افشای پیاپی اطلاعات کاربران توسط هکرها؛ چرا باید نگران باشیم؟

اگرچه نشت اطلاعات کاربران یک پلتفرم یا وب‌سایت موضوع جدیدی نیست، اما قطعاً نگران‌کننده است. کارشناسان حوزه امنیت باور دارند اطلاعات شخصی کاربران می‌تواند مورد سوء‌استفاده قرار گیرد. به باور آن‌ها، نبود قانونی منسجم و بازدارنده درباره امنیت و داده کاربران موجب شده است که کسب‌وکارها نیز آن‌طور که باید، اهمیتی به مسائل امنیتی ندهند.

ابتدای هفته «میلاد منشی‌پور»، مدیرعامل تپسی، با انتشار توییتی خبر از سرقت بخشی از اطلاعات پلتفرم تپسی داد. او اگرچه جزئیاتی از اطلاعات به‌سرقت‌رفته منتشر نکرد، اما هکر مدعی است که اطلاعات تمامی کاربران و رانندگان این پلتفرم به‌همراه چند اطلاعات مهم دیگر را به سرقت برده است.

در همین یک ماه اخیر خبر هک و سرقت اطلاعات چند مجموعه دیگر همچون استارتاپ گردشگری قاصدک ۲۴، برخی صرافی‌های آنلاین و شرکت‌های بیمه‌ای نیز منتشر شد که برخی تکذیب و برخی تأیید شدند. در افق دید نیز چندساله شاهد بوده‌ایم که حتی مجموعه‌های دولتی مثل سازمان ثبت احوال قربانی حمله سایبری شدند و اطلاعات میلیون‌ها ایرانی به سرقت رفت.

بااین‌حال، برخی از مردم از کنار افشای اطلاعاتشان به‌سادگی عبور کرده و تصور می‌کنند که این اطلاعات به درد کسی نمی‌خورد. از سوی دیگر، برخی نیز دائماً نگران به‌سرقت‌رفتن اطلاعات خود هستند. اما افشای اطلاعات تا چه حد خطرناک است؟ برای جلوگیری از آن، کاربر، کسب‌وکار و دولت، هرکدام چه اقداماتی می‌توانند انجام دهند؟

مردم بی‌تفاوت و اطلاعات مهم

«میلاد نوری»، برنامه‌نویس و کارشناس IT، در پاسخ به پرسشی مبنی بر اینکه چرا برخی مردم نسبت به افشای اطلاعات خود بی‌تفاوت هستند به دیجیاتو گفت:

«اولین دلیل این است که کاربرهای ایرانی از این موضوع که اطلاعات شخصی (هرچند غیرحساس) جزئی از حریم خصوصی‌ است، ناآگاهند و به همین دلیل تنها روی مواردی که خیلی مستقیم و در نگاه اول از نظر آن‌ها خطرناک به‌نظر می‌رسد، حساسند. به همین خاطر شاید در نگاه اول، نشت اطلاعاتی همچون آدرس و لیست خرید‌های کاربر از یک فروشگاه آنلاین و تاریخچه سفر در یک سایت فروش بلیت و… از نگاه کاربر بی‌اهمیت جلوه کند.»

به باور وی، تضییع مکرر حقوق کاربرها در این مورد به‌دلیل عدم وجود قانون کامل در این حوزه است: «عدم امکان پیگیری مؤثر نیز از دیگر دلایلی است که کاربرها کمتر در این زمینه خود را محق می‌دانند. نشت‌های پی‌درپی اطلاعات در سال‌های اخیر هم تا حدی باعث عادی‌شدن این اتفاق بین عموم کاربرها شده؛ درصورتی‌که برخی از آن‌ها شبیه به فاجعه است.»

نوری با بیان اینکه گاهی تک‌تک اطلاعات لورفته ممکن است اهمیت زیادی نداشته باشند، اظهار داشت با در کنار هم قراردادن دیتابیس‌های مختلف، می‌توان به جزئیات زیادی از اطلاعات هویتی و فعالیت‌های کاربر رسید که برای موارد مختلف مثل کلاهبرداری، هک‌های اجتماعی و سایر سوءاستفاده‌های ممکن می‌تواند مورد استفاده قرار گیرد.

او از همین موضوع نتیجه گرفت که هر اطلاعاتی از کاربر (هرچند کوچک و غیرحساس) وقتی در پازل بزرگ‌تر و در کنار سایر دیتاهای لورفته قرار گیرد، بسیار هشداردهنده و خطرناک است: «تا جایی که همین حالا از یک پیام ساده تلگرامی کاربر و تطابق آن با شماره تلفن در دیتابیس لورفته اپراتورها، تلگرام‌های غیررسمی و… می‌توان به آدرس و کد پستی و لیست سفرها و… کاربر رسید.»

لزوم بهینه‌سازی سازوکارهای مقابله با کلاهبرداری

نوری اعتقاد دارد با توجه به اینکه قانون کامل و بازدارنده‌ای برای کسب‌وکارها وجود ندارد، خیلی از کسب‌وکارها موضوع امنیت را آنچنان که باید جدی نمی‌گیرند و همین امر موضوعی است که باعث می‌شود ما همواره با نگرانی اطلاعات و مدارک خود را در اختیار کسب‌وکارها قرار دهیم.

به گفته این کارشناس، بسیاری از کسب‌وکارها به‌دلیل برخی درخواست‌های سازمان‌هایی مثل پلیس فتا و… ، ناچارند اطلاعات بیش از نیاز از کاربر دریافت کنند. بعد از استفاده نیز همچنان حجم بالایی از مدارک و اطلاعات را به بهانه ارائه به سازمان‌های مربوطه درصورت بروز مشکل، کلاهبرداری و… نگهداری می‌کنند.

اما نوری اعتقاد دارد شاید با سازوکارهایی بهتر جهت مقابله با کلاهبرداری‌ها و در حضور ابزارهایی مثل سامانه شاهکار، نیاز نباشد کسب‌وکارها حتی برای ثبت یک دامنه ساده از کاربر مدارک هویتی مختلف دریافت کنند و آن‌ها را برای همیشه نزد خود نگه دارند.

«کسب‌وکارهای هک‌شده با مردم شفاف سخن بگویند»

اما پس از هک و افشای اطلاعات، کاربران چه اقدامی می‌توانند انجام دهند؟ نوری لازمه اینکه چه اقدامی باید انجام دهیم، ارائه بیانیه شفاف و توضیح موارد فنی از سوی کسب‌وکار آسیب‌دیده دانست؛ چیزی که در ایران بسیار کم شاهد آن هستیم و معمولاً کسب‌وکارها به عبارت‌هایی مثل «مسئولیت آن را می‌پذیریم» بسنده می‌کنند و سعی دارند با کوچک‌نمایی اطلاعات نشت‌شده، نگرانی کاربرها را کمتر کنند.

به باور نوری، کسب‌وکار با بیان واقعیت و اینکه چه اطلاعاتی از کاربر لو رفته است، می‌تواند بهترین راهکارها را به کاربرها ارائه دهد:

«همان‌طور که در موارد مشابه خارجی می‌بینیم که به کاربر به‌صورت شفاف اعلام می‌کنند [به عنوان مثال] کلمه عبور شما لو رفته است و برای کاهش آسیب‌ها این کارها را انجام دهید. کاری که تپسی هم خیلی سریع بعد از آگاه‌شدن از این اتفاق باید انجام می‌داد و حداقل کارهای قابل انجام (مثل ریست‌کردن شناسه GAAID و آگاهی درزمینه لورفتن شناسه دستگاه‌ها علاوه بر اطلاعات سفرها و… ) را به کاربرها اعلام می‌کرد.»

نوری معتقد است بحث بهبود امنیت داده‌ها، ترکیبی از بحث حاکمیتی و قانون‌گذاری، بحت تخصصی و فنی و موارد دیگر است: «شاید اگر به‌واسطه یک قانون کامل، در نشت‌های قبلی برخورد قاطعانه‌ای در حمایت از حقوق کاربرها صورت می‌گرفت یا راه برای شکایت و پیگیری کاربرها هموار بود، کسب‌وکارها حداقلی‌های بیشتری را در موارد فنی رعایت می‌کردند. در خیلی از نشت‌های اطلاعات کسب‌وکارهای حساس حتی شاهدیم کمترین رمزنگاری و انکرپشن ساده روی دیتاهای حساس هم اتفاق نیفتاده است.»

نقض حریم شخصی کاربران در غیاب قانون

«علی کیایی‌فر»، کارشناس امنیت شبکه و مدیر امنیت سیستم‌های کنترل صنعتی در پاسخ به سؤال دیجیاتو مبنی بر اینکه آیا مردم باید نگران سرقت اطلاعاتشان باشند یا خیر، گفت:

«افشای یک رکورد یا اطلاعات یک کاربر از دیدگاه کلان اتفاق مهمی نیست اما وقتی اطلاعات همه کاربران در یک پلتفرم افشا می‌شود، قطعاً خطرات بسیاری به‌همراه دارد. به‌طور مثال، در ماجرای سرقت اطلاعات تپسی می‌توان اطلاعات مهمی استخراج کرد. مثلاً چه کسانی به وزارت امور خارجه تردد منظم و مداوم دارند؟ چه کسانی در دو ماه گذشته هم به سفارت انگلیس تردد داشته‌اند و هم به فلان دستگاه امنیتی؟ می‌توان فهرست افرادی را استخراج کرد که در سازمان‌های حیاتی تردد داشته و درعین‌حال رفت‌و‌آمدهای شبانه مشکوکی هم به بعضی از آدرس‌ها دارند.»

به گفته وی، از طرف دیگر، حریم شخصی کاربران هم نقض می‌شود: «شما فرض کنید یک شهروند برای درمان بیماری خود در یک پلتفرم ویزیت آنلاین توسط یک متخصص ویزیت شده و اطلاعات این ویزیت و نوع بیماری شهروندان منتشر شود. هیچ‌کس نمی‌تواند بگوید این اطلاعات مهم نیست. هم حریم خصوصی افراد مورد هجمه قرار گرفته است و هم با تحلیل آن می‌شود اطلاعات بسیاری به‌دست آورد.»

کیایی‌فر با ابراز تأسف از اینکه در کشور ما قانون روشنی که از حقوق کاربران در حفظ حریم خصوصی حمایت کند، نداریم، به شهروندان حق داد که نگران انتشار اطلاعاتشان در پلتفرم‌ها باشند:

«در اتحادیه اروپا از سال‌ها پیش قانون حمایت از حقوق شهروندان تصویب و اجرا شده است که به شهروندان حق می‌دهد از شرکت‌ها بخواهند سابقه اطلاعات شخصی آن‌ها را حذف کنند. این حق به‌عنوان «حق حذف» یا «حق فراموشی» شناخته می‌شود.»

به گفته این کارشناس امنیت شبکه، کاربران براساس قانون GDPR می‌توانند حق حذف را در شرایط زیر اعمال کنند:

• زمانی که اطلاعات شخصی آن‌ها برای اهدافی که برای آن‌ها جمع‌آوری شده بود، دیگر موردنیاز نیست.
• زمانی که آن‌ها رضایت خود را برای پردازش اطلاعات شخصی خود پس بگیرند.
• زمانی که آن‌ها اعتراض خود را نسبت به پردازش اطلاعات شخصی خود اعلام کنند.
• زمانی که اطلاعات شخصی آن‌ها به‌طور غیرقانونی پردازش شده باشد.
• زمانی که اطلاعات شخصی آن‌ها برای اهداف بازاریابی مستقیم پردازش می‌شود.

همچنین شرکت‌ها باید درخواست‌های حذف کاربران را ظرف یک ماه بررسی و درصورت احراز شرایط، سابقه اطلاعات شخصی کاربران را حذف کنند.

کیایی‌فر اعلام کرد که متأسفانه سال‌هاست این حق مسلم کاربران ایرانی در پلتفرم‌های بومی پایمال می‌شود: «هیچ قانونی هم در حمایت از کاربران ایرانی وجود ندارد. این وظیفه مجلس است که برای قانون‌گذاری در دفاع از حقوق شهروندان، به این حوزه ورود کند و قانونی مشابه GDPR را در ایران به تصویب برساند.»

او معتقد است کسب‌وکارها تمرکزشان روی درآمد و پیشرفت است و گویی امنیت اطلاعات اولویت آن‌ها نیست:

«هیچ‌کس مطالبه‌گر جدی امنیت از کسب‌وکارها نیست. این هم به ضعف قانونی بازمی‌گردد. به نظر من، تا زمان رفع ایرادات قانونی، پلیس فتا که تیم‌های اجرایی قدرتمندی در اختیار دارد، به‌عنوان متولی اصلی این حوزه باید به‌صورت جدی حداقل‌های امنیتی را از کسب‌و‌کارهایی که بیش از 100 هزار نفر دارند، مطالبه کند و با اهرم‌هایی که در اختیار دارد، بر آن‌ها نظارت کند.»

سرمایه‌گذاری بیشتر در حوزه امنیت یا جریمه سنگین، کمک قانون به داده‌های مردم

«پیمان گلی»، کارشناس حوزه IT و امنیت، در پاسخ به سؤال دیجیاتو مبنی بر اینکه ساده‌انگارانه گرفتن لورفتن اطلاعات شخصی درست است یا خیر، گفت:

«افشای اطلاعات شخصی واقعاً خطرناک است. البته درجه اهمیت این اطلاعات بسته به نوع دیتایی که از کاربر گرفته شده و اطلاعاتی که ذخیره شده، متفاوت است. اما این تصور که اطلاعاتمان به چه درد دیگران می‌خورد، اصلاً صحیح نیست. اطلاعات شخصی می‌تواند منشأ بسیاری از سوءاستفاده‌‌ها باشد.»

وی اعتقاد دارد سرقت داده‌های یک تاکسی آنلاین می‌تواند اطلاعاتی راجع به مسیر رفت‌و‌آمد یک فرد خاص به‌همراه شماره تلفن و موقعیتش را افشا کند: «زمانی که ساعت خروج و ورود فرد به خانه‌اش را داشته باشید، اینکه بدانید صبح چه ساعتی از منزل خارج شده، چه ساعتی بازمی‌گردد و در مسیر بازگشت چقدر در راه است، می‌تواند منشأ سوء‌استفاده‌های بسیاری باشد.»

گلی در پاسخ به سؤال دیجیاتو مبنی بر اینکه آیا باید دائماً نگران لورفتن اطلاعاتمان باشیم یا خیر، گفت:

«بارها گفته‌ام زمانی که گوشی هوشمند دارید، حساب کاربری شبکه اجتماعی دارید، از سایت‌ها و اپ‌های مختلف استفاده می‌کنید و دیتاهایی برای احراز هویت مثل شماره ملی یا تلفنتان را ثبت کردید، همیشه باید نگران لورفتن اطلاعات باشید.»

به باور وی، اگرچه حلقه امنیت روزبه‌روز درحال بهبود و وسیع‌تر شدن است، اما به‌هرحال ممکن است جایی یک حفره‌ای وجود داشته باشد که کسی از آن مطلع نباشد: «شاید مجموعه‌ای استانداردها را رعایت نکند، امنیتش کامل نباشد یا حتی سهواً به‌خاطر خطای یک برنامه‌نویس، حفره‌ای وجود داشته باشد؛ کار هکر هم کشف حفره‌هاست.»

این کارشناس حوزه IT به کاربران توصیه می‌کند که برای استفاده از یک‌سری اپلیکیشن و وب‌سایت از شماره شخصی خود استفاده نکنند و با دستگاهی مجزا به اینترنت متصل شوند. 

به گفته گلی، فهرست بلندبالایی در مورد رعایت مسائل امنیتی وجود دارد که یک نمونه آن در مورد مدیریت پسوردها است. مسائلی مانند اینکه رمز عبور را روی مرورگر ذخیره نکنید، رمز عبور ساده انتخاب نکنید و… .

او همچنین توصیه کرد افراد پیش از نصب اپلیکیشن‌ها از قوانینی که در مورد رعایت حریم خصوصی درباره برنامه موردنظر وجود دارد، آگاه شوند.

گلی اعتقاد دارد پس از افشای اطلاعات هم کسب‌وکارها و شرکت‌ها باید یک‌سری اقدامات امنیتی انجام دهند:

«در سالیان اخیر بارها شاهد سرقت اطلاعات و هک دیتابیس‌ها بودیم که حتی در سازمان‌های دولتی هم رخ داده است. این پدیده خوبی نیست و نشان می‌دهد ضعف امنیتی داریم. به لحاظ سخت‌افزاری، نرم‌افزاری، دانش، کاربری دانش در بحث معماری و پیاده‌سازی و… ضعف داریم. بنابراین بهتر است که همواره به‌روزرسانی امنیتی صورت گیرد، تهدیدهای امنیتی رصد شوند، در معماری‌ها بازنگری صورت گیرد و بکاپ نیز گرفته شود. این‌ها مسائلی است که کسب‌وکارها باید رعایت کنند.»

این کارشناس IT تأکید دارد هک و سرقت اطلاعات به برند کسب‌وکارها ضربه می‌زند و همچنین اثری منفی روی افکار عمومی دارد که باعث می‌شود نسبت به اپ‌ها و استارتاپ‌های داخلی بدبین شوند: «بنابراین بایستی در حوزه امنیت سرمایه‌گذاری شود تا هم به برند ضربه نخورد، هم درآمد شرکت کاهش نیابد و هم سطح اعتماد عمومی ضربه نبیند.»

گلی اعتقاد دارد حاکمیت با تصویب قوانین و جریمه‌های سنگین می‌تواند در این زمینه بازدارنده باشد تا شرکت‌ها به امنیت خود بیش‌ازپیش اهمیت دهند: «وقتی جریمه سنگین باشد، حتی اگر کسب‌وکارها یک‌دهم هزینه جریمه را روی امنیت خود سرمایه‌گذاری کنند، به ارتقای امنیتشان کمک خواهد کرد.»

به گفته وی، همچنین بایستی قانون حفاظت از حریم شخصی تنظیم شود تا کسب‌وکاری اگر داده و اطلاعات خصوصی می‌خواهد، این حق برای کاربر محفوظ باشد تا بپرسد چرا و کجا قرار است از این داده‌ها استفاده شود.

---

نبود قوانین بازدارنده برای حفاظت بهتر از اطلاعات مردم، وجه اشتراک سخنان کارشناسان درباره چرایی افزایش سرقت اطلاعات است. این درحالی است که کسب‌وکارها با باگ بانتی و سرمایه‌گذاری مناسب می‌توانند رفتار مسئولانه‌تری نسبت به اطلاعات کاربران خود داشته باشند.