشتر از اطلاعات و امنیت یک سیستم بانکی پیش برود.»

محمدی تاکید دارد که امنیت هیچ وقت صد در صدی نیست و نمی‌توان مطمئن بود که امنیت هر سایتی همیشه تامین است. او می‌گوید حتی مجموعه‌های بزرگتری مثل زرین پال یا سایت‌های بزرگ این حوزه، با وجود اینکه سعی می‌کنند از دیتابیس خود به شدت محافظت کنند ولی خطر همیشه در کنار آنهاست و تا زمانی که احراز هویت به این شکل انجام می شود، ممکن است اطلاعات هر آن لو برود.

عضو هیات مدیره سازمان نظام صنفی رایانه‌ای معتقد است که راه‌حل‌های بیشتری نیز می‌توان برای احراز هویت اتخاذ کرد. به گفته او قانون در این باره برای نهادهای دولتی که کم‌کاری کرده‌اند، تصمیمی نگرفته ولی باید دریافت که کم‌کاری آنها باعث بروز چنین مشکلاتی می‌شود: «باید وظیفه احراز هویت از دوش سایت‌ها برداشته شود آنهم با امکاناتی که باید برای آنها فراهم شود ولی نمی‌شود.»

مطالب مرتبط

اعلام وضعیت اضطراری در نیواورلئان در پی حمله هکرها

در پی حملات هکر‌ها به منظور نصب باج افزار روی سیستم‌های دولتی و ایالتی نیواورلئان، مقامات این شهر دستور خاموشی تمامی سیستم‌ها و سرورها را صادر کرده و اعلام وضعیت اضطراری کردند.در ابتدا حدود ساعت ۵ صبح روز جمعه به وقت محلی، فعالیت‌های مشکوک شناسایی شدند و تا ساعت ۸ این فعالیت‌ها بیشتر شد. از... ادامه مطلب

آغاز عصر سوم گوگل؛ با مدیریت ساندار پیچای بر آلفابت، گام بعدی چه خواهد بود؟

اخیراً در اخبار خواندیم که ساندار پیچای قرار است از این پس به عنوان مدیر عامل کمپانی مادر گوگل، آلفابت، عمل کند و این خبر به شکلی بسیار غافلگیرکننده منتشر شد.از منظر کاملاً فنی، حالا که آلفابت صاحب مدیر عاملی جدید شده، در لحظه‌ای به سر می‌بریم که از آغاز یک عصر کاملاً جدید حکایت... ادامه مطلب

نگاه نزدیک دیجیاتو به دوربین‌های امنیتی بلورمز

اگر قصد نصب دوربین های امنیتی برای منزل یا محل کار خود را داشته باشید انتخاب های متنوعی دارید. می توانید دوربین های آنالوگ ارزان قیمت یا دوربین های تحت شبکه LAN را خریداری کنید که وابسته به کابل کشی از محل نصب تا دستگاه مرکزی DVR یا NVR هستند. اما مشکل هر دو این... ادامه مطلب

مرگ یا کلاهبرداری 190 میلیون دلاری؟ مالباختگان به دنبال نبش قبر جرالد کاتن

جرالد کاتن حدود یک سال قبل به شکل غیرمنتظره ای از دنیا رفت و حدود 190 میلیون دلار دارایی مشتریان صرافی کوادریگا را هم زیر خاک برد، اما مالباختگان این موضوع را باور ندارند.مؤسس صرافی کانادایی کوادریگا (QuadrigaCX) در 30 سالگی سفر بی بازگشتی به هند داشت و آنجا بر اثر ابتلا به بیماری کرون... ادامه مطلب

حرکت چارگون به سوی هوشمندسازی اتوماسیون اداری آغاز شد

مدیران ارشد شرکت «چارگون» برنامه‌های خود برای نهمین گردهمایی سالانه این شرکت که هفتم دی ماه برگزار می‌شود را تشریح کردند. یکی از مهم‌ترین بخش‌های نشست خبری چارگون پیرامون همین موضوع اعلام شد، استفاده از هوش مصنوعی و یادگیری ماشین برای داشتن یک اتوماسیون اداری هوشمند بود؛ قابلیتی که چارگون در آینده‌ای نزدیک آن را... ادامه مطلب

ورود کمپانی پورشه به قلمرو جنگ ستارگان با طراحی استارفایتر

کمپانی پورشه معمولا خود را درگیر طراحی ماشین‌های زمینی می‌کند. کمتر پیش آمده که ببینیم این کمپانی در طراحی و ساخت هواپیما، دخالتی داشته باشد. فرضا اگر بپرسید که پورشه اخیرا فضاپیمایی طراحی کرده که شباهت زیادی به استارفایترهای سری استاروارز دارد، امکان ندارد کسی حرفتان را باور کند. اما این دقیقا همین کاری است... ادامه مطلب

نظرات ۰

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود
x

رمزتان را گم کرده‌اید؟