کاربــران بــی دفاع، میزبانان بی مسئولیت !
هر از گاهی خبر درز اطلاعات میلیون ها کاربر یکی از نرم افزارها یا سازمان ها منتشر می شود مقصر کیست و چه باید کرد؟
ناصر رعیت نواز- اغلب وقتی واژه «هک» را میشنویم ، تصویر کسی در ذهن مان نقش میبندد که ساعات متوالی پشت یک رایانه نشسته و در حال نوشتن برنامهای پیچیده و دشوار با دهها صفحه کلید است تا بتواند از این طریق رمز رایانه شما را به دست آورد و اطلاعات شخصی تان را سرقت کند اما این روزها با سونامی افشای اطلاعات از اپلیکیشن ها، شرکت ها و گاه نهادهای بزرگی همچون بانک ها، ثبت احوال و ... مواجه می شویم که نشان می دهد به دلیل ضعف های شدید امنیتی در سامانه های اینترنتی شان قابل نفوذ هستند و اطلاعات شخصی و هویتی افراد و کاربران بی دفاع ، به راحتی در اختیار عده ای سودجو قرار می گیرد که می تواند به سوء استفاده های مالی، کلاهبرداری و اخاذی منجر شود. اگر کمی پا را فراتر بگذاریم می بینیم که هکرها حتی بر اساس دسترسی که خودمان به اپلیکیشن ها داده ایم می توانند به عکس ها، فیلم ها و دیگر اطلاعات تلفن همراه ما نیز دست یابند . حالا از این ها که بگذریم به نکته عجیب تری می رسیم که نشان می دهد در کنار بی خیالی برخی شرکت ها در مقابل افشای اطلاعات کاربران، نه تنها شاهد عذرخواهی حداقلی آن ها نیستیم بلکه حتی از فردی هم که به خوبی از اطلاعات هویتی و شخصی کاربران، کارکنان یا ... مراقبت نکرده ، بازخواست نمی شود. به نظر برخی کارشناسان سایبری اگر تحول جدی در این زمینه انجام نشود، باید بازهم شاهد افشای اطلاعات از سوی دیگر شرکت ها یا اپلیکیشن ها باشیم. در ادامه سعی کرده ایم در کنار معرفی برخی ازمواردی که اطلاعات کاربران به دست هکرها افتاده ، به این سوال هم پاسخ دهیم که مقصر این همه سهل انگاری و افشای اطلاعات شرکت ها ، کدام نهاد است و برای این اتفاقات چه تمهیداتی باید اندیشید.
نشت اطلاعات ثبت احوال
یکی از خبرهایی که در روزهای اول سال 99 با آن روبه رو بودیم ، نشت اطلاعات ثبت احوال بود. این اطلاعات از طریق باتی که در روز سیزدهم فروردین در تلگرام فعال شده بود، در دسترس قرار گرفتند و سخنگوی سازمان ثبت احوال اعلام کرد که نشت اطلاعات مربوط به پروندههای سلامت الکترونیک است که در اختیار وزارت بهداشت قرار دادیم و مربوط به این سازمان نیست.
118 روی سی دی
سال ها پیش نیز مشخصات دارندگان شماره های تلفن ثابت به عنوان 118 توسط سی دی فروش ها و دست فروش ها به فروش می رسید . در آن سی دی نرم افزاری وجود داشت که فرد با وارد کردن کد شهر و شماره تلفن یا نام افراد به نشانی، نام صاحب خط تلفن و شماره آن دسترسی پیدا می کرد.
فروش اطلاعات 42 میلیون کاربر تلگرام
«باب دیاچنکو»، پژوهشگر امنیت سایبری در بامداد روز 11 فروردین امسال در وبسایت Comparitech اعلام کرد که دادههای دیتابیس شامل اطلاعات بیش از ۴۲ میلیون کاربر ایرانی تلگرام، مانند آیدی تلگرام، نام کاربری، شماره تماس و ... از یک نسخه شخص ثالث (غیر رسمی) اپلیکیشن تلگرام لو رفته است. نکته تاسف بار این جاست که این اطلاعات به هیچ رمز ورود و دسترسی نیاز نداشته است.همان زمان تلگرام طلایی ،هات گرام وامثال آن عامل این درز گسترده اطلاعات معرفی شدند اما شاهد هیچ واکنشی پس از آن نبودیم .
حمله به 10 میلیون کارت بانکی
نیمه اول آذر سال گذشته پلیس فتا در ایمیلی به برخی از دارندگان حساب بانکی ، از به خطر افتادن مشخصات میلیونها کارت بانکی خبر داد و از دارندگان کارتهای عضو شتاب درخواست کرد که با مراجعه به شعب بانکهای خود، کارت بانکی جدید دریافت کنند. در این ایمیل تاکید شده بود که دارندگان حسابهای بانکی تا زمان دریافت کارت جدید، از وجه نقد به جای کارتهای بانکی استفاده کنند. به گزارش جهان صنعت در این حمله هکرها ، اطلاعات ۱۰ میلیون کارت بانکی در کشور لو رفته بود.
اپلیکیشن ها و نرم افزارها
در کنار ادعاهای زیاد در شبکه های اجتماعی درباره لو رفتن اطلاعات مشتریان بیمه ایران، شرکت رجا ،کارکنان هواپیمایی تابان، پروازهای هواپیمایی ماهان شامل محموله و وزن و مقصد پروازها و شرکت های مختلف دیگر ، اطلاعات کاربران نرم افزارها و اپلیکیشن های زیادی همچون نرم افزار سیب اپ هم به دلیل کافی نبودن مراقبت های لازم توسط هکرها به سرقت رفته و نام، شماره تماس، ایمیل و ... آن ها به سودجویانی در شبکه های اجتماعی فروخته شده است.
مقصر کیست؟
اصلی ترین مقصر شرکتی است که اطلاعات از آن درز کرده ، آن هم به این دلیل که طبق قانون مسئول حفظ و نگهداری دادههایی بوده که در اختیارش قرار گرفته است و باید شرایط سختافزاری و نرمافزاری لازم برای حفاظت از دادهها را فراهم می کرد. اگر چه هکرها همواره در تلاش برای به دست آوردن اطلاعات کاربران و هک سایت ها هستند و هک شدن به نوعی موضوعی متداول در فضای اینترنت است اما متاسفانه برخی از این شرکت ها ، حداقل های میزبانی اطلاعات کاربران را رعایت نمی کنند و گاه یک نرم افزار را در فضای واقعی آزمایش می کنند که خطرات زیادی دارد .در این میان ، چند نهاد هم مسئولیت هایی در پایش و بررسی وجود اشکالات امنیتی و حفره های احتمالی در سایت ها و نرم افزارها به عهده دارند که عملکرد دقیق آن ها نیز می تواند از بروز این موارد پیشگیری کند. اقتصاد آنلاین بعد از افشای اطلاعات کاربران تلگرامی کشورمان در گزارشی بیانیه ای را به نقل از مرکز ماهر وزارت ارتباطات نوشت که در بخشی از این بیانیه آمده است: «بر اساس «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی» مصوب «شورای عالی فضای مجازی»، پیشگیری و مقابله با حوادث سایبری، تقسیم کار ملی شده است و حملات و نقصهای امنیتی زیرساختهای حیاتی کشور مانند حوزههای مالی و بانکی، انرژی، حمل و نقل، ثبت احوال و ... به «مرکز راهبردی افتای ریاست جمهوری» سپرده شده است. بر اساس همین مصوبه، مقابله با حوادث و حملات در حوزه «شهروندان و کسب و کارهای خصوصی» (شامل دادههای مربوط به اپلیکیشنها و بانکهای داده غیردولتی) به «پلیس فتا» سپرده شده و مسئولیت حوادث و حملات سایبری بخشهای غیرحساس دولتی نیز بر عهده وزارت ارتباطات و «مرکز ماهر» قرار دارد.»
راهکار چیست؟
بحث نشر اطلاعات در کل دنیا وجود دارد و نشر اطلاعات از سوی هکرها موضوع تازه ای نیست اما آن چه کشور ما را از دیگر کشورها متفاوت می کند ، بحث اهمیت ندادن به امنیت اطلاعات کاربران است. به عنوان مثال شرکت فیس بوک وقتی اطلاعات کاربرانش منتشر می شود نه تنها سریع اطلاع رسانی، بلکه برای رفع مشکل به صورت ضرب الاجل اقدام می کند. به عنوان مثال رمز کاربران را تغییر می دهد و به اطلاع کاربران می رساند. آن ها همچنین به کسب و کارها اعلام می کنند که ما از این ناحیه دچار زیان شده ایم و شما حواس تان باشد. اما متاسفانه به گفته برخی کارشناسان این بخش در کشور ما مغفول مانده است و شرکت ها مسئولیت پذیر نیستند.امید توکلی کارشناس طراح و راهبر امنیت راهکارهای فناوری اطلاعات هم بر این باور است تا زمانی که نهادهای حاکمیتی متولی امنیت فضای مجازی از ابزارهای قانونی خود برای صیانت از حریم خصوصی مردم به درستی استفاده نکنند، این شرکت ها همچنان بر افزایش سطح خدمات شامل تعداد سفرها و ثبت رکوردهای مختلف در رقابت با یکدیگر، متمرکز می شوند.
امنیت به عهده ناظران خارج از شرکت
پور ابراهیمی کارشناس امنیت نیز در گفت و گویی با ایران اعلام کرده است که وقتی نرم افزار یا سیستمی را ارائه می دهیم نباید نظارت بر امنیت آن برعهده همان شرکت باشد و باید شرکت ها نظارت بر امنیت را به ناظران خارج از شرکت بسپارند تا بتوانند نقاط ضعف را شناسایی کنند و اقدام های لازم را انجام دهند.
ورود مدعی العموم
میلاد نوری دیگر کارشناس امنیت هم در گفت و گو با ایران معتقد است : باید مدعی العموم وارد عمل شود و از شرکت ها به دلیل رعایت نکردن حفظ حریم خصوصی و امنیت و خسارت وارد شده به کاربران شکایت کند.