زندگی در حباب شیشهای
سریال هک انواع پلتفرمهای دولتی و خصوصی اینبار با هک سرورهای اسنپفود دنبال شده و دادههای بیش از ۲۰ میلیون کاربر این سرویس در معرض افشای عمومی قرار گرفته است. این نخستین باری نیست که میلیونها رکورد از جزئیترین فعالیتهای مردم به واسطه نشت اطلاعات پلتفرمها در دسترس عموم قرار میگیرد؛ اما به نظر میرسد حریم خصوصی اکنون کم ارزشتر از آن است که کسی فکری به حال این ماجرا بکند یا جوابگوی چنین رخدادهایی باشد. شاید باورش سخت باشد، ولی حالا دیگر با تکرار سناریوی نشت اطلاعات سرویسی که روزانه مورد استفاده میلیونها نفر قرار میگیرد، به سادگی میتوان به جزئیترین رفتارهای افراد و کسبوکارهای طرف قرارداد با این پلتفرمها پی برد.
اکنون با یک جستوجوی ساده و تلاشی نه چندان زیاد میتوان دریافت که یک کاربر خاص کجا زندگی میکند؛ به چه مقصدهایی سفر میکند؛ چه میخورد؛ گوشی موبایلش از چه برندی است و… حالا حتی میتوان دریافت که رستوران سر کوچه که از وضعیت کاسبی خود گلایه دارد و معتقد است فروشش آنطور که میگویند خوب نیست، دقیقا چه میزان درآمد دارد و چه میزان از این درآمد را بابت کمیسیون فروش پرداخت میکند. چند ماه پیش که تپسی قربانی یک گروه هکری شد، رقیبش اسنپ با مانور رسانهای از تلاشهای جدی خود برای اعطای جوایز به هکرهای کلاه سفید خبر داد تا آسیبپذیریهای امنیتی این پلتفرم را کشف و گزارش کنند. اما حالا به نظر میرسد هیچکس در امان نیست و مفهوم امنیت مجازی مبهم از هر زمان دیگری مینماید.
۳۰هزار دلار در ازای دادههای اسنپفود
در ساعات پایانی روز شنبه، کانال تلگرامی متعلق به یک گروه هکری، با انتشار یک پست از هک پلتفرم اسنپفود خبر داد. طبق آنچه هکرها اظهار کردند، به موجب این عملیات توانستهاند به اطلاعات بیش از ۲۰ میلیون کاربر شامل نام کاربری، پسورد، ایمیل، نام و نام خانوادگی، شماره موبایل، تاریخ تولد و…، اطلاعات بیش از ۵۱ میلیون آدرس کاربر شامل موقعیتGPS، آدرس کامل، شماره تلفن و… اطلاعات بیش از ۱۸۰ میلیون دستگاه همراه شامل: نوع و مدل دستگاه، پلتفرم، توکن، فروشگاه نصب برنامه و… دست پیدا کنند. طبق ادعای هکرها اطلاعات نشت یافته از پلتفرم اسنپفود محدود به این موارد نیست و حالا حتی اطلاعات بیش از ۳۵هزار پیک این سرویس، اطلاعات بیش از ۳۶۰ میلیون سفارش، اطلاعات بیش از ۶۰۰ هزار پرداخت سفارش، اطلاعات بیش از ۱۶۰ میلیون سفر انجام شده توسط پیکها، اطلاعات بیش از ۲۴۰ هزار رستوران و کافههای طرف قرارداد با اسنپفود و… نیز در دادههای نشت یافته قابل دستیابی است. هکرها برای اثبات ادعای خود فایلی از این دادهها را به عنوان نمونه منتشر کردند و در ادامه از به فروش گذاشتن این اطلاعات با قیمت ۳۰هزار دلار خبر دادند.
از همان ساعات ابتدایی، این خبر با بازنشر گسترده در فضای مجازی مواجه و به داغترین سوژه روز تبدیل شد؛ تا جایی که دیگر جایی برای انکار باقی نمانده بود و اسنپفود با انتشار اطلاعیهای، هک شدن پلتفرم خود را تایید کرد. اسنپفود در بیانیه خود مسوولیت این اتفاق را پذیرفت و از همکاری با پلیس فتا برای کشف ابعاد این رخداد خبر داد. در اطلاعیهای که اسنپفود منتشر کرد آمده است: «پیرو هک و اقدام به فروش مستقیم بخشی از اطلاعات کاربران اسنپفود، به اطلاع میرسانیم که شرکت اسنپفود در قدم اول در همکاری با پلیس فتا در حال شناسایی و رفع منبع آلودگی ناشی از اقدام این گروه هکری است. شرکت اسنپفود مسوولیت این اتفاق را میپذیرد و حتما بررسی دقیقی در مورد دلایل وقوع آن انجام خواهد داد. این گروه هکری پیش از مذاکره با اسنپفود اقدام به فروش اطلاعات کرده است و این شرکت حداکثر تلاش خود را برای جلوگیری از انتشار دادههای کاربران، از طریق مذاکره با این گروه هکری خواهد کرد.» در ادامه این بیانیه آمده است: «کلیه اطلاعات پرداخت بانکی کاربران، اعم از اطلاعات مربوط به کد امنیتی کارت (CVV۲)، رمز عبور و تاریخ انقضا در امنیت کامل قرار دارد و این اطلاعات مطابق مقررات بانک مرکزی در هیچ یک از پلتفرمها ذخیره نمیشود. متعاقبا اطلاعات تکمیلی در این مورد را منتشر خواهیم کرد.»
در ادامه انتشار این بیانیه، «ایسنا» نیز اظهاراتی را از مدیرعامل اسنپ نقل کرد که در آن بر تحت کنترل بودن شرایط تاکید شده بود. محمد خلج، مدیرعامل گروه اسنپ در اظهارات اولیه خود در واکنش به ماجرا، اظهار کرده بود: «در حال تلاش برای رفع مشکل پیش آمده هستیم و با صدور اطلاعیهای توسط اسنپفود در این ارتباط، تمرکز خود را برای رفع این مشکل گذاشتهایم و بعد از انجام بررسیهای بیشتر میتوانیم اطلاعات دقیقتری درباره هک انجام شده منتشر کنیم. هنوز بهطور دقیق نمیتوان درباره داخلی یا خارجی بودن هکرها اظهارنظر کرد و این موضوع در دست بررسی است.»
اظهارات ضد و نقیض هکرها و پلیس فتا
در ساعاتی پس از این رخداد خبر رسید که پلیس فتا در دفتر اسنپفود مستقر شده و به دقت درحال پیگیری ابعاد حادثه است. طبق آنچه در خبرگزاری فارس منتشر شد، معاون فرهنگی اجتماعی پلیس فتا فراجا در تشریح خبر دسترسی غیرمجاز به اطلاعات اشتراک کاربران شرکت اسنپفود اظهار کرده است: باید به اطلاع هموطنان عزیز و به خصوص کاربران این شرکت برسانم که در حال حاضر تیم فنی پلیس فتا در شرکت مذکور مستقر است و در حال انجام بررسیهای فنی و تخصصی است.
رامین پاشایی در ادامه صحبتهای خود تصریح کرده است: شرکت مذکور توسط کارشناسان این پلیس در سال جاری چندین نوبت مورد ارزیابی و توجیه فنی لازم قرار گرفته و چنانچه در بررسیها مشخص شود که در رسیدگی به موضوعات مطرح شده اهمال و سهلانگاری شده، موضوع برای پیگیری به مراجع قانونی ارجاع و نتایج منعکس خواهد شد. او اظهارنظر بیشتر درباره ماجرا را منوط به بررسیهای بعدی کرده و گفته است: به محض کسب اطلاعات دقیقتر و مشخص شدن ابعاد جدید از این دسترسی غیرمجاز، متعاقبا اطلاعرسانی به هموطنان انجام میشود.»
گروه هکری فعلی که توانسته به اطلاعات کاربران اسنپفود دست پیدا کند، همان گروهی است که چند ماه پیش، اقدام به هک سرورهای تپسی و انتشار بخشی از دادههای آن در فضای مجازی کرده بود. در خبری که به تاریخ ۱۱ شهریور ماه امسال در خبرگزاری مهر منتشر شده بود، معاون اجتماعی پلیس فتا در اظهارات خود تاکید کرده بود که هویت گروه هکری که مرتکب این حمله شده مشخص است و در ادامه نیز تاکید شده بود که در پی شکایت تپسی از این گروه هکری، اقدامات قضایی انجام شده و منبع آلودگی برطرف شده است و جای نگرانی وجود ندارد.
درحالی که در آن زمان از تحت کنترل بودن شرایط خبر داده شد، حالا همان گروه هکری مجددا دست به کار شده و اینبار پلتفرم اسنپفود را هدف حمله قرار داده تا نشان دهد وضعیت امنیت پلتفرمها در کشور بر خلاف آنچه ادعا میشود، شکنندهتر از این حرفهاست. این گروه حتی پس از انتشار خبر اولیه هک اسنپفود در کانال تلگرامی خود، با بازنشر گفتوگوی معاون اجتماعی پلیس فتا با خبرگزاری مهر که از مشخص بودن هویت هکرها صحبت کرده بود، با طعنه از تلاشهای پلیس فتا تشکر کرد. این گروه هکری در ادامه نیز تیمهای امنیت پلتفرمها را مخاطب قرار داد و از رویکرد آنها در تقلیل بحث امنیت به تعریف جایزه برای کشف باگ (هانت) انتقاد کرد.
بر اساس آنچه در فضای مجازی پیرامون جزئیات این هک منتشر شد، گفته میشود که هکرها از تجربه مذاکره با تپسی، امیدی به ثمربخش بودن تعامل با شرکتهای هک شده نداشتهاند و به همین دلیل دادهها را مستقیما به فروش گذاشتهاند. با اینحال تیم اسنپفود در واکنشهای ابتدایی خود به ماجرا تاکید کرد: «حداکثر تلاش خود را برای جلوگیری از انتشار دادههای کاربران به کار خواهد گرفت و وارد مذاکره با هکرها خواهد شد.»
دیگر هیچ چیز خصوصی نیست
یکی از موضوعاتی که همان چند ماه پیش و در ماجرای هک و نشت اطلاعات کاربران تاکسی اینترنتی تپسی مورد توجه قرار گرفت، تبعاتی بود که عمومی شدن این اطلاعات میتواند برای حریم خصوصی کاربران ایجاد کند. اگرچه از همان زمان تپسی انتشار جزئیات بیشتر درباره گستردگی دامنه دادههای نشت داده شده را به آینده نزدیک موکول کرد، اما هیچگاه گزارشی منتشر نشد تا کاربران متوجه شوند دقیقا چه اطلاعاتی از آنها در دسترس عموم قرار گرفته و این دادههای نشت پیدا کرده، کدام بخش از حریم خصوصی آنها را ممکن است متاثر کنند. با اینحال در همان زمان کارشناسان امنیت اطلاعات به صورت پراکنده و حسب اطلاعاتی که از نمونه دادههای منتشر شده به دست آوردند، به تشریح ابعاد نقض حریم خصوصی رخ داده طی آن حمله پرداختند. در همان زمان تاکید شد که از جزئیات دادههای نشت یافته از تپسی میتوان به الگوی سفرهای افراد، محل زندگی و کار، جزئیاتی از برند و مدل گوشی موبایلی که استفاده میکنند و… دست پیدا کرد.
حالا و در پرده جدیدی از هک اطلاعات کاربران که اینبار با نشت اطلاعات سرورهای اسنپفود محقق شده، جزئیات تازهای از سبک زندگی افراد در معرض دسترسی عموم قرار گرفته است؛ اینکه چه میخورند، چه زمانی میخورند، چقدر هزینه میکنند و… شاید در نگاه اول این اطلاعات بیاهمیت به نظر برسند؛ اما با کنار هم قرار دادن این اطلاعات با دادههایی که پیشتر از پلتفرمهای مختلف اعم از تاکسی اینترنتی، بانک، اپراتورهای تلفن همراه، شهرداری و مراکز دولتی نشت پیدا کرده بود به سادگی میتوان الگوی کاملی از زندگی و رفتارهای اجتماعی افراد ترسیم کرد.
گذشته از تبعات این ماجرا برای حریم خصوصی افراد، حالا حریم خصوصی شرکتها نیز آسیبپذیر به نظر میرسد و با افشای اسرار بازار این کسبوکارهای اینترنتی، فعالیت اقتصادی بیش از پیش با چالشهای رقابتی همراه خواهد بود. اکنون اطلاعات رستورانها و کافههای طرف همکاری با اسنپفود، درصد کمیسیون پرداختی آنها و میزان فروش و سفارشهایی که روزانه برای عرضه آماده میکنند، قابل مشاهده است و این دادهها میتوانند از سوی رقبا مورد تحلیل و بهرهبرداری قرار بگیرند. جزئیاتی که از رستورانها در فضای عمومی منتشر شده به حدی کامل است که یکی از کاربران این موضوع را دستمایه طنز قرار داد و در حساب کاربری خود نوشت: «به صورت اتفاقی متوجه شدم که اطلاعات فروش رستوران سر کوچه ما نیز در دادههایی که به صورت نمونه در معرض دید عموم قرار گرفته موجود است و برخلاف تصور فروش زیادی دارد!»
یکی از هکرهای کلاهسفید در پستی که در شبکههای اجتماعی منتشر کرده بود، به جوایز تعریف شده از سوی اسنپ برای گزارش کشف آسیبپذیری اشاره کرد و گفت: چنانچه هکر این آسیبپذیری را به اسنپ گزارش میکرد، تنها هفت و نیم میلیون تومان جایزه دریافت میکرد و همین مبالغ کم باعث شده باگهانترها بیش از هر زمان دیگری نسبت به کشف آسیبپذیری پلتفرمهای داخلی بیمیل شوند. گذشته از بیاهمیت بودن حریم خصوصی کاربران برای پلتفرمها، آنچه بیش از همه جای تامل دارد، بیتوجهی کاربران به ابعاد مختلف نشت این اطلاعات برای حریم خصوصیشان است. بهطوری که حالا و بیش از آنکه کسی دنبال چرایی تکرار چنین حملاتی باشد، کاربران مشغول ساخت طنز از ماجرا و طرح این سوال هستند که «حدس بزن من غذا چی سفارش دادم؟»
آنطور که از اظهارات کارشناسان در شبکههای اجتماعی برمیآید، گویا هکرها از مدتها پیش مشغول استخراج اطلاعات از پایگاههای داده این پلتفرم بودهاند و تیم امنیت اسنپفود حتی متوجه هم نشدهاند. حالا و تا زمان نگارش این گزارش، گفته میشود که گویا این شرکت هنوز نتوانسته است نقطه آسیبپذیری مشخصی را که به انجام این حمله ختم شده شناسایی کند.