چرا اطلاعات کاربران شرکت خدمات آنلاین هک شد

 به‌تازگی هک شدن اطلاعات یک شرکت حمل و نقل اینترنتی خبرساز شد. این شرکت با صدور اطلاعیه‌ای هک شدن یکی از سرورهای خود را تأیید و اعلام کرد:«بخشی از اطلاعاتی که در اینترنت درز پیدا کرد مربوط به فاکتور سفرهای رانندگان این شرکت است». هک اطلاعات این شرکت و دیگر شرکت‌های داخلی نشان از پایین بودن امنیت اپلیکیشن‌ها و به عبارتی شرکت‌های خدمات آنلاین است به‌طوری که در همین راستا محمدجواد آذری جهرمی وزیر ارتباطات و فناوری اطلاعات در توئیتی از کسب و کارهای اینترنتی خواست تا امنیت کاربران خود را جدی بگیرند.

در پی انتشار این خبر ایران به سراغ کارشناسان امنیت رفت و این سؤال‌ها را پرسید، از آنجایی که بحث هک و انتشار اطلاعات کاربران در دنیا مرسوم است ولی برای کاهش آن در کشور چه باید کرد؟ در خصوص نشر اطلاعات کاربران در کشور ما چه خلأهای حقوقی وجود دارد؟ و تفاوت اصلی کشور ما در نشر اطلاعات با سایر کشورهای دنیا چیست؟

نبود ناظر بر امنیت

«بحث نشر اطلاعات در کل دنیا وجود دارد. به‌عنوان مثال هکرهای چینی به اطلاعات بخش استخدامی در امریکا دست یافتند به همین دلیل نشر اطلاعات از سوی هکرها موضوع تازه‌ای نیست اما آنچه کشور ما را از دیگر کشورها متفاوت می‌کند بحث اهمیت ندادن به امنیت اطلاعات کاربران است.»

علیرضا‌ پورابراهیمی استاد امنیت دانشگاه آزاد اسلامی با بیان مطلب فوق به «ایران» گفت: اطلاعات زیادی از کاربران از سوی اپلیکیشن‌ها، شرکت‌های خدمات آنلاین، بانک‌ها و... جمع‌آوری می‌شود از این‌رو اطلاعات کاربران اهمیت بسیار زیادی دارد. در این میان آن بخش از سرویس‌های خدمات آنلاین و اپلیکیشن‌ها که به‌صورت مستقیم اطلاعات کاربران را دریافت می‌کنند تا حدودی توجه زیادی به بحث امنیتی سرویس‌های خود دارند و به همین دلیل مشکلات و نشر اطلاعات در این بخش‌ها اندک است. اما در بخش‌هایی که ما شاهد نشر اطلاعات هستیم صاحبان اپلیکیشن‌ها و شرکت‌های خدمات آنلاین نه تنها برای امنیت اطلاعات کاربران خود اهمیت قائل نیستند، بلکه دشمن خود یعنی هکرها را نیز دست کم می‌گیرند.

پور ابراهیمی با بیان اینکه برخی شرکت‌ها داده‌های بسیار زیادی دارند اما از عهده نگهداری و امنیت آن نیز بر نمی‌آیند، گفت: از آنجایی که داده‌ها بسیار باارزش هستند بنابراین تهدیدکننده‌ها سرمایه زیادی را برای دسترسی به آنها هزینه می‌کنند اما برخی شرکت‌ها با وجود داشتن اطلاعات فراوان توان سرمایه‌گذاری برای مقابله با تهدیدها را ندارند بنابراین نمی‌توان به تنهایی از صاحبان برنامه‌ها توقع داشت تا امنیت کار خود را بدرستی حفظ کنند به همین دلیل در این میان حاکمیت باید برای مقابله با این نوع تهدیدات اقدام‌های پیشگیرانه مانند راه‌اندازی آزمایشگاه‌های امنیت نرم افزاری و سخت افزاری را جدی گرفته و توسعه دهد تا امنیت برنامه‌ها افزایش یابد. از سوی دیگر پروتکل‌های ویژه‌ای نیز باید برای بخش‌هایی که دارای اطلاعات بسیار زیادی از کاربران هستند، تنظیم شود تا آنها تمام موارد را رعایت کنند.

این کارشناس امنیت معتقد است وقتی نرم افزار یا سیستمی را ارائه می‌دهیم نباید نظارت بر امنیت آن برعهده همان شرکت باشد و باید شرکت‌ها نظارت بر امنیت را به ناظران خارج از شرکت بسپارند تا بتوانند نقاط ضعف را شناسایی کرده و اقدام‌های لازم را انجام دهند.

نبود مدعی العموم پیگیر حقوق کاربران

میلاد نوری کارشناس امنیت نیز با بیان اینکه نشر اطلاعات کاربران از سوی هکرها اتفاق جدیدی نیست و نشر اطلاعات به شیوه‌های مختلف ناشی از اشکالات فنی و نرم افزاری، رمز، دسترسی برخی افراد غیرمرتبط به اطلاعات و... رخ می‌دهد، گفت: به عبارتی گاهی اطلاعات حساس در دسترس افرادی قرار می‌گیرد که سلسله مراتب در آن رعایت نشده است مانند آنچه در فیس‌بوک اتفاق افتاد به طوری که ۲۰ هزار کارمند فیس‌بوک به رمز میلیون‌ها کاربر اینستاگرام دسترسی داشتند.

یا اینکه یکی از شرکت‌های پرداخت ایرانی که اطلاعات کاربران آن از طریق ایمیل منتشر شد، به‌دلیل دسترسی روابط عمومی به اطلاعات رخ داد. یا در مورد هک اخیر که برای یکی از شرکت‌های خدمات آنلاین حمل و نقل کشور به وجود آمد، ناشی از غفلت در رمزگذاری دیتا بیس بود و به همین دلیل هکرها توانستند از غفلت این شرکت استفاده کرده و به اطلاعات فاکتور رانندگان دست یابند.

نوری با بیان اینکه موضوعی که کشور ما را در زمینه این رخداد از دیگر کشورها متفاوت می‌کند، بعد از نشر اطلاعات است، گفت: شرکت فیس‌بوک وقتی اطلاعات کاربرانش منتشر می‌شود نه تنها سریع اطلاع رسانی، بلکه برای رفع مشکل به‌صورت ضرب الاجل اقدام می‌کند. به‌عنوان مثال رمز کاربران را تغییر داده و به اطلاع کاربران می‌رساند. آنها همچنین به کسب و کارها اعلام می‌کنند ما از این ناحیه دچار زیان شده‌ایم و شما حواستان باشد.

اما متأسفانه این بخش در کشور ما مغفول مانده است و شرکت‌ها مسئولیت پذیر نیستند و به جز مورد اخیر که شرکت خدمات آنلاین به‌دلیل تحت فشار بودن و رسانه‌ای شدن نشر اطلاعات را تأیید و عذرخواهی کرد در موارد قبلی که اطلاعات شرکت پرداختی و یک اپراتور تلفن همراه منتشر شد، چنین موضوعی را شاهد نبودیم.

این کارشناس امنیت نبود متولی خاص برای پیگیری خسارت‌های وارد شده به کاربران و حریم خصوصی را از دیگر خلأها عنوان کرد و گفت: کسی در کشور ما پیگیر حقوق کاربران نیست. در همین مورد اخیر هکر می‌تواند از اطلاعات فاکتوری رانندگان سوء‌استفاده کند. از آنجایی که اطلاعات مسیر راننده و... را در دست دارد با دادن آن اطلاعات می‌تواند به راننده وانمود کند از شرکت مربوطه تماس گرفته و به بهانه‌های مختلف پول اخذ کند به همین دلیل باید مدعی العموم وارد عمل شود و از شرکت‌ها به‌دلیل رعایت نکردن حفظ حریم خصوصی و امنیت و خسارت وارد شده به کاربران شکایت کند.

حفظ حریم خصوصی کاربران آخرین اولویت

امید توکلی کارشناس طراح و راهبر امنیت راهکارهای فناوری اطلاعات و عملیات درباره این هک اخیر با بیان اینکه در ادبیات عمومی امنیت سایبری، برای هر سامانه فناوری اطلاعات، مثلثی فرضی وجود دارد که سه رأس آن شامل عملکرد مناسب، کاربری آسان و سطح امنیت مطلوب است، گفت: در وسط این مثلث، یک گوی فرضی قرار دارد که هدف نهایی، متعادل نگاه‌داشتن گوی وسط این سه رأس است بنابراین هر چه گوی به سمت کاربری آسان حرکت کند، از عملکرد مناسب و سطح امنیت مطلوب سامانه دور خواهد شد. یا اگر به رأس امنیت نزدیک‌تر شود، از دو هدف دیگر سامانه دور خواهد شد به همین دلیل تعامل منطقی میان این سه رأس، یک سامانه امن، کارا و کاربرپسند را به وجود می‌آورد.

توکلی افزود: اگر فرض کنیم انتشار اطلاعات شخصی بیش از ۶۰ هزار کاربر سهوی بوده (یعنی در اثر نفوذ رقبای تجاری، انتشار از سوی کارمندان احتمالاً ناراضی یا مغرض شرکت مذکور، یا سناریوهای دیگر به وجود نیامده باشد، )خود یکی از وحشتناک‌ترین و در عین حال متداول‌ترین خطاهای برنامه‌نویسی است. به عبارتی یک پایگاه داده حاوی اطلاعات معتبر، بدون رمز ورود روی اینترنت در دسترس قرار گرفته است و اطلاعات کاربران نشر پیدا کرده و این موضوع بسیار وحشتناک است.

وی در ادامه با اشاره به اینکه برنامه‌نویسان برای کاربری آسان خود در محیط‌های توسعه، یکپارچه‌سازی و تست نرم‌افزار معمولاً توجهی به مسائل امنیتی ندارند، گفت: زمانی که نرم‌افزار توسعه‌یافته قبل از انتشار و عملیاتی‌شدن، در فرآیندهای کنترل کیفیت، ارزیابی امنیتی و آزمون نفوذپذیری به اندازه کافی مورد سنجش قرار نگیرد یا وحشتناک‌تر از آن، محیط تست و عملیات یکسان باشد؛ بروز چنین نشت‌های اطلاعاتی اجتناب‌ناپذیر است.

 این کارشناس امنیت افزود: با وجود اینکه «کسب‌و‌کار» شرکت‌های اینترنتی ارائه‌دهنده خدمات سفر درون‌شهری برمبنای حضور کاربران (شامل رانندگان و مسافران این سامانه‌ها) شکل گرفته، معمولاً در فضای توسعه این‌ کسب‌و‌کارها پرداختن به مسائل امنیت و حریم خصوصی کاربران، آخرین اولویت است. به همین دلیل تا زمانی که نهادهای حاکمیتی متولی امنیت فضای مجازی از ابزارهای قانونی خود برای صیانت از حریم خصوصی مردم بدرستی استفاده نکنند؛ این شرکت‌ها همچنان به‌دنبال افزایش سطح خدمات شامل تعداد سفرها و ثبت رکوردهای مختلف در رقابت با یکدیگر، متمرکز می‌شوند.

بنابراین نهادهای امنیتی در تعامل با متولیان صدور مجوز فعالیت این شرکت‌ها (که هنوز بعد از گذشت ۵ سال شفاف نیست)، باید از اجرای الزامات امنیتی در حفظ داده‌های شخصی کاربران این سامانه‌ها اطمینان حاصل کنند.

توکلی افزود: از سوی دیگر در قراردادها، شرایط و قوانین یک‌طرفه‌ای از سوی این شرکت‌ها برای مسافران و رانندگان وضع و حتی به‌روز‌رسانی شده است به طوری که بیش از ۵۰ مورد «تعهد، پذیرش شرایط و تمام مسئولیت‌ها» از کاربران را دریافت می‌کند و جای هیچگونه اعتراضی را برای مسافران و رانندگان نمی‌گذارند و این نگاه یک‌سویه در تدوین قوانین تا جایی پیش رفته است که احتمالاً مسئولیت افشای اطلاعات حتی از سوی سرورهای خود را گردن کاربران خواهد انداخت.