مینا حیدری خبرنگار اطلاعات نوشت: هک شدن اسنپفود سرخط اخبار این هفته است و بسیاری از کاربران را بابت تجربههکهای مکرر در کشور نگران کرده است. از هک ثبت احوال گرفته تا هک سامانههای سوخت و حالا هم هک اسنپ فود و این داستان دنبالهدار بیانگر آن است که پایه امنیتی اطلاعات کاربران در بسیاری از زیرساختها سست است ؛گویی خانهای را برشن بنا نهادهایم.
جمشید جمالیان، فعال حوزه فناوری اطلاعات (IT )درباره گروه هکری که اسنپفود را هک کرده و میزان نشت اطلاعات میگوید: اطلاعات منتشر شده بیانگر آن است دادهها و اطلاعات 20 میلیون کاربر و حدودا 360 میلیون سفارش برنامه اسنپفود در دست یک گروه هکری به نام IRLeaks قرار گرفته که قبلا هم سابقه هک برنامه تپسی را داشته و تاکنون هم بدون دستگیری به فعالیت خود ادامه داده است. این گروه قبلا سابقه مذاکره با شرکت تپسی را داشته ولی میلاد منشیپور ، بنیانگذار و مدیر عامل تپسی اعلام کرد: «به این گونه مذاکرات که با هدف اخاذی است تن نمیدهیم.»
30 هزار دلار ناقابل
جمالیان می گوید: این گروه در ابتدا اطلاعات را در ازای 30 هزار دلار برای فروش گذاشت و همزمان با گروه اسنپفود به مذاکره پرداخت و در نهایت با آن به توافق رسید و اطلاعات را به اسنپفود فروخت. خطر این مذاکرات با هکرها در این است که معلوم نیست هکرها به قول و قرارشان با اسنپفود پایبند باشند و اطلاعات را در اختیار افراد دیگری قرار ندهند.
اگر فرض را بر این بگذاریم که قانونا اسنپفود اطلاعات مربوط به کارتهای بانکی شما را در پایگاه داده خود ثبت نکرده باشد باز هم اطلاعاتی مثل نام و نام خانوادگی، کد ملی، نام کاربری، کلمه عبور، ایمیل، شماره تلفن، آدرسهایی که در آنها مستقر هستید مانند منزل، محل کار و ... ( با موقعیت دقیق جیپیاس)، کلیه سفارشاتی که تاکنون داشتهاید، آدرس و ساعت دقیق تحویل سفارش ها و اطلاعات بیش از 180میلیون دستگاهی که توسط آنها کاربران به اسنپفود دسترسی داشتهاند، نام و آدرس طرفهای قرارداد اسنپفود مانند نام رستورانها، آدرس آنها و شماره شبای مرتبط با رستوران جهت تسویه، نام و مشخصات کامل پیکها و ... هک شده است که با توجه به فایلهای نمونه ای که منتشر شده صحت این ادعا مورد تایید قرار گرفته است.
لو رفتن تمامی اطلاعات ثبت نامی
این فعال حوزه فناوری اطلاعات ادامه میدهد: با کمی دقت در تعداد دستگاهها به نسبت تعداد کاربران میتوان گفت که احتمالا در طول سالیان مختلف تمامی اطلاعات شما از زمان ثبتنام تاکنون در اختیار هکرهاست، به زبان سادهتر تمامی آدرسهایتان، نه تنها آدرس فعلی شما بلکه تمامی آدرسهایی که از گذشته تا امروز در این برنامه ثبت کردهاید هم در اختیار هکرهاست.
او میافزاید: فرض کنید اگر این اطلاعات در دست کسانی که نباید بیافتد چه خطراتی در انتظار شماست. تصور کنید فردی فقط با داشتن شماره همراه شما یا حتی سادهتر فقط یک نام و نام خانوادگی به تمام اطلاعات هویتی، ارتباطی و موقعیت جغرافیایی دقیق شما و خانوادهیتان دسترسی داشته باشد، ترسناک نیست؟ با این اطلاعات درز پیدا کرده، صدها نوع سناریو قابل پیادهسازی است که در نهایت قربانیان آن کاربران اسنپفود هستند.
فروش خرد اطلاعات
آقای جمالیان میگوید: وقتی هک صورت میگیرد، گاهی اطلاعات به صورت خرد به دیگران نیز فروخته میشود یعنی، فقط بخشی از اطلاعات مانند شماره تلفن، ایمیل و .. در اختیار شرکتهای تبلیغاتی جهت ارسال ایمیل یا پیامک تبلیغاتی قرار میگیرد، این سادهترین نوع سناریویی است که هکرها برای فروش اطلاعات استفاده میکنند، سناریوهایی مانند به دست آوردن آدرس دقیق کسانی که قرار است مورد تهاجم قرار بگیرند، آدرس و موقعیت دقیق شخصیتهایی که نام آشنا هستند و هزاران سناریوی ترسناک دیگر که موارد امنیتی را هم شامل میشود.
این فعال حوزه IT ادامه میدهد: بسیاری افراد شناخته شده هم از همین برنامه استفاده میکنند و موضوع در اینجا قدری پیچیده تر میشود، به عنوان مثال اگر این اطلاعات در دست گروههای گوناگون قرار گیرد فارغ از دسترسی به موقعیتهای دقیق جغرافیایی که در آنها تردد میکنند، همین اطلاعات به ظاهر ساده مثل نوع غذای مورد علاقه و یا زمان سفارش میتواند به تنهایی خطرناک باشد.
تحلیل خطرناک اطلاعات
او میافزاید: اگر باز هم بخواهم مثالی برای شما بیاورم تحلیل میزان سفارشها در روزها و مناسبتهای خاص در بازه های زمانی مختلف و مقایسه آنها با یکدیگر یکی دیگر از مشکلات این نشت اطلاعاتی است که با تحلیل هر یک از این دادهها میتوان به شرایط اجتماعی و یا اقتصادی جامعه در زمانهای مختلف دسترسی پیدا کرد و کم نیستند کسانی که با اهداف گوناگون میتوانند از این اطلاعات بهرهبرداری سیاسی نیز انجام دهند.
از همه مهمتر بیاعتمادی مردم به این نوع شرکتها باعث افت خرید کاربران و در نهایت پایین آمدن سطح گردش مالی بخش عمدهای از کسب و کارها در جامعه خواهد شد که مسلما بخشهای دیگر اقتصاد را هم درگیر خودش خواهد کرد.
این کارشناس فناوری اطلاعات ادامه میدهد: ضمنا با کنار هم گذاشتن این اطلاعات میشود به سادگی به روال روزمره افراد، سبک زندگی مردم جامعه و میزان استفاده آن ها از خدمات آنلاین به صورت مجزا در هر استان و شهری پی برد که نه تنها ابعاد اجتماعی و اقتصادی که ابعاد امنیتی را هم مورد مخاطره قرار میدهد.
هکهای مستمر
آقای جمالیان میگوید: پلیس فتا در حال انجام بررسیهای فنی و تخصصی در این زمینه است تا به علل اصلی ماجرا دست پیدا کنند، ولی با توجه به تجربیات گذشته مانند هک تپسی و کارتهای سوخت و مهمتر از همه حرفهای بودن هکرها و غیرقابل ردیابی بودن رمز ارزها در این گونه معاملات، بعید به نظر میرسد که این بار هم توفیقی در این زمینه حاصل شود . باید امیدوار بود در صورتی که هک از بیرون مجموعه صورت گرفته باشد هکر یا هکرها ردی از خود برجای گذارند.
اعلام نظر کارشناسان
این کارشناس فناوری اطلاعات درباره امکان هک از داخل مجموعه میگوید: این هم یک فرضیه است که نمیتوان امکانش را دست کم گرفت، با توجه به بزرگی مجموعه اسنپ، حساسیت دادهها، حجم دادههای کاربران و با توجه به گزارشها و ادعاهای کارشناسان مبنی بر این که مسائل فنی توسط تیمهای تست امنیت چه در داخل و چه در خارج از مجموعه مورد ارزیابی و تست قرار گرفته است به نظر نمیرسد این حجم از دادهها از بیرون مجموعه مورد دستبرد قرار گرفته باشد ولی باز هم نمیشود قاطعانه نتیجهگیری کرد و باید منتظر گزارش نهایی کارشناسان پلیس فتا و اعلام نظر کارشناسان اسنپفود باقی ماند.
چه باید کرد؟
آقای جمالیان درباره اقداماتی که لازم است پس از این اتفاق انجام دهیم میگوید: در حال حاضر اقدام خاصی نمیتوان انجام داد و کاربری به طنز در فضای مجازی نوشته بود فقط میتوانیم آدرسمان را عوض کنیم، کاربر دیگری هم اشاره کرده بود با هک شدن تامین اجتماعی اکنون میدانند چقدر حقوق دریافت میکنیم و کجا کار میکنیم و با هک اسنپفود و تپسی دریافتند کجا تردد داریم، با هک پمپ بنزین کشف کردندکه چقدر بنزین در کارتمان داریم و امروز هم با هک اسنپفود میدانند چه میخوریم و آدرس و تلفنمان کجاست.
متاسفانه اطلاعات نشت پیدا کرده و کاری هم از دست کسی بر نمیآید و شاید فقط بتوان به نوع حمله و نحوه نشت اطلاعات پی برد که دردی را هم دوا نمیکند و اما شرکتها باید بدانند تنها راه برای جلوگیری از این نوع حملات بالابردن سطح امنیت در این نوع شرکت هاست که فقط با به کارگیری نیروی متخصص و حرفهای میسر خواهد بود.
باز هم مهاجرت نخبگان
او ادامه میدهد: متاسفانه عمده متخصصان و نخبههای کشور با توجه به شرایط اقتصادی اخیر و ناامیدی از آینده یا مهاجرت کرده و یا با این مبالغ اندک پرداختی حاضر به همکاری با این شرکتها نیستند و نهایتا وضع همین هست که میبینید، اگر تعداد سایتهایی که هک نشدهاند کم است دلیل بر امنیت فوق العاده مابقی نیست فقط هنوز نوبت آنها نشده است.
حتی شرکتهای بزرگ امنیتی هم که ارائه کننده زیرساخت و راهکارهای امنیتی هستند از این موضوع مستثنی نیستند، اگر خاطرتان باشد زیرساخت شرکت «آروان کلود» هم در اسفندماه 1399 مورد حمله هکرها قرار گرفت و بیشتر سایتهایی که از این شرکت خدمات دریافت میکردند از دسترس خارج شدند.
این کارشناس IT میگوید: به دلیل نبود قوانین حقوقی منسجم برای پرداخت غرامت در این نوع آسیب پذیریها، شرکتهای ارائه کننده این برنامهها حاضر به بالا بردن کیفیت امنیت خود نیستند و حتی حاضر به پرداخت مبلغی مناسب برای کشف این حفرههای امنیتی نخواهند بود .بهعنوان مثال شرکت اسنپ سقف «باگ بانتی» خود را که همان فرایند کشف و ارائه گزارش آسیبپذیری است در حد 150 میلیون تومان نگه داشته که اگر در این بخش هزینه بیشتری میشد اکنون کاربران مجبور به پرداخت چنین هزینه سنگینی نبودند.
حق شکایت قانونی
آقای جمالیان در پایان میافزاید: مسلما حق شکایت قانونی تمام افرادی که از اسنپفود استفاده میکردند بابت «افشای اطلاعات شخصی و محرمانه» کاملا محفوظ است ولی با توجه به پیچیدگی ماجرا و کشف نشدن علل دقیق ماجرا به نظر میرسد کمی باید صبر کرد تا نظر نهایی کارشناسان پلیس فتا و سایر مراجع به صورت رسمی اعلام شود.
سرهنگ رامین پاشایی، معاون فرهنگی اجتماعی پلیس فتا اعلام کرد شرکت اسنپفود در سال جاری بارها مورد ارزیابی و بررسیهای فنی قرار گرفته و در صورت مشاهده هرگونه سهلانگاری پیگیریهای قانونی و قضایی به مراجع بالا ارجاع و به محض حصول اطلاعات دقیقتر و یا مشخص شدن ابعاد جدید پرونده، اطلاع رسانیهای لازم توسط پلیس فتا انجام خواهد شد.