واکاوی ماجرای هک اسنپ‌فود و افشای اطلاعات کاربران براساس قوانین GDPR

این مقاله توسط پویا ذکری اصفهانی، کارشناس سیاست‌گذاری گروه علمی-تحلیلی طیف نوشته شده است.

با گسترش پلتفرم‌های دیجیتال، مدیریت اطلاعات بیش از هر زمان دیگری اهمیت یافته است؛ زیرا داده‌های شخصی درواقع کالایی ارزشمند در دنیای دیجیتال امروزی محسوب می‌شوند. بااین‌حال، بی‌دقتی شرکت‌ها، خطای انسانی و تأخیر در پاسخگویی، جرایم سایبری و... به این معنی است که از این داده‌ها آن‌طور که بایدوشاید محافظت نمی‌شود و این عدم حفاظت و امنیت داده ممکن است علاوه بر لکه‌دارشدن اعتبار شرکت‌ها و کسب‌وکارهای دیجیتال، منجر به خسارات مالی شدید، از‌دست‌دادن حریم خصوصی و آسیب‌های عاطفی و‌ جسمی شود.

براساس تحقیقات مؤسسه Check Point، در سال ۲۰۲۲ حدود ۹.۱ میلیارد حمله سایبری شناسایی شد که نشان‌دهنده افزایش ۳۸ درصدی نسبت به سال ۲۰۲۱ بود. این روند در سال ۲۰۲۳ نیز ادامه داشت و در این سال تقریباً ۱۰.۸ میلیارد حمله سایبری شناسایی شد. در طول سه‌ماهه چهارم سال ۲۰۲۲، نزدیک به ۲۸ درصد از حملات سایبری در سراسر جهان مؤسسات مالی را هدف قرار دادند. علاوه‌براین، سرویس‌های نرم‌افزاری مبتنی بر وب و webmail تقریباً ۱۸ درصد، رسانه‌های اجتماعی با حدود ۱۰ درصد و تدارکات/ حمل‌و‌نقل ۹ درصد از حملات ثبت‌شده را به خود اختصاص داده‌اند؛ سایر موارد را می‌توانید در نمودار زیر ببینید.

بنابراین امنیت سایبری به‌عنوان یکی از مهم‌ترین مسائل عصر دیجیتال، آن‌قدر حائز اهمیت است که توسعه کسب‌‌وکارها و حریم خصوصی افراد به آن گره خورده. به همین سبب در جهان، دولت‌ها به وضع قوانین و اقدامات تنظیم‌گرانه مرتبط روی آورده‌اند. به عنوان مثال، براساس گزارش 2021 سازمان ملل، 137 کشور از 194 کشور قوانین یکپارچه‌ای برای حفاظت از داده‌ها و حریم خصوصی وضع کرده‌اند و از سال 2021 تا 2023، هفده کشور دیگر به این تعداد افزوده شده است. اغلب این کشورها نیز از مقررات عمومی حفاظت از داده‌ها (GDPR) اتحادیه اروپا الگو گرفته‎‌اند و با نگاهی به این قوانین و مقررات و بررسی الزامات امنیت سایبری آن‌ها، ضمن درک تفاوت‌های جزئی، می‌توان این قوانین را به دو دسته مقررات و اقدامات پیشگیرانه و برخوردهای اصلاحی تقسیم کرد. اقدامات پیشگیرانه شامل پروتکل‌ها، الزامات امنیتی، استانداردهای فنی و برخوردهای اصلاحی شامل جریمه، اقدامات آموزشی، جبران خسارت و... می‌شود.

اما در ایران با وجود نهادهای سیاست‌گذار و تقنینی، در مرکز ملی فضای مجازی و مجلس شورای اسلامی، علی‌رغم وجود مقررات جزیره‌ای، نه‌تنها قانون یکپارچه‌ای دراین‌باره تصویب نشده، بلکه فعالیت در حوزه امنیت سایبری در کشور با تعدد اختیارات مراکز مختلف (مانند مرکز ماهر زیر نظر وزارت ارتباطات، پلیس فتا، مرکز افتا ریاست‌جمهوری، سازمان پدافند غیرعامل و ... ) روبه‌روست و هنوز مشخص نیست که کدام نهاد و یا دستگاه متولی اصلی امنیت سایبری در لایه‌های مختلف در کشور است.

بنابراین تعریف مسئولیت نهادهای مرتبط و تنظیم مقررات پیشگیرانه و الزامات امنیت سایبری در یک قانون یکپارچه یکی از مهم‌ترین اولویت‌های کشور است؛ اما در ادامه این مطلب با توجه به حمله سایبری اخیر به اسنپ‌فود و هک حجم عظیمی از داده‌های شخصی کاربران، به بررسی این موضوع خواهیم پرداخت که چنانچه یک پلتفرم دیجیتالی در یکی از کشورهای اروپایی با این حجم از نقض داده‌ها (Data Breaches) روبه‌رو می‌شد، طبق مقررات (GDPR) چه برخوردهای اصلاحی با آن صورت می‌گرفت؟

اخیراً نیز گروه هکری IRLeaks که در تابستان 1401 اطلاعات کاربران شرکت تاکسی اینترنتی تپسی را هک کرده بود، در 9 دی‌ماه 1402 با ارائه نمونه‌هایی، اعلام کرد که اطلاعات بیش از ۲۰ میلیون کاربر و ۸۸۰ میلیون سفارش شرکت اسنپ‌فود را که در حوزه سفارش آنلاین غذا در ایران فعالیت می‌کند، به‌دست آورده است. هرچند اسنپ‌فود به کاربران اطمینان داده که اطلاعات بانکی و پرداختی آن‌ها در امنیت کامل است، ولی داده‌های هک شده از کاربران شامل نام کاربری، رمز عبور، ایمیل، نام و نام‌خانوادگی، شماره موبایل، تاریخ تولد و... می‌شود و نیز اطلاعات بیش از ۵۱ میلیون آدرس کاربران شامل موقعیت GPS، آدرس کامل، شماره تلفن و... و همچنین اطلاعات بیش از ۱۸۰ میلیون گوشی هوشمند و تبلت مورد استفاده کاربران شامل نوع و مدل، پلتفرم، توکن، فروشگاه نصب برنامه و... هک شده است. این حجم از اطلاعات در ابعاد مختلف که برخی از آن‌ها در فضای مجازی نیز منتشر شد، در کمترین حالت مسائل حیثیتی و در بیشترین حد ممکن، تبعات امنیتی برای این کاربران در پی خواهد داشت.

براساس مقررات حفاظت از داده‌های عمومی (GDPR)، مجازات نقض داده‌های شخصی از یک پلتفرم دیجیتال بسته به ماهیت، شدت نقض و مدت تخلف می‌تواند متفاوت باشد. GDPR به مقامات نظارتی در هر کشور عضو اتحادیه اروپا اجازه می‌دهد تا جریمه‌های اداری را برای عدم رعایت مفاد آن اعمال کنند. جرایم اداری در دو ردیف به شرح زیر طبقه‌بندی می‌شود:

تخلفات سطح پایین

عموماً این تخلفات مربوط به ترتیبات اداری است و عواقب منفی و خطر قابل‌توجهی برای حریم خصوصی داده‌ها ایجاد نمی‌کند. جرایم این سطح عموماً برای نقض‌های سطح پایین، مانند عدم انتصاب مأمور حفاظت از داده‌ها (DPO)، عدم نگهداری سوابق فعالیت‌های پردازشی یا عدم انجام ارزیابی تأثیر حفاظت از داده‌ها (DPIA) در صورت لزوم اعمال می‌شود. بنابر بررسی‌های انجام‌شده، آخرین نمونه اطلاعات نقض‌شده در اسنپ‌فود مربوط به تاریخ ۱۰ دسامبر یا ۲۰۲۳ (19 آذرماه 1402) است. با توجه به زمان علنی‌شدن این نقض داده‌ها توسط گروه هکری، این موضوع احتمالاً می‌تواند حاکی از آن باشد که اطلاعات حدود ۲۰ روز زودتر از اسنپ‌فود استخراج شده است.

فارغ از اینکه علت تعلل طولانی اسنپ‌فود در اعلان این اتفاق چه بوده، عملاً مدت زیادی این مسئله از نظر کاربرانی که داده‌های آن‌ها مورد حمله قرار گرفته و نیز مقامات نظارتی مانند پلیس فتا، پنهان مانده است. چنانچه اسنپ‌فود در اروپا فعال بود، طبق GDPR، در صورت نقض داده و عدم گزارش تخلف صورت‌گرفته طی 72 ساعت به مقامات مربوطه و کاربران مورد هدف، مشمول جریمه‌ای تا سقف 10 میلیون یورو یا 2 درصد از گردش مالی سالانه (جهانی) سال مالی (هرکدام که بیشتر باشد) می‌شد؛ همان‌طور که در نوامبر 2022، شرکت متا به‌دلیل نقض حفاظت از داده‌ها و تأخیر در اعلان به‌موقع، مشمول 265 میلیون یورو جریمه شد.

 تخلفات سطح بالا

همان‌طور که گفته شد، مقامات نظارتی هنگام تعیین جریمه‌ها عوامل مختلفی ازجمله تعداد کاربر و تعداد داده را درنظر می‌گیرند. جریمه نقض‌های سطح بالا یا سطح 2 قابل‌توجه است، زیرا مستقیماً بر حریم خصوصی آنلاین تأثیر می‌گذارند. این ردیف برای تخلفات جدی‌تر، ازجمله نقض اصول اصلی پردازش داده‌های شخصی، نقض حقوق افراد و رضایت کاربران و نیز عدم اجرای اقدامات فنی و سازمانی مناسب برای تضمین امنیت داده‌ها قابل اعمال است. به عنوان مثال، با معیار قراردادن تعداد کاربران مورد حمله سایبری در اسنپ‌فود، دو پلتفرم Tigo (چت تصویری) با نقض داده‌های شخصی بیش از 700000 کاربر و PeopleConnect (پشتیبان خدماتی) با حدود 20 میلیون کاربر در سال 2023، هرکدام بیش از 100 میلیون دلار و British Airways (پلتفرم مسافرتی و حمل‌ونقل هوایی) در 2018، 20 میلیون یورو جریمه شده‌اند. به‌طور کلی، اسنپ‌فود با نقض داده بیش از ۲۰ میلیون کاربر، طبق مقررات GDPR و در راستای تأمین منفعت عمومی، مشمول جریمه‌ای تا 20 میلیون یورو یا 4 درصد از گردش مالی سالانه (جهانی) سال مالی (هرکدام که بیشتر باشد) می‌گردد.

 اقدامات حقوقی توسط کاربران

علی‌رغم جرایم اداری که بیان شد (که در راستای منفعت عمومی اعمال می‌شود)، طبق الزامات GDPR، اشخاصی که از نقض داده‌ها تحت تأثیر قرار می‌گیرند، این حق را دارند که با داشتن ادله کافی، برای خسارات ناشی از نقض مستقیماً از پلتفرم درخواست غرامت کنند و در صورت عدم توافق می‌توانند علیه پلتفرم به‌دلیل عدم محافظت از داده‌های شخصی و مبتنی بر نوع خسارت (که در جدول زیر آمده است) به دادگاه شکایت کنند. طبق قانون، کاربران تا 6 سال از آخرین زمان نقض اطلاعات شخصی خود حق شکایت دارند. جریمه 746 میلیون یورویی آمازون در 2021 به‌دلیل شکایت 10000 نفر علیه آمازون در سال 2018 یکی از نمونه‌های مطرح استفاده از این حق در اروپاست.

انواع خسارت	مبالغ خسارت
نقض داده‌های شخصی	تا 2000 پوند
نقض داده‌های پزشکی	2000 پوند - 5000 پوند
نقض اطلاعات مالی	3000 پوند - 8600 پوند
نقض داده همراه با عواقب فاجعه‌بار	8600 پوند - 25700 پوند
نقض داده منجر به آسیب جسمانی و عاطفی	تا 42900 پوند

با توجه به اینکه طبق الزامات بانک مرکزی، ذخیره داده‌های مالی کاربران در مرکز داده پلتفرم ممنوع است، احتمال آنکه داده‌‎های درز کرده اسنپ‌فود شامل این داده‌ها باشد، بسیار کم است. اما با توجه به گستردگی داده‌ها، اکثر داده‌های شخصی در این نقض داده وجود داشته‌اند و چنانچه اسنپ‌فود مشمول GDPR بود، تا 6 سال آینده کاربران متضرر می‌توانستند با ارائه مستند به دادگاه‌ها، در جهت احقاق حقوق خود اقدام و طبق جدول بالا مطالبه خسارت نمایند. در آخر، براساس مقررات GDPR، اسنپ‌فود باید کلیه نیروهای خود را ملزم به شرکت در کمپین (دوره آموزشی) شبیه‌سازی فیشینگ کند تا آن‌ها در صورت قبولی، گواهی‌نامه مجدد دریافت کنند.

متأسفانه آمار شفافی از گردش مالی اسنپ‌فود در دسترس نیست و آمارهای غیر‌رسمی مختلفی وجود دارد. اما طبق یک محاسبه حداقلی، چنانچه فرض کنیم اسنپ‌فود 100 هزار سفارش 100 هزار تومانی در هر روز ثبت کند، گردش مالی این پلتفرم در طول سال حدود 3.65 هزار میلیارد تومان خواهد بود و با فرض کمیسیون 10 تا 15 درصدی، درآمد سالانه آن بین 350 تا 550 میلیارد تومان محاسبه می‌شود. بنابراین با فرض آنکه طی 6 سال آینده، کاربری از اسنپ‌فود شکایت نکند، طبق GDPR با توجه به آنکه اسنپ‌فود مشمول هر دو نوع تخلف اداری سطح پایین و بالا شده است، باید 6 درصد این درآمد را به‌عنوان جریمه بپردازد که حدوداً شامل 30 میلیارد تومان می‌شود. همان‌طور که پیش‌تر گفتیم، نیاز به اقدامات اساسی‌تر برای حفاظت از داده‌های شهروندان به‌شدت حس می‌شود.