ميلاد نوري، برنامهنويس و كارشناس IT در گفت و گو با خبرآنلاين از خطري كه كاربران ايراني را پس از هك اطلاعات آنها در اسنپفود تهديد ميكند پرده برداشت.
تينا مزدكي_ صبح امروز بود كه خبر آمد اسنپفود هك شدهاست؛ ظاهرا هكرهايي كه پيش از اين اطلاعات كاربران «تپسي» را هك كرده بودند مدعي شدند كه اطلاعات بيش از ۲۰ ميليون كاربر پلتفرم سفارش غذاي آنلاين «اسنپ فود» را هك كردهاند.
اين هكرها در كانال تلگرامي خود اطلاعاتي كه هك شده را منتشر كردهاند كه شامل بيش از ۲۰ ميليون نام كاربري، پسورد، ايميل، نام و نام خانوادگي، شماره موبايل، ۵۱ ميليون موقعيت مكاني، آدرس كامل، شماره تلفن، اطلاعات بيش از ۱۶۰ ميلون سفر انجام شده توسط پيك، اطلاعات بيش از ۶۰۰ هزار پرداخت سفارش شامل نام مشتري، شماره كارت و … بود.
هكرها مذاكره نميكنند؛ مستقيما اطلاعات را ميفروشند
اسنپ فود نيز پس از انتشار اين خبر بيانيه داد كه در آن ذكر شده بود:« شركت اسنپفود مسئوليت اين اتفاق را ميپذيرد.» و همچنين گفته شده بود كه با هكرها مذاكره ميكنند؛ از طرفي هكرها اعلام كردند كه هك را به اسنپ فود اطلاع ندادهاند و مستقيما اطلاعات را براي فروش گذاشتهاند. علت اين موضوع را نيز تجربه مذاكره با تپسي بيان كردهاند و گفتهاند:«پس از ماجراي تپسي تصميم گرفتيم با هيچ شركتي در آينده مذاكره نكنيم!» همچنين بنابر گزارشات آخرين نمونه اطلاعات نشت شده مربوط به تاريخ ۱۰ دسامبر ۲۰۲۳ است. اين موضوع احتمالا ميتواند حاكي از آن باشد كه اطلاعات حدود ۲۰ روز پيش از اسنپ فود استخراج شده است.
ميلاد نوري برنامهنويس و كارشناس IT با بيان اينكه گروه هكري كه اسنپ فود را هك كرده ادعا كرده است كه همان گروهي است كه تپسي را هك كرده بود و تپسي تاييد كرد كه ديتايي كه آنها دادهاند واقعي بوده است؛گفت:«اسنپ فود هنوز به طور مستقيم تاييد نكرده است كه ادعاي هكرها صحيح است ولي طبق سابقهاي كه گروه هكر داشته به احتمال زياد اين ادعا نيز درست است. اگر ادعا درست باشد طبق ديتا نمونهاي كه هكرها براي اثبات خود منتشر ميكنند، اطلاعات كاملي از كاربرها شامل دستگاه كاربر، پرداخت آنها و همينطور پذيرندهها يعني فروشگاهي كه از آن خريد شده، اسناد پرداخت و اطلاعات سفارش و در واقع اطلاعات كاملي كه در اسنپ فود درحال گردش بوده را شامل ميشود.»
با نشت اين شناسه كاربران ديگر ناشناس نيستند
او افزود:«قسمتي از اطلاعات كاربري، اطلاعات هويتي است كه خطرهاي خودش را دارد و بارها راجبش صحبت شده اما اتفاق مهمي كه در اين هك و به طور مشابه در هك تپسي رخ داد اين است كه شناسه دستگاه كاربران نيز در آن وجود دارد. براي مثال شناسهاي وجود دارد به نام اندرويد آيدي، از روي اين شناسه و با تطابق آن با ساير اطلاعات در موبايل و تبلت اندرويدي ميتوان كاربر را رصد و فعاليت آن را شناسايي كرد؛ اگر شخص در سايت يا اپليكيشني به صورت ناشناس حضور پيدا كرده باشد و خبري را فقط خوانده باشد، اگر اندرويد آيدي او در سايت ذخيره شده باشد اكنون با فاش شدن اين اطلاعات و با تطابق آن با اطلاعات سايت ديگر، اين كاربر ديگر ناشناس نيست.»
استفاده از اطلاعات كاربران به پيامكهاي تبليغاتي ختم نميشود
او با اشاره به اين موضوع كه در كنار هم قرار دادن اطلاعات عمق فاجعه را نشان ميدهد؛گفت:« الان ممكن است يك كاربر بگويد اطلاعات خريد من چه ارزش و اهميتي دارد اما زماني كه اين اطلاعات در دست خلافكار و سواستفادهگر بيافتد آنها استفاده خودشان را ميكنند. براي مثال كسي كه سفارشات زيادي داشته است با يك چيدمان راحت ميتوان متوجه شد كه چه ساعاتي در محل كار خود، منزل و يا هرجاي ديگري بوده است، بنابراين كسي كه بخواهد سرقت كند خيلي راحت الگو رفت و آمدي فرد را از اسنپ فود و يا تپسي پيدا ميكند. كنار هم قرار دادن اطلاعات است كه متاسفانه ميتواند به كلاهبرداري كمك كند.»
هيچ يك از اطلاعات حساس كاربران رمزنگاري نميشود
او ادامه داد:«موضوعي كه وجود دارد اين است كه همه جاي دنيا قانون جلو اين تخلفات را ميگيرد، يك سري بايد و نبايد ميگذارد و كسب و كارها مجبورند براي اينكه روزي قانون با آنها برخورد نكند آنها را قبول كنند، خيلي از ما كاربران فكر ميكنيم كه در اسنپ و تپسي كارشناسان خبرهاي وجود دارند و خب هستند اما هيچ يك از آنها براي ديتا و اطلاعات حساس كاربران رمزنگاري انجام ندادهاند. يعني اگر شما ديتا بيس را باز كنيد اندرويد آيدي كاربران را ميبينيد.»
او با بيان اينكه يك رمزنگاري ساده ميتوانست جلوي اين فاجعه را بگيرد و يا حتي كمترش كند، گفت:« چرا اين رمز نگاري صورت نگرفت؟ براي اين كه روزي كه ديتا بيس علي بابا، ايرانسل، تپسي و ... بيرون آمد، هيچ قانون و نهادي با آنها برخورد نكرد. همان اندوريد آيدي كه چند ماه پيش در تپسي فاش شد، همان اندوريد آيدي، در اسنپ فود هم فاش شد و بدون رمزنگاري؛ يعني حتي از هك تپسي هم درس گرفته نشده، شما تصور كنيد كه كسب وكارها چقدر اطلاعات رمزنگاري نشده دارند.»
اگر اطلاعات شما لو رفتهاست اين اقدامات را انجام دهيد
اين متخصص در پاسخ به اين سوال كه چه كاري از دست كاربران بر ميآيد؛ گفت:«راه حل آن قانون است و وقتي قانون نبوده متاسفانه كاربر كاري نميتواند بكند، چرا كه حجم زيادي از اطلاعاتش بيرون آمده است، اما يك سري چيزها مانند "اد آيدي" را بعد از چنين اتفاقاتي كاربران ميتوانند ريست كنند، اما اين هم چيزي است كه خود اسنپ و تپسي و امثال آن بعد از هك بايد اطلاع رساني كنند و نميكنند.»
او با اشاره به اين موضوع كه كاربران بايد بدانند كه از اين به بعد اگر تلفني داشتند كه فرد اطلاعات دقيقي از آنها داشت فريب نخورند، گفت:«شما فكر كنيد كسي با شما تماس ميگيرد كه همه اطلاعات شما را دارد، خيلي راحت ميتواند شما را فريب دهد، او ميگويد بابت فلان سفارش فلان غذاي شش روز پيش از رستوران فلان با شما تماس گرفته و ميگويد شما برنده 500هزارتومان شدهايد، اين جا از دست كاربر كاري ساخته نيست، قانون بايد وجود داشته باشد تا جلوي اين اتفاقات را بگيرد، برخورد كند و زمان بگذرد تا اين اطلاعات به مرور از بين برود.»
او ادامه داد:«گاهي ايميل شما لو ميرود و آدرس ايميل خود را عوض ميكنيد، اما الان كارت ملي، شماره شناسنامه و اطلاعات شخصي فرد لو رفته؛ ما كه نميتوانيم اين اطلاعات را تغيير بدهيم، بنابراين خيلي زودتر بايد جلوي آنرا ميگرفتند. بايد خود كاربران بتوانند اين اطلاعات را حذف كنند. شما در اكثر پلتفرمهاي خارجي ميبينيد كه كاربر هر زمان كه بخواهد ميتواند اطلاعات خودش را پاك كند. اين حذف اطلاعات باعث ميشود كه كاربري كه دو سال پيش از پلتفرم استفاده داشته و امروز ندارد نيز در اين نشت اطلاعات آسيب نبيند و اطلاعاتش فاش نشود. متاسفانه اين كسب و كارها با هدف ماركتينگي و نشان دادن تعداد كاربران زياد، جلوي اين حذف اطلاعات را ميگيرند.»
نقطه ضعف، قانون و اجراي آن است
او در پاسخ به اين سوال كه ضعف اصلي از كجاست گفت:«ضعف اصلي قانون و اجراي آن است، براي مثال شما ميبينيد كه پليس فتا بيانيه داده و طرف تپسي را گرفته است و گفته است كه جاي هيچ نگراني نيست. در صورتي كه پليس فتا بايد اگر قانوني نيست بيايد، مرتبطترين قانون را پيدا كند و با آن مثلا تپسي كه دو بار مورد هك قرار گرفته را جريمه كند. تپسي از همان نقطهاي كه قبلا هك شده بود بازهم هك شد و دليل آن اين بود كه حتي يك ريال هم جريمه نشده بود.»
رفتار بعد از هك در ايران هيچ شباهتي با ديگر كشورها ندارد
او گفت:«در كشورهاي ديگر به وفور ميبينم و گاها رسانهها هم مدعي ميشوند كه در همه كشورها هك وجود دارد اما رفتار بعد از هك كه در ايران انجام ميشود خيلي شبيه به رفتار بعد هك كشورهاي ديگر نيست. اما موارد ديگري مانند مهاجرت بسيار گسترده نيروي متخصص وجود دارد، اكثر نيروهاي متخصص يا مهاجرت كردهاند يا در داخل كشور به دليل شرايط اقتصادي با شركتهاي خارجي كار ميكنند كه درآمدشان به دلار باشد.»
او با بيان اين موضوع كه بعد از چند ماه و چند هفته كه از هك تپسي ميگذرد، هنوز تپسي در شبكههاي اجتماعي و شبكههاي رسمي خودش به كاربران اطلاع نداده كه هك شده است و فقط در اكانت شخصي مديرعامل اطلاع رساني كوچكي شكل گرفته است، گفت:«شركت بعد از اين كه هك ميشود غير از دادن بيانيه كه ميگويد مسئوليت را پذيرفتهايم بايد كاربر را از ديتاي منتشر شده و خطرات آن آگاه كند چراكه ممكن است خيلي از كاربران در نتيجه فاش شدن اين اطلاعات خطراتي در كمين داشته باشند كه خودشان ميدانند و ما بيخبر باشيم. ممكن است هركاربري نقطه آسيب پذيري خودش را بهتر بداند.»
او افزود:«براي مثال فيس بوك بعد از هك ميگويد ما همه پسوردهاي شمارا عوض ميكنيم، شما هم فلان اقدام را كنيد و فلان كار را انجام دهيد، شركتهاي ايراني به جاي اينها فقط بيانيه ميدهند و بيانيه دادن بيشتر حالت نمايشي پيدا كرده است. خب مسئوليت چه چيزي را پذيرفتهايد وقتي تمام اطلاعات كاربر فاش شده است!»