از مقاومت تا سکوت چند هفتهای
شنبه گذشته بود که کانالی تلگرامی منتسب به یک گروه هکری، مدعی هک تپسی شد. به فاصله کوتاهی پس از درج این پست، میلاد منشیپور، مدیرعامل تاکسی آنلاین تپسی، با انتشار پستی در حساب کاربری خود در «ایکس»، هک شدن سیستمهای اطلاعاتی این شرکت را تایید کرد. وی در پست خود نوشت: «طی روزهای گذشته متوجه دسترسی غیرمجازی به زیرساختهای شرکت تپسی و برداشت بخشی از اطلاعات شدیم. به محض کشف این موضوع، ضمن ثبت شکایت، پلیس را در جریان قرار دادیم و راه دسترسی هکرها را بستیم.» مدیرعامل تپسی در ادامه تاکید کرد: «ایمیلهای دریافتی از گروه مهاجم، از قصد آنها برای اخاذی و دریافت پول در ازای منتشر نکردن دادهها حکایت داشت و ما تصمیم گرفتیم که به این خواسته تن ندهیم. زیرا در مذاکره با آنها متوجه شدیم که ضمانتی برای عدمنشر اطلاعات و سوءاستفادههای آتی وجود ندارد و از طرفی، باجدهی به آنها به مشوقی برای تکرار این اقدامشان در قبال دیگر شرکتها منجر خواهد شد.» منشیپور در ادامه با پذیرش مسوولیت این اتفاق، از بروز آن ابراز تاسف کرد و از همکاری نزدیک این مجموعه با پلیس برای کشف ابعاد جدید این حمله خبر داد.
آنطور که هکرها مدعی شدند، در این حملات به اطلاعات بیش از ۲۷ میلیون مسافر تپسی شامل نام، نام خانوادگی، شماره همراه، شهر و بعضا ایمیل و همچنین اطلاعات بیش از ۶ میلیون راننده شامل نام، نام خانوادگی، کد ملی، شهر، شماره همراه دست یافتهاند. آنها تاکید کردند که حتی اطلاعات بیش از ۱۳۶ میلیون سفر مسافران این شرکت شامل آیدی مسافر، اطلاعات دستگاه همراه مسافر و راننده، آدرس کامل مبدأ و مقصد، آدرس کوتاه مبدأ و مقصد، مشخصات جغرافیایی (GPS Locations) مبدأ و مقصد را در اختیار دارند و در کنار این موارد توانستهاند سورس کد محصولات شرکت تپسی مانند اپلیکیشنهای موبایل را نیز به دست آورند. این افشاگری در کنار تجربه هک دیگری که در سال ۹۸ برای شرکت تپسی اتفاق افتاده بود، نام این شرکت را بر سر زبانها انداخت و از عملکرد این شرکت در حفاظت از دادههای کاربران انتقاد شد.
با اینحال به فاصله کوتاهی از این ماجرا مشخص شد که تپسی تنها شرکتی نبوده که از سوی هکرها مورد حمله واقع شده و همین گروه هکری چند هفته پیش از رسانهای کردن هک تپسی، اطلاعات ۱۸ شرکت بیمهای را برای فروش در فضای مجازی آگهی کرده بودند. طبق ادعای هکرها، دادههای کسب شده، ۱۱۵ میلیون رکورد اطلاعاتی شامل نام، نامخانوادگی، تاریخ تولد، نام پدر، شماره تلفن/ موبایل، شماره شناسنامه، کد ملی، کد ملی شرکت و… بوده و این گروه برای فروش این اطلاعات برای متقاضیان قیمت نیز تعیین و اعلام آمادگی کردهاند. با وجود این مشخص شده که تا زمان افشای این اطلاعات، بیمه مرکزی هیچ اظهارنظری در اینباره نکرده و موضوع را مسکوت گذاشته است. اگرچه بیمه مرکزی پس از رسانهای شدن این خبر، نشت اطلاعات را تکذیب کرد، اما عزل مدیرکل بیمه مرکزی و انتصاب مدیری جدید، باعث شد این احتمال در ذهن کاربران تقویت شود.
بازار اخبار هک اطلاعات شرکتها در هفته گذشته به حدی داغ بود که ماجرا به همینجا نیز ختم نشد و شایعات دیگری مبنی بر هک اطلاعات چند صرافی آنلاین رمزارز و حتی چند شرکت استارتآپی مطرح دیگر نیز به گوش رسید که بعضی از آنها در بیانیههایی رسمی این موضوع را تایید و بعضی دیگر به شکل غیررسمی این ادعا را رد کردند. آنطور که به نظر میرسد شاید مدیران برخی از استارتآپهای کوچکتر دیگر- که احتمالا خبر هک آنها نیز صحت داشت- حتی ترجیح دادند تا در جنجال ایجاد شده حول موضوع هک تپسی، به کل هیچ واکنشی به این احتمالات نشان ندهند.
افشای زیست مجازی کاربران
گذشته از آنکه تعداد شرکتهای هک شده در یک ماه اخیر چند مورد بوده است، تحلیل همین میزان اطلاعاتی که هکرها مدعی دستیابی به آن شده بودند، باعث شد تا سوالاتی پیرامون آسیبهای احتمالی سوءاستفاده از این دادهها مطرح شود.
میلاد نوری،کارشناس حوزه آیتی، در نقدی که در حساب ایکس خود منتشر کرده بود، تشریح کرد که نشت چنین مجموعهای از داده میتواند چه خطراتی را متوجه کاربران کند. این برنامهنویس با تاکید بر آنکه دسترسی به چنین دادههایی میتواند هویت فرد در دنیای واقعی را فاش کرده و زمینه را برای کلاهبرداری و آزار افراد فراهم کند، نوشت: «ماجرا به اینجا ختم نمیشود و به کمک برخی پارامترهای موجود در این دادهها و اطلاعاتی که از دستگاه کاربران مسافر و راننده در دسترس است، میتوان فعالیتهای آتی آنها در اپلیکیشنهای دیگر را نیز ردیابی کرد.» نوری در بخش دیگری از تحلیل خود نوشته بود: «با تطابق برخی از این شناسهها در سرویسهای مختلف، مشخص میشود مثلا شمایی که در یک اپلیکیشن خبری، خبر ۱ و ۳ را خواندهاید، همان کاربری هستید که در یک اپلیکیشن دیگر یک عکس مشخص را بارگذاری کردهاید و در برنامه یک تاکسی آنلاین نیز از چنین مسیرهایی عبور کردهاید. به این ترتیب اطلاعات قابلتوجهی از زیست مجازی فرد به دست میآید و حریم خصوصی کاربر، آن هم در شرایطی که به گمان خود به صورت ناشناس در فضای مجازی فعالیت میکند، نقض شده است.»
یاشار شاهینزاده، یکی از کارشناسان حوزه امنیت سایبری نیز در مصاحبه با «دنیایاقتصاد»، با تایید چنین ریسکهایی گفت: «اگرچه بهروز بودن سیستمعامل دستگاههای مورد استفاده کاربران، تا حد زیادی ریسک چنین سوءاستفادههایی را کاهش میدهد، اما نمیتوان صددرصد نشت چنین اطلاعاتی را بیخطر دانست.» این کارشناس امنیت اطلاعات با تاکید بر آنکه نشت چنین مجموعه اطلاعاتی میتواند زمینهساز بروز طیف گستردهای از آسیبها -از حملات فیشینگ تا حتی سرقتهای فیزیکی- باشد، میگوید: در مواردی حتی شرکتهای رقیب میتوانند از چنین اطلاعاتی سوءاستفاده کنند و با ارائه پیشنهادهایی جذاب که با رفتار کاربر تطابق دارد، انتخاب آنها را به نفع خود تغییر دهند.
رمزگشایی تکرار این حملات
فارغ از خطرات متعددی که این هکها و نشت دادههای شرکتها میتواند برای کاربران ایجاد کند، این سوال مطرح میشود که اصلا چرا اخیرا تعداد این حملات تا این اندازه بالا رفته و چگونه میتوان احتمال تکرار آنها را کاهش داد. شاهینزاده در بخش دیگری از گفتوگوی خود با «دنیایاقتصاد» به رمزگشایی تکرار این حملات پرداخته و میگوید:« اگرچه امنیت هیچگاه صددرصدی نیست، اما برای دستیابی به یک سطح قابلقبول، باید مراحلی طی شود که هزینههای نسبتا قابلتوجهی دارند. وضعیت درآمدی و رقابتی شرکتها گاهی آنها را به جایی میرساند که ترجیح میدهند هزینه زیادی در این بخش صرف نکنند و گاهی شکست از همین نقطه شروع میشود.» این کارشناس معتقد است که داشتن یک تیم قوی و متخصص برای شناسایی حفرههای امنیتی، اولین لایه برای حفاظت از اطلاعات است و در ادامه شرکتها باید یک واحد امنیت مجزا نیز داشته باشند تا با رصد مداوم شبکه، حملات احتمالی را شناسایی و سریعا وارد عمل شوند.
شاهینزاده میافزاید: با این حال حتی این دو مرحله نیز برای برقراری امنیت اطلاعاتی کفایت نمیکند و شرکتها باید به مانند آنچه در خارج از کشور نیز انجام میشود، بستری داشته باشند تا به کسانی که حفرهها و باگهای امنیتی یک کسبوکار را گزارش میکنند، پاداش و جایزه دهند. تعریف بانتی (جایزه در ازای کشف باگ) به مانند آن است که شما باگیابی کسب و کار خود را به کل دنیا برونسپاری کنید و به سرعت از وجود هرگونه آسیبپذیری در زیرساختهای خود آگاه شوید.
این کارشناس امنیت با بیان اینکه اکنون در ایران نیز کسبوکارهایی مانند «دیوار» و «بازار»، به خوبی در حال اجرای این رویه هستند و جوایز قابلقبولی نیز به هکرهای کلاه سفید اعطا میکنند، میگوید: اما متاسفانه برخی کسبوکارها به این مورد بیتوجه هستند. آنها یا چنین سیستمی ندارند یا مانند مورد اخیر تپسی، جایزه آنها به قدری کم است که هکرها رغبتی به همکاری با آنها برای کشف آسیبپذیریها ندارند. مثلا ماکزیمم پاداش در نظر گرفته شده از سوی تپسی برای گزارش باگی مشابه آنچه مورد سوءاستفاده قرار گرفت، ۱۲ میلیون تومان بوده است.
وی تاکید میکند: زمانی که مثلا فیسبوک حاضر است تا ۶۰هزار دلار برای گزارش باگ جایزه دهد و هکرهای کلاه سفید ایرانی میتوانند با کاری مشابه آنچه میتوانستند برای تپسی انجام دهند، از یک شرکت خارجی دست کم ۲هزار دلار بگیرند، دیگر انگیزهای برای همکاری با شرکتهای داخلی نخواهند داشت. شاهینزاده معتقد است که هزینه نکردن شرکتها برای بحث امنیت که گاهی ناشی از بیمیلی آنهاست و گاهی فضای رقابتی اجازه آن را نمیدهد، باعث شده تا حریم خصوصی در کشور، از هر زمان دیگری آسیبپذیرتر شده و فعلا امیدی به بهبود آن نباشد.
در پناه بیقانونی
نبود قانون مشخصی که شرکتها را به حفظ برخی حداقلها در بحث امنیت اطلاعات کاربران مکلف کند، یکی از موضوعاتی است که کارشناسان بارها بر آن به عنوان عاملی در تشدید نابسامانیهای امنیتی موجود، تاکید کردهاند. یاشار شاهینزاده در تشریح این مورد میگوید: در سالهای اخیر حاکمیت کشورها سختگیریهای جدیتری را نسبت به هزینهکرد و خروجی امنیتی شرکتها به خرج میدهند و همین باعث میشود که با تمام دشواریهای تجارت، همواره بودجه قابلقبولی از سوی شرکتها به بحث تامین امنیت اطلاعات تخصیص داده شود. این فعال حوزه امنیت چنین ادامه میدهد: از سوی دیگر، شرکتها ملزم هستند امکانی فراهم کنند تا کاربر در صورت تمایل، بتواند تمام سوابق اطلاعاتی خود را از سرور یک کسب و کار مشخص حذف کند. این در حالی است که در کشور ما قانون خاصی برای حمایت از حریم خصوصی کاربران وجود ندارد؛ در نتیجه عمدتا امکان حذف اطلاعات در اختیار کاربران قرار نمیگیرد و شرکتها نیز در سایه همین ضعف قانونی، الزامی برای فراهم کردن آن نمیبینند.
در کنار ضعف قانونی موجود، واکنش پلیس فتا به ماجرای نشت اطلاعات کاربران تپسی یکی دیگر از موضوعاتی بود که در این چند روز واکنشبرانگیز شد و انتقاداتی را متوجه رویکرد این نهاد حافظ امنیت فضای مجازی کشور کرد. در همان روزی که بحث بررسی عمق ماجرای هک تپسی از سوی کاربران حسابی داغ بود، معاون اجتماعی پلیس فتا در مصاحبهای با خبرگزاری مهر، به تشریح ابعاد این ماجرا پرداخت. رامین پاشائی ضمن اعلام آنکه هویت گروه هکری مشخص شده و این افراد خواستار دریافت ۳۵هزار دلار در ازای عدمافشای اطلاعات بودند، از شکایت شرکت تپسی از این هکرها خبر داد. وی با تاکید بر آنکه در پی شکایت تپسی، اقدامات قضایی انجام و منبع آلودگی برطرف شد، گفت: شرکت تپسی هم در حال انجام خدمات خود است و هیچ نگرانی برای هموطنان وجود ندارد.
تاکید معاون اجتماعی پلیس فتا بر اینکه جای نگرانی نیست، باعث شد تا انتقاداتی نسبت به رویکرد پلیس در قبال حملات سایبری اخیر مطرح شود. وحید فرید، از برنامهنویسان و فعالان حوزه ICT در گفتوگوی خود با «دنیایاقتصاد»، به نقد رویکرد پلیس پرداخت و گفت: اگرچه پلیس با تاکید بر آنکه همه چیز تحت کنترل است، قصد دارد آرامش را به کاربران القا کند، اما حقیقت آن است که اکنون اطلاعات کاربران در اینترنت موجود است و حتی شاید در دارکوب در حال خرید و فروش باشد. در چنین شرایطی حفظ آرامش مشکل را حل نمیکند و باید نسبت به عواقب این نشت اطلاعات آگاه بود. وی معتقد است که کاربران باید به شکلی شفاف در جریان آنچه اتفاق افتاده و تمام خطراتی که ممکن است متوجه آنها باشد، قرار بگیرند و القای آرامش در حالی که نشت اطلاعات عملی شده، در واقع پاک کردن صورت مساله است.
در راستای پیگیری جزئیات بیشتر این ماجرا، روابط عمومی تپسی در پاسخ به «دنیایاقتصاد» اعلام کرد که فعلا ترجیح میدهند واکنش بیشتری به این موضوع نداشته باشند و در صورت لزوم، اطلاعات جدیدی به زودی در اختیار رسانهها قرار خواهد گرفت. در ادامه سکوت فعلی تپسی، فرید تاکید میکند: «اکنون هدف صرفا متهم کردن و فشار آوردن به یک شرکت خاص نیست که حالا خودش نیز قربانی شده و آسیب دیده است؛ بلکه باید نگاه جامعی به تمام حملاتی داشت که در ماهها و سالهای اخیر، مکررا اتفاق میافتند و هیچ اقدام خاصی نیز در راستای جلوگیری از وقوع آنها انجام نمیشود.» وی با اشاره به ضعف قانونی موجود میگوید: «از آنجا که قانون حدود مسوولیتها و وظایف پلتفرمها را مشخص نکرده، صاحبان این کسبوکارها نیز چندان برقراری امنیت را جدی نمیگیرند و حاضر به صرف هزینه کافی برای آن نیستند.»
این کارشناس حوزه فناوری اطلاعات در بخش دیگری از صحبتهای خود، به نوع دادههایی که در مورد اخیر هک اطلاعات تپسی نشت پیدا کرده اشاره کرده و میگوید: خوب است که از همین موارد هکی که اتفاق افتاده بهره ببریم و شرکتها را وادار به شفافسازی درباره نوع اطلاعاتی کنیم که به طور منظم از کاربرانشان جمعآوری میکنند. فرید با تاکید دوباره بر لزوم شفافسازی تپسی درباره حدود اطلاعاتی که از کاربران جمعآوری کرده، به مرور آنچه کارشناسان دیگر درباره ریسکهای احتمالی نگهداری این اطلاعات گفتهاند میپردازد. وی تاکید میکند: «باید مشخص شود که یک پلتفرم خاص، مثلا یک تاکسی اینترنتی که مدل درآمدی آن دریافت سهم از سفرهای انجام شده است، برای پیشبرد وظیفه اصلی خود به چه حدی از اطلاعات کاربر نیاز دارد تا هیچ شرکتی اجازه نداشته باشد دادهای فراتر از نیاز واقعی، جمعآوری کند.»
یکی از موضوعاتی که برخی کارشناسان حقوقی در این میان مورد تاکید قرار دادند، حمایت قانونی بسیاری از کشورهای خارجی از کاربرانی بود که اطلاعات آنها نشت پیدا کرده است. این درحالی است که با وجود آنکه به گواه آمارهای بینالمللی، کشور ما یکی از مهمترین مقاصد حملات سایبری در جهان به حساب میآید، هنوز با خلأ قانونی درباره حمایت از دادههای کاربران مواجه هستیم. در همین راستا علیرضا طباطباییهاشمی، وکیل پایه یک دادگستری، در گفتوگو با «باشگاه خبرنگاران جوان» تصریح کرده بود: «ما در قانون جرائم رایانهای در خصوص مسوولیت تپسی در قبال این اطلاعات خلأ داریم و هیچ قانونی در این زمینه وجود ندارد و از این بابت قانون مسوولیتی برای شرکتها در نظر نگرفته است. در نتیجه امروزه شرکتها آنقدر نگران لو رفتن دیتا نیستند.» اگرچه سیاستگذاران با دنبال کردن تصویب طرحی مانند صیانت، بر حمایت از حقوق کاربران در فضای مجازی تاکید داشتند، اما انتشار مفاد جزئیات این طرح در عمل نشان داد که طرح، کارکرد موثری در این زمینه ندارد و تنها به محدود کردن زیست مجازی کاربران پرداخته است. در همین حال، با وجود گذشت دو سال از پیشنهاد لایحهای برای حفاظت از دادههای کاربران، هنوز سرنوشت این لایحه مشخص نشده است.