چهارشنبه ۲۱ آذر ۱۴۰۳ - 2024 December 11 - ۸ جمادی الثانی ۱۴۴۶
۱۲ دی ۱۴۰۲ - ۱۵:۴۹

دیگر هیچ چیز خصوصی نیست و هیچکس در امان نیست

دیروز خبر هک اطلاعات 20 میلیون کاربر اسنپ فود بار دیگر زنگ خطر تداوم سریال هک پلتفرم ها را به صدا درآورد
کد خبر: ۶۷۳۵۹۰

دیگر هیچ چیز خصوص نیست و هیچ کسی در امان نیست

سریال هک انواع پلتفرم‌های دولتی و خصوصی این‌بار با هک سرورهای اسنپ‌فود دنبال شده و داده‌های بیش از ۲۰ میلیون کاربر این سرویس در معرض افشای عمومی قرار گرفته است. این نخستین باری نیست که میلیون‌ها رکورد از جزئی‌ترین فعالیت‌های مردم به واسطه نشت اطلاعات پلتفرم‌ها در دسترس عموم قرار می‌گیرد؛ اما به نظر می‌رسد حریم خصوصی اکنون کم ارزش‌تر از آن است که کسی فکری به حال این ماجرا بکند یا جوابگوی چنین رخدادهایی باشد. شاید باورش سخت باشد، ولی حالا دیگر با تکرار سناریوی نشت اطلاعات سرویسی که روزانه مورد استفاده میلیون‌ها نفر قرار می‌گیرد، به سادگی می‌توان به جزئی‌ترین رفتارهای افراد و کسب‌وکارهای طرف قرارداد با این پلتفرم‌ها پی برد.



اکنون با یک جست‌وجوی ساده و تلاشی نه چندان زیاد می‌توان دریافت که یک کاربر خاص کجا زندگی می‌کند؛ به چه مقصدهایی سفر می‌کند؛ چه می‌خورد؛ گوشی موبایلش از چه برندی است و‌...‌ حالا حتی می‌توان دریافت که رستوران سر کوچه که از وضعیت کاسبی خود گلایه دارد و معتقد است فروشش آن‌طور که می‌گویند خوب نیست، دقیقا چه میزان درآمد دارد و چه میزان از این درآمد را بابت کمیسیون فروش پرداخت می‌کند. چند ماه پیش که تپسی قربانی یک گروه هکری شد، رقیبش اسنپ با مانور رسانه‌ای از تلاش‌های جدی خود برای اعطای جوایز به هکرهای کلاه سفید خبر داد تا آسیب‌پذیری‌های امنیتی این پلتفرم را کشف و گزارش کنند. اما حالا به نظر می‌رسد هیچ‌کس در امان نیست و مفهوم امنیت مجازی مبهم از هر زمان دیگری می‌نماید.

۳۰‌هزار دلار در ازای داده‌های اسنپ‌فود


در ساعات پایانی روز شنبه، کانال تلگرامی متعلق به یک گروه هکری، با انتشار یک پست از هک پلتفرم اسنپ‌فود خبر داد. طبق آنچه هکرها اظهار کردند، به موجب این عملیات توانسته‌اند به اطلاعات بیش از ۲۰ میلیون کاربر شامل نام کاربری، پسورد، ایمیل، نام و نام خانوادگی، شماره موبایل، تاریخ تولد و...، اطلاعات بیش از ۵۱ میلیون آدرس کاربر شامل موقعیت‌GPS، آدرس کامل، شماره تلفن و... اطلاعات بیش از ۱۸۰ میلیون دستگاه همراه شامل: نوع و مدل دستگاه، پلتفرم، توکن، فروشگاه نصب برنامه و... دست پیدا کنند. طبق ادعای هکرها اطلاعات نشت یافته از پلتفرم اسنپ‌فود محدود به این موارد نیست و حالا حتی اطلاعات بیش از ۳۵‌هزار پیک این سرویس، اطلاعات بیش از ۳۶۰ میلیون سفارش، اطلاعات بیش از ۶۰۰ هزار پرداخت سفارش، اطلاعات بیش از ۱۶۰ میلیون سفر انجام شده توسط پیک‌ها، اطلاعات بیش از ۲۴۰ هزار رستوران‌ و کافه‌های طرف قرارداد با اسنپ‌فود و‌... نیز در داده‌های نشت یافته قابل دستیابی است. هکرها برای اثبات ادعای خود فایلی از این داده‌ها را به عنوان نمونه منتشر کردند و در ادامه از به فروش گذاشتن این اطلاعات با قیمت‌ ۳۰‌هزار دلار خبر دادند.

از همان ساعات ابتدایی، این خبر با بازنشر گسترده در فضای مجازی مواجه و به داغ‌ترین سوژه روز تبدیل شد؛ تا جایی که دیگر جایی برای انکار باقی نمانده بود و اسنپ‌فود با انتشار اطلاعیه‌ای، هک شدن پلتفرم خود را تایید کرد. اسنپ‌فود در بیانیه خود مسوولیت این اتفاق را پذیرفت و از همکاری با پلیس فتا برای کشف ابعاد این رخداد خبر داد. در اطلاعیه‌ای که اسنپ‌فود منتشر کرد آمده است: «پیرو هک و اقدام به فروش مستقیم بخشی از اطلاعات کاربران اسنپ‌فود، به اطلاع می‌رسانیم که شرکت اسنپ‌فود در قدم اول در همکاری با پلیس فتا در حال شناسایی و رفع منبع آلودگی ناشی از اقدام این گروه هکری است. شرکت اسنپ‌فود مسوولیت این اتفاق را می‌پذیرد و حتما بررسی دقیقی در مورد دلایل وقوع آن انجام خواهد داد. این گروه هکری پیش از مذاکره با اسنپ‌فود اقدام به فروش اطلاعات کرده است و این شرکت حداکثر تلاش خود را برای جلوگیری از انتشار داده‌های کاربران، از طریق مذاکره با این گروه هکری خواهد کرد.» در ادامه این بیانیه آمده است: «کلیه اطلاعات پرداخت بانکی کاربران، اعم از اطلاعات مربوط به کد امنیتی کارت (CVV۲)، رمز عبور و تاریخ انقضا در امنیت کامل قرار دارد و این اطلاعات مطابق مقررات بانک مرکزی در هیچ یک از پلتفرم‌ها ذخیره نمی‌شود. متعاقبا اطلاعات تکمیلی در این مورد را منتشر خواهیم کرد.»

 

در ادامه انتشار این بیانیه‌، «ایسنا» نیز اظهاراتی را از مدیرعامل اسنپ نقل کرد که در آن بر تحت کنترل بودن شرایط تاکید شده بود. محمد خلج، مدیرعامل گروه اسنپ در اظهارات اولیه خود در واکنش به ماجرا، اظهار کرده بود: «در حال تلاش برای رفع مشکل پیش آمده هستیم و با صدور اطلاعیه‌ای توسط اسنپ‌فود در این ارتباط، تمرکز خود را برای رفع این مشکل گذاشته‌ایم و بعد از انجام بررسی‌های بیشتر می‌توانیم اطلاعات دقیق‌تری درباره هک انجام شده منتشر کنیم. هنوز به‌طور دقیق نمی‌توان درباره داخلی یا خارجی بودن هکرها اظهارنظر کرد و این موضوع در دست بررسی است.»

اظهارات ضد و نقیض هکرها و پلیس فتا


در ساعاتی پس از این رخداد خبر رسید که پلیس فتا در دفتر اسنپ‌فود مستقر شده و به دقت درحال پیگیری ابعاد حادثه است. طبق آنچه در خبرگزاری فارس منتشر شد، معاون فرهنگی اجتماعی پلیس فتا فراجا در تشریح خبر دسترسی غیرمجاز به اطلاعات اشتراک کاربران شرکت اسنپ‌فود اظهار کرده است: باید به اطلاع هموطنان عزیز و به خصوص کاربران این شرکت برسانم که در حال حاضر تیم فنی پلیس فتا در شرکت مذکور مستقر است و در حال انجام بررسی‌های فنی و تخصصی است.

رامین پاشایی در ادامه صحبت‌های خود تصریح کرده است: شرکت مذکور توسط کارشناسان این پلیس در سال جاری چندین نوبت مورد ارزیابی و توجیه فنی لازم قرار گرفته و چنانچه در بررسی‌ها مشخص شود که در رسیدگی به موضوعات مطرح شده اهمال و سهل‌انگاری شده، موضوع برای پیگیری به مراجع قانونی ارجاع و نتایج منعکس خواهد شد. او اظهارنظر بیشتر درباره ماجرا را منوط به بررسی‌های بعدی کرده و گفته است: به محض کسب اطلاعات دقیق‌تر و مشخص شدن ابعاد جدید از این دسترسی غیرمجاز، متعاقبا اطلاع‌رسانی به هموطنان انجام می‌شود.»

گروه هکری فعلی که توانسته به اطلاعات کاربران اسنپ‌فود دست‌ پیدا کند، همان گروهی است که چند ماه پیش، اقدام به هک سرورهای تپسی و انتشار بخشی از داده‌های آن در فضای مجازی کرده بود. در خبری که به تاریخ ۱۱ شهریور ماه امسال در خبرگزاری مهر منتشر شده بود، معاون اجتماعی پلیس فتا در اظهارات خود تاکید کرده بود که هویت گروه هکری که مرتکب این حمله شده مشخص است و در ادامه نیز تاکید شده بود که در پی شکایت تپسی از این گروه هکری، اقدامات قضایی انجام شده و منبع آلودگی برطرف شده است و جای نگرانی وجود ندارد.

درحالی که در آن زمان از تحت کنترل بودن شرایط خبر داده شد، حالا همان گروه هکری مجددا دست به کار شده و این‌بار پلتفرم اسنپ‌فود را هدف حمله قرار داده تا نشان دهد وضعیت امنیت پلتفرم‌ها در کشور بر خلاف آنچه ادعا می‌شود، شکننده‌تر از این حرف‌هاست. این گروه حتی پس از انتشار خبر اولیه هک اسنپ‌فود در کانال تلگرامی خود، با بازنشر گفت‌وگوی معاون اجتماعی پلیس فتا با خبرگزاری مهر که از مشخص بودن هویت هکرها صحبت کرده بود، با طعنه از تلاش‌های پلیس فتا تشکر کرد. این گروه هکری در ادامه نیز تیم‌های امنیت پلتفرم‌ها را مخاطب قرار داد و از رویکرد آنها در تقلیل بحث امنیت به تعریف جایزه برای کشف باگ (هانت) انتقاد کرد.

بر اساس آنچه در فضای مجازی پیرامون جزئیات این هک منتشر شد، گفته می‌شود که هکرها از تجربه مذاکره با تپسی، امیدی به ثمربخش بودن تعامل با شرکت‌های هک شده نداشته‌اند و به همین دلیل داده‌ها را مستقیما به فروش گذاشته‌اند. با این‌حال تیم اسنپ‌فود در واکنش‌های ابتدایی خود به ماجرا تاکید کرد: «حداکثر تلاش خود را برای جلوگیری از انتشار داده‌های کاربران به کار خواهد گرفت و وارد مذاکره با هکرها خواهد شد.»

دیگر هیچ چیز خصوصی نیست


یکی از موضوعاتی که همان چند ماه پیش و در ماجرای هک و نشت اطلاعات کاربران تاکسی اینترنتی تپسی مورد توجه قرار گرفت، تبعاتی بود که عمومی شدن این اطلاعات می‌تواند برای حریم خصوصی کاربران ایجاد کند. اگرچه از همان زمان تپسی انتشار جزئیات بیشتر درباره گستردگی دامنه داده‌های نشت داده شده را به آینده نزدیک موکول کرد، اما هیچ‌گاه گزارشی منتشر نشد تا کاربران متوجه شوند دقیقا چه اطلاعاتی از آنها در دسترس عموم قرار گرفته و این داده‌های نشت پیدا کرده، کدام بخش از حریم خصوصی آنها را ممکن است متاثر کنند. با این‌حال در همان زمان کارشناسان امنیت اطلاعات به صورت پراکنده و حسب اطلاعاتی که از نمونه داده‌های منتشر شده به دست آوردند، به تشریح ابعاد نقض حریم خصوصی رخ داده طی آن حمله پرداختند. در همان زمان تاکید شد که از جزئیات داده‌های نشت یافته از تپسی می‌توان به الگوی سفرهای افراد، محل زندگی و کار، جزئیاتی از برند و مدل گوشی موبایلی که استفاده می‌کنند و... دست پیدا کرد.

حالا و در پرده جدیدی از هک اطلاعات کاربران که این‌بار با نشت اطلاعات سرورهای اسنپ‌فود محقق شده، جزئیات تازه‌ای از سبک زندگی افراد در معرض دسترسی عموم قرار گرفته است؛ اینکه چه می‌خورند، چه زمانی می‌خورند، چقدر هزینه می‌کنند و‌... شاید در نگاه اول این اطلاعات بی‌اهمیت به نظر برسند؛ اما با کنار هم قرار دادن این اطلاعات با داده‌هایی که پیش‌تر از پلتفرم‌های مختلف اعم از تاکسی اینترنتی، بانک، اپراتورهای تلفن همراه، شهرداری و مراکز دولتی نشت پیدا کرده بود به سادگی می‌توان الگوی کاملی از زندگی و رفتارهای اجتماعی افراد ترسیم کرد.

گذشته از تبعات این ماجرا برای حریم خصوصی افراد، حالا حریم خصوصی شرکت‌ها نیز آسیب‌پذیر به نظر می‌رسد و با افشای اسرار بازار این کسب‌وکارهای اینترنتی، فعالیت اقتصادی بیش از پیش با چالش‌های رقابتی همراه خواهد بود. اکنون اطلاعات رستوران‌ها و کافه‌های طرف همکاری با اسنپ‌فود، درصد کمیسیون پرداختی آنها و میزان فروش و سفارش‌هایی که روزانه برای عرضه آماده می‌کنند، قابل مشاهده است و این داده‌ها می‌توانند از سوی رقبا مورد تحلیل و بهره‌برداری قرار بگیرند. جزئیاتی که از رستوران‌ها در فضای عمومی منتشر شده به حدی کامل است که یکی از کاربران این موضوع را دستمایه طنز قرار داد و در حساب کاربری خود نوشت: «به صورت اتفاقی متوجه شدم که اطلاعات فروش رستوران سر کوچه ما نیز در داده‌هایی که به صورت نمونه در معرض دید عموم قرار گرفته موجود است و برخلاف تصور فروش زیادی دارد!»

یکی از هکرهای کلاه‌سفید در پستی که در شبکه‌های اجتماعی منتشر کرده بود، به جوایز تعریف شده از سوی اسنپ برای گزارش کشف آسیب‌پذیری اشاره کرد و گفت: چنانچه هکر این آسیب‌پذیری را به اسنپ گزارش می‌کرد، تنها هفت و نیم میلیون تومان جایزه دریافت می‌کرد و همین مبالغ کم باعث شده باگ‌هانتر‌ها بیش از هر زمان دیگری نسبت به کشف آسیب‌پذیری پلتفرم‌های داخلی بی‌میل شوند. گذشته از بی‌اهمیت بودن حریم خصوصی کاربران برای پلتفرم‌ها، آنچه بیش از همه جای تامل دارد، بی‌توجهی کاربران به ابعاد مختلف نشت این اطلاعات برای حریم خصوصی‌شان است. به‌طوری که حالا و بیش از آنکه کسی دنبال چرایی تکرار چنین حملاتی باشد، کاربران مشغول ساخت طنز از ماجرا و طرح این سوال هستند که «حدس بزن من غذا چی سفارش دادم؟»

آن‌طور که از اظهارات کارشناسان در شبکه‌های اجتماعی برمی‌آید، گویا هکرها از مدت‌ها پیش مشغول استخراج اطلاعات از پایگاه‌های داده این پلتفرم بوده‌اند و تیم امنیت اسنپ‌فود حتی متوجه هم نشده‌اند. حالا و تا زمان نگارش این گزارش، گفته می‌شود که گویا این شرکت هنوز نتوانسته است نقطه آسیب‌پذیری مشخصی را که به انجام این حمله ختم شده شناسایی کند.

 

 

آخرین اخبار