چرا اطلاعات کاربران شرکت خدمات آنلاین هک شد
بهتازگی هک شدن اطلاعات یک شرکت حمل و نقل اینترنتی خبرساز شد. این شرکت با صدور اطلاعیهای هک شدن یکی از سرورهای خود را تأیید و اعلام کرد:«بخشی از اطلاعاتی که در اینترنت درز پیدا کرد مربوط به فاکتور سفرهای رانندگان این شرکت است». هک اطلاعات این شرکت و دیگر شرکتهای داخلی نشان از پایین بودن امنیت اپلیکیشنها و به عبارتی شرکتهای خدمات آنلاین است بهطوری که در همین راستا محمدجواد آذری جهرمی وزیر ارتباطات و فناوری اطلاعات در توئیتی از کسب و کارهای اینترنتی خواست تا امنیت کاربران خود را جدی بگیرند. در پی انتشار این خبر روزنامه ایران به سراغ کارشناسان امنیت رفت و این سؤالها را پرسید، از آنجایی که بحث هک و انتشار اطلاعات کاربران در دنیا مرسوم است ولی برای کاهش آن در کشور چه باید کرد؟ در خصوص نشر اطلاعات کاربران در کشور ما چه خلأهای حقوقی وجود دارد؟ و تفاوت اصلی کشور ما در نشر اطلاعات با سایر کشورهای دنیا چیست؟
نبود ناظر بر امنیت
«بحث نشر اطلاعات در کل دنیا وجود دارد. بهعنوان مثال هکرهای چینی به اطلاعات بخش استخدامی در امریکا دست یافتند به همین دلیل نشر اطلاعات از سوی هکرها موضوع تازهای نیست اما آنچه کشور ما را از دیگر کشورها متفاوت میکند بحث اهمیت ندادن به امنیت اطلاعات کاربران است.»
علیرضا پورابراهیمی استاد امنیت دانشگاه آزاد اسلامی با بیان مطلب فوق به «ایران» گفت: اطلاعات زیادی از کاربران از سوی اپلیکیشنها، شرکتهای خدمات آنلاین، بانکها و... جمعآوری میشود از اینرو اطلاعات کاربران اهمیت بسیار زیادی دارد. در این میان آن بخش از سرویسهای خدمات آنلاین و اپلیکیشنها که بهصورت مستقیم اطلاعات کاربران را دریافت میکنند تا حدودی توجه زیادی به بحث امنیتی سرویسهای خود دارند و به همین دلیل مشکلات و نشر اطلاعات در این بخشها اندک است. اما در بخشهایی که ما شاهد نشر اطلاعات هستیم صاحبان اپلیکیشنها و شرکتهای خدمات آنلاین نه تنها برای امنیت اطلاعات کاربران خود اهمیت قائل نیستند، بلکه دشمن خود یعنی هکرها را نیز دست کم میگیرند.
پور ابراهیمی با بیان اینکه برخی شرکتها دادههای بسیار زیادی دارند اما از عهده نگهداری و امنیت آن نیز بر نمیآیند، گفت: از آنجایی که دادهها بسیار باارزش هستند بنابراین تهدیدکنندهها سرمایه زیادی را برای دسترسی به آنها هزینه میکنند اما برخی شرکتها با وجود داشتن اطلاعات فراوان توان سرمایهگذاری برای مقابله با تهدیدها را ندارند بنابراین نمیتوان به تنهایی از صاحبان برنامهها توقع داشت تا امنیت کار خود را بدرستی حفظ کنند به همین دلیل در این میان حاکمیت باید برای مقابله با این نوع تهدیدات اقدامهای پیشگیرانه مانند راهاندازی آزمایشگاههای امنیت نرم افزاری و سخت افزاری را جدی گرفته و توسعه دهد تا امنیت برنامهها افزایش یابد. از سوی دیگر پروتکلهای ویژهای نیز باید برای بخشهایی که دارای اطلاعات بسیار زیادی از کاربران هستند، تنظیم شود تا آنها تمام موارد را رعایت کنند.
این کارشناس امنیت معتقد است وقتی نرم افزار یا سیستمی را ارائه میدهیم نباید نظارت بر امنیت آن برعهده همان شرکت باشد و باید شرکتها نظارت بر امنیت را به ناظران خارج از شرکت بسپارند تا بتوانند نقاط ضعف را شناسایی کرده و اقدامهای لازم را انجام دهند.
نبود مدعی العموم پیگیر حقوق کاربران
میلاد نوری کارشناس امنیت نیز با بیان اینکه نشر اطلاعات کاربران از سوی هکرها اتفاق جدیدی نیست و نشر اطلاعات به شیوههای مختلف ناشی از اشکالات فنی و نرم افزاری، رمز، دسترسی برخی افراد غیرمرتبط به اطلاعات و... رخ میدهد، گفت: به عبارتی گاهی اطلاعات حساس در دسترس افرادی قرار میگیرد که سلسله مراتب در آن رعایت نشده است مانند آنچه در فیسبوک اتفاق افتاد به طوری که 20 هزار کارمند فیسبوک به رمز میلیونها کاربر اینستاگرام دسترسی داشتند. یا اینکه یکی از شرکتهای پرداخت ایرانی که اطلاعات کاربران آن از طریق ایمیل منتشر شد، بهدلیل دسترسی روابط عمومی به اطلاعات رخ داد. یا در مورد هک اخیر که برای یکی از شرکتهای خدمات آنلاین حمل و نقل کشور به وجود آمد، ناشی از غفلت در رمزگذاری دیتا بیس بود و به همین دلیل هکرها توانستند از غفلت این شرکت استفاده کرده و به اطلاعات فاکتور رانندگان دست یابند.
نوری با بیان اینکه موضوعی که کشور ما را در زمینه این رخداد از دیگر کشورها متفاوت میکند، بعد از نشر اطلاعات است، گفت: شرکت فیسبوک وقتی اطلاعات کاربرانش منتشر میشود نه تنها سریع اطلاع رسانی، بلکه برای رفع مشکل بهصورت ضرب الاجل اقدام میکند. بهعنوان مثال رمز کاربران را تغییر داده و به اطلاع کاربران میرساند. آنها همچنین به کسب و کارها اعلام میکنند ما از این ناحیه دچار زیان شدهایم و شما حواستان باشد. اما متأسفانه این بخش در کشور ما مغفول مانده است و شرکتها مسئولیت پذیر نیستند و به جز مورد اخیر که شرکت خدمات آنلاین بهدلیل تحت فشار بودن و رسانهای شدن نشر اطلاعات را تأیید و عذرخواهی کرد در موارد قبلی که اطلاعات شرکت پرداختی و یک اپراتور تلفن همراه منتشر شد، چنین موضوعی را شاهد نبودیم.
این کارشناس امنیت نبود متولی خاص برای پیگیری خسارتهای وارد شده به کاربران و حریم خصوصی را از دیگر خلأها عنوان کرد و گفت: کسی در کشور ما پیگیر حقوق کاربران نیست. در همین مورد اخیر هکر میتواند از اطلاعات فاکتوری رانندگان سوءاستفاده کند. از آنجایی که اطلاعات مسیر راننده و... را در دست دارد با دادن آن اطلاعات میتواند به راننده وانمود کند از شرکت مربوطه تماس گرفته و به بهانههای مختلف پول اخذ کند به همین دلیل باید مدعی العموم وارد عمل شود و از شرکتها بهدلیل رعایت نکردن حفظ حریم خصوصی و امنیت و خسارت وارد شده به کاربران شکایت کند.
حفظ حریم خصوصی کاربران آخرین اولویت
امید توکلی کارشناس طراح و راهبر امنیت راهکارهای فناوری اطلاعات و عملیات درباره این هک اخیر با بیان اینکه در ادبیات عمومی امنیت سایبری، برای هر سامانه فناوری اطلاعات، مثلثی فرضی وجود دارد که سه رأس آن شامل عملکرد مناسب، کاربری آسان و سطح امنیت مطلوب است، گفت: در وسط این مثلث، یک گوی فرضی قرار دارد که هدف نهایی، متعادل نگاهداشتن گوی وسط این سه رأس است بنابراین هر چه گوی به سمت کاربری آسان حرکت کند، از عملکرد مناسب و سطح امنیت مطلوب سامانه دور خواهد شد. یا اگر به رأس امنیت نزدیکتر شود، از دو هدف دیگر سامانه دور خواهد شد به همین دلیل تعامل منطقی میان این سه رأس، یک سامانه امن، کارا و کاربرپسند را به وجود میآورد.
توکلی افزود: اگر فرض کنیم انتشار اطلاعات شخصی بیش از 60 هزار کاربر سهوی بوده (یعنی در اثر نفوذ رقبای تجاری، انتشار از سوی کارمندان احتمالاً ناراضی یا مغرض شرکت مذکور، یا سناریوهای دیگر به وجود نیامده باشد، )خود یکی از وحشتناکترین و در عین حال متداولترین خطاهای برنامهنویسی است. به عبارتی یک پایگاه داده حاوی اطلاعات معتبر، بدون رمز ورود روی اینترنت در دسترس قرار گرفته است و اطلاعات کاربران نشر پیدا کرده و این موضوع بسیار وحشتناک است.
وی در ادامه با اشاره به اینکه برنامهنویسان برای کاربری آسان خود در محیطهای توسعه، یکپارچهسازی و تست نرمافزار معمولاً توجهی به مسائل امنیتی ندارند، گفت: زمانی که نرمافزار توسعهیافته قبل از انتشار و عملیاتیشدن، در فرآیندهای کنترل کیفیت، ارزیابی امنیتی و آزمون نفوذپذیری به اندازه کافی مورد سنجش قرار نگیرد یا وحشتناکتر از آن، محیط تست و عملیات یکسان باشد؛ بروز چنین نشتهای اطلاعاتی اجتنابناپذیر است.
این کارشناس امنیت افزود: با وجود اینکه «کسبوکار» شرکتهای اینترنتی ارائهدهنده خدمات سفر درونشهری برمبنای حضور کاربران (شامل رانندگان و مسافران این سامانهها) شکل گرفته، معمولاً در فضای توسعه این کسبوکارها پرداختن به مسائل امنیت و حریم خصوصی کاربران، آخرین اولویت است. به همین دلیل تا زمانی که نهادهای حاکمیتی متولی امنیت فضای مجازی از ابزارهای قانونی خود برای صیانت از حریم خصوصی مردم بدرستی استفاده نکنند؛ این شرکتها همچنان بهدنبال افزایش سطح خدمات شامل تعداد سفرها و ثبت رکوردهای مختلف در رقابت با یکدیگر، متمرکز میشوند.
بنابراین نهادهای امنیتی در تعامل با متولیان صدور مجوز فعالیت این شرکتها (که هنوز بعد از گذشت 5 سال شفاف نیست)، باید از اجرای الزامات امنیتی در حفظ دادههای شخصی کاربران این سامانهها اطمینان حاصل کنند.
توکلی افزود: از سوی دیگر در قراردادها، شرایط و قوانین یکطرفهای از سوی این شرکتها برای مسافران و رانندگان وضع و حتی بهروزرسانی شده است به طوری که بیش از 50 مورد «تعهد، پذیرش شرایط و تمام مسئولیتها» از کاربران را دریافت میکند و جای هیچگونه اعتراضی را برای مسافران و رانندگان نمیگذارند و این نگاه یکسویه در تدوین قوانین تا جایی پیش رفته است که احتمالاً مسئولیت افشای اطلاعات حتی از سوی سرورهای خود را گردن کاربران خواهد انداخت.