تلکس فرهنگيان نيوز- تدبير shoghl.org: كاربران « اسنپ‌فود » به زودي هدف سارقان قرار مي‌گيرند
دوشنبه، 11 دی 1402 - 00:44     کد خبر: 36680
پرده‌برداري يك كارشناس IT از فاجعه‌اي كه در «اسنپ‌فود» رخ داده‌است/ فروش اطلاعات به يك پيامك تبليغاتي ساده ختم نمي‌شود!
ورود به شبكه مديران حرفه اي... https://t.me/hrmSupergroup سايت انجمن صنفي مديران ( مديريت ،اشتغال و ...)👈http://www.shoghl.org/:

ميلاد نوري، برنامه‌نويس و كارشناس IT در گفت و گو با خبرآنلاين از خطري كه كاربران ايراني را پس از هك اطلاعات آن‌ها در اسنپ‌فود تهديد مي‌كند پرده برداشت.

تينا مزدكي_ صبح امروز بود كه خبر آمد اسنپ‌فود هك شده‌است؛ ظاهرا هكرهايي كه پيش از اين اطلاعات كاربران «تپسي» را هك كرده بودند مدعي شدند كه اطلاعات بيش از ۲۰ ميليون كاربر پلتفرم سفارش غذاي آنلاين «اسنپ فود» را هك كرده‌اند.

اين هكرها در كانال تلگرامي خود اطلاعاتي كه هك شده را منتشر كرده‌اند كه شامل بيش از ۲۰ ميليون نام كاربري، پسورد، ايميل، نام و نام خانوادگي، شماره موبايل، ۵۱ ميليون موقعيت مكاني، آدرس كامل، شماره تلفن، اطلاعات بيش از ۱۶۰ ميلون سفر انجام شده توسط پيك، اطلاعات بيش از ۶۰۰ هزار پرداخت سفارش شامل نام مشتري، شماره كارت و … بود.
هكرها مذاكره نمي‌كنند؛ مستقيما اطلاعات را مي‌فروشند

اسنپ فود نيز پس از انتشار اين خبر بيانيه داد كه در آن ذكر شده بود:« شركت اسنپ‌فود مسئوليت اين اتفاق را مي‌پذيرد.» و همچنين گفته شده بود كه با هكرها مذاكره مي‌كنند؛ از طرفي هكرها اعلام كردند كه هك را به اسنپ فود اطلاع نداده‌اند و مستقيما اطلاعات را براي فروش گذاشته‌اند. علت اين موضوع را نيز تجربه مذاكره با تپسي بيان كرده‌اند و گفته‌اند:«پس از ماجراي تپسي تصميم گرفتيم با هيچ شركتي در آينده مذاكره نكنيم!» همچنين بنابر گزارشات آخرين نمونه اطلاعات نشت شده مربوط به تاريخ ۱۰ دسامبر ۲۰۲۳ است. اين موضوع احتمالا مي‌تواند حاكي از آن باشد كه اطلاعات حدود ۲۰ روز پيش از اسنپ فود استخراج شده است.

ميلاد نوري برنامه‌نويس و كارشناس IT با بيان اينكه گروه هكري كه اسنپ فود را هك كرده ادعا كرده است كه همان گروهي است كه تپسي را هك كرده بود و تپسي تاييد كرد كه ديتايي كه آن‌ها داده‌اند واقعي بوده است؛گفت:«اسنپ فود هنوز به طور مستقيم تاييد نكرده است كه ادعاي هكرها صحيح است ولي طبق سابقه‌اي كه گروه هكر داشته به احتمال زياد اين ادعا نيز درست است. اگر ادعا درست باشد طبق ديتا نمونه‌اي كه هكرها براي اثبات خود منتشر مي‌كنند، اطلاعات كاملي از كاربرها شامل دستگاه كاربر، پرداخت آن‌ها و همينطور پذيرنده‌ها يعني فروشگاهي كه از آن خريد شده، اسناد پرداخت و اطلاعات سفارش و در واقع اطلاعات كاملي كه در اسنپ فود درحال گردش بوده را شامل مي‌شود.»
با نشت اين شناسه كاربران ديگر ناشناس نيستند

او افزود:«قسمتي از اطلاعات كاربري، اطلاعات هويتي است كه خطرهاي خودش را دارد و بارها راجبش صحبت شده اما اتفاق مهمي كه در اين هك و به طور مشابه در هك تپسي رخ داد اين است كه شناسه دستگاه كاربران نيز در آن وجود دارد. براي مثال شناسه‌اي وجود دارد به نام اندرويد آي‌دي، از روي اين شناسه و با تطابق آن با ساير اطلاعات در موبايل و تبلت اندرويدي مي‌توان كاربر را رصد و فعاليت آن را شناسايي كرد؛ اگر شخص در سايت يا اپليكيشني به صورت ناشناس حضور پيدا كرده باشد و خبري را فقط خوانده باشد، اگر اندرويد آيدي او در سايت ذخيره شده باشد اكنون با فاش شدن اين اطلاعات و با تطابق آن با اطلاعات سايت ديگر، اين كاربر ديگر ناشناس نيست.»
استفاده از اطلاعات كاربران به پيامك‌هاي تبليغاتي ختم نمي‌شود

او با اشاره به اين موضوع كه در كنار هم قرار دادن اطلاعات عمق فاجعه را نشان مي‌دهد؛گفت:« الان ممكن است يك كاربر بگويد اطلاعات خريد من چه ارزش و اهميتي دارد اما زماني كه اين اطلاعات در دست خلافكار و سواستفاده‌گر بيافتد آن‌ها استفاده خودشان را ميكنند. براي مثال كسي كه سفارشات زيادي داشته است با يك چيدمان راحت مي‌توان متوجه شد كه چه ساعاتي در محل كار خود، منزل و يا هرجاي ديگري بوده است، بنابراين كسي كه بخواهد سرقت كند خيلي راحت الگو رفت و آمدي فرد را از اسنپ فود و يا تپسي پيدا مي‌كند. كنار هم قرار دادن اطلاعات است كه متاسفانه مي‌تواند به كلاهبرداري كمك كند.»
هيچ يك از اطلاعات حساس كاربران رمزنگاري نمي‌شود

او ادامه داد:«موضوعي كه وجود دارد اين است كه همه جاي دنيا قانون جلو اين تخلفات را مي‌گيرد، يك سري بايد و نبايد مي‌گذارد و كسب و كارها مجبورند براي اينكه روزي قانون با آن‌ها برخورد نكند آن‌ها را قبول كنند، خيلي از ما كاربران فكر مي‌كنيم كه در اسنپ و تپسي كارشناسان خبره‌اي وجود دارند و خب هستند اما هيچ يك از آن‌ها براي ديتا و اطلاعات حساس كاربران رمزنگاري انجام نداده‌اند. يعني اگر شما ديتا بيس را باز كنيد اندرويد ‌آي‌دي كاربران را مي‌بينيد.»

او با بيان اينكه يك رمزنگاري ساده مي‌توانست جلوي اين فاجعه را بگيرد و يا حتي كمترش كند، گفت:« چرا اين رمز نگاري صورت نگرفت؟ براي اين كه روزي كه ديتا بيس علي بابا، ايرانسل، تپسي و ... بيرون آمد، هيچ قانون و نهادي با آن‌ها برخورد نكرد. همان اندوريد ‌آي‌دي كه چند ماه پيش در تپسي فاش شد، همان اندوريد ‌آي‌دي، در اسنپ فود هم فاش شد و بدون رمزنگاري؛ يعني حتي از هك تپسي هم درس گرفته نشده، شما تصور كنيد كه كسب وكارها چقدر اطلاعات رمزنگاري نشده دارند.»

اگر اطلاعات شما لو رفته‌است اين اقدامات را انجام دهيد

اين متخصص در پاسخ به اين سوال كه چه كاري از دست كاربران بر مي‌آيد؛ گفت:«راه حل آن قانون است و وقتي قانون نبوده متاسفانه كاربر كاري نمي‌تواند بكند، چرا كه حجم زيادي از اطلاعاتش بيرون آمده است، اما يك سري چيزها مانند "اد آيدي" را بعد از چنين اتفاقاتي كاربران مي‌توانند ريست كنند، اما اين هم چيزي است كه خود اسنپ و تپسي و امثال آن بعد از هك بايد اطلاع رساني كنند و نمي‌كنند.»

او با اشاره به اين موضوع كه كاربران بايد بدانند كه از اين به بعد اگر تلفني داشتند كه فرد اطلاعات دقيقي از آن‌ها داشت فريب نخورند، گفت:«شما فكر كنيد كسي با شما تماس مي‌گيرد كه همه اطلاعات شما را دارد، خيلي راحت مي‌تواند شما را فريب دهد، او مي‌گويد بابت فلان سفارش فلان غذاي شش روز پيش از رستوران فلان با شما تماس گرفته و مي‌گويد شما برنده 500هزارتومان شده‌ايد، اين جا از دست كاربر كاري ساخته نيست، قانون بايد وجود داشته باشد تا جلوي اين اتفاقات را بگيرد، برخورد كند و زمان بگذرد تا اين اطلاعات به مرور از بين برود.»

او ادامه داد:«گاهي ايميل شما لو مي‌رود و آدرس ايميل خود را عوض مي‌كنيد، اما الان كارت ملي، شماره شناسنامه و اطلاعات شخصي فرد لو رفته؛ ما كه نمي‌توانيم اين اطلاعات را تغيير بدهيم، بنابراين خيلي زودتر بايد جلوي آن‌را مي‌گرفتند. بايد خود كاربران بتوانند اين اطلاعات را حذف كنند. شما در اكثر پلتفرم‌هاي خارجي مي‌بينيد كه كاربر هر زمان كه بخواهد ميتواند اطلاعات خودش را پاك كند. اين حذف اطلاعات باعث مي‌شود كه كاربري كه دو سال پيش از پلتفرم استفاده داشته و امروز ندارد نيز در اين نشت اطلاعات آسيب نبيند و اطلاعاتش فاش نشود. متاسفانه اين كسب و كارها با هدف ماركتينگي و نشان دادن تعداد كاربران زياد، جلوي اين حذف اطلاعات را مي‌گيرند.»
نقطه ضعف، قانون و اجراي آن است

او در پاسخ به اين سوال كه ضعف اصلي از كجاست گفت:«ضعف اصلي قانون و اجراي آن است، براي مثال شما مي‌بينيد كه پليس فتا بيانيه داده و طرف تپسي را گرفته است و گفته است كه جاي هيچ نگراني نيست. در صورتي كه پليس فتا بايد اگر قانوني نيست بيايد، مرتبط‌ترين قانون را پيدا كند و با آن مثلا تپسي كه دو بار مورد هك قرار گرفته را جريمه كند. تپسي از همان نقطه‌اي كه قبلا هك شده بود بازهم هك شد و دليل آن اين بود كه حتي يك ريال هم جريمه نشده بود.»
رفتار بعد از هك در ايران هيچ شباهتي با ديگر كشورها ندارد

او گفت:«در كشورهاي ديگر به وفور ميبينم و گاها رسانه‌ها هم مدعي مي‌شوند كه در همه كشورها هك وجود دارد اما رفتار بعد از هك كه در ايران انجام مي‌شود خيلي شبيه به رفتار بعد هك كشورهاي ديگر نيست. اما موارد ديگري مانند مهاجرت بسيار گسترده نيروي متخصص وجود دارد، اكثر نيروهاي متخصص يا مهاجرت كرده‌اند يا در داخل كشور به دليل شرايط اقتصادي با شركت‌هاي خارجي كار مي‌كنند كه درآمدشان به دلار باشد.»

او با بيان اين موضوع كه بعد از چند ماه و چند هفته كه از هك تپسي مي‌گذرد، هنوز تپسي در شبكه‌هاي اجتماعي و شبكه‌هاي رسمي خودش به كاربران اطلاع نداده كه هك شده است و فقط در اكانت شخصي مديرعامل اطلاع رساني كوچكي شكل گرفته است، گفت:«شركت بعد از اين كه هك مي‌شود غير از دادن بيانيه كه مي‌گويد مسئوليت را پذيرفته‌ايم بايد كاربر را از ديتاي منتشر شده و خطرات آن آگاه كند چراكه ممكن است خيلي از كاربران در نتيجه فاش شدن اين اطلاعات خطراتي در كمين داشته باشند كه خودشان مي‌دانند و ما بي‌خبر باشيم. ممكن است هركاربري نقطه آسيب پذيري خودش را بهتر بداند.»

او افزود:«براي مثال فيس بوك بعد از هك مي‌گويد ما همه پسوردهاي شمارا عوض مي‌كنيم، شما هم فلان اقدام را كنيد و فلان كار را انجام دهيد، شركت‌هاي ايراني به جاي اين‌ها فقط بيانيه مي‌دهند و بيانيه دادن بيشتر حالت نمايشي پيدا كرده است. خب مسئوليت چه چيزي را پذيرفته‌ايد وقتي تمام اطلاعات كاربر فاش شده است!»


برگشت به تلکس خبرها