این چندمین باری است که این داستان رخ می‌دهد؛ ماجرای تکراری هک‌ها که هربار نام یکی از سکو‌ها را نشانه می‌رود و این وسط اطلاعات کاربران است که دستخوش مخاطرات بسیاری خواهد شد.

یکشنبه بود که بسیاری از مشتریان اسنپ فود با شنیدن خبر هک این سکوی داخلی متعجب شدند و بسیاری نیز منتظر بودند تا تکذیب این موضوع را شاهد باشند، اما با گذشت دقایقی اسنپ فود با انتشار بیانیه‌ای رسما این خبر را تایید کرد.

با هکر‌ها مذاکره خواهیم کرد!

در بیانیه این سکو که در ساعت ۱۰ صبح منتشر شد،   آمده بود: «پیرو هک و اقدام به فروش مستقیم بخشی از اطلاعات کاربران اسنپ‌فود به اطلاع می‌رسانیم که شرکت اسنپ‌فود در قدم اول در همکاری با پلیس فتا در حال شناسایی و رفع منبع آلودگی ناشی از اقدام این گروه هکری است.  

شرکت اسنپ‌فود مسئولیت این اتفاق را می‌پذیرد و حتما بررسی دقیقی در مورد دلایل وقوع آن انجام خواهد داد.

گفتنی است این گروه هکری پیش از مذاکره با اسنپ‌فود اقدام به فروش اطلاعات کرده است و شرکت اسنپ‌فود حداکثر تلاش خود را برای جلوگیری از انتشار داده‌های کاربران، از طریق مذاکره با این گروه هکری، خواهد کرد.

لازم به ذکر است که کلیه‌ اطلاعات پرداخت بانکی کاربران، اعم از اطلاعات مربوط به کد امنیتی کارت (CCV)، رمز عبور و تاریخ انقضا، در امنیت کامل قرار دارد و این اطلاعات مطابق مقررات بانک مرکزی در هیچ یک از پلتفرم‌ها ذخیره نمی‌شود.

سرهنگ رامین پاشایی، معاون فرهنگی اجتماعی پلیس فتا گفت: باید به اطلاع هم‌وطنان عزیز و به خصوص کاربران این شرکت برسانم که در حال حاضر تیم فنی پلیس فتا در شرکت مذکور مستقر است و در حال انجام بررسی‌های فنی و تخصصی است.

پاشایی بیان کرد: بر اساس تحقیقات صورت گرفته شرکت اسنپ‌فود همچنان در حال ارائه خدمات به کاربران خود است.

معاون فرهنگی اجتماعی پلیس فتا فراجا تصریح کرد: با توجه به اینکه شرکت مذکور توسط کارشناسان این پلیس در سال جاری چندین نوبت مورد ارزیابی و توجیه فنی لازم قرار گرفته‌اند، در صورت مشاهده هرگونه اهمال و سهل‌انگاری موضوع برای پیگیری به مراجع قانونی منعکس خواهد شد.

سرهنگ پاشایی خاطرنشان کرد: به محض کسب اطلاعات دقیق‌تر و مشخص شدن ابعاد جدید از این دسترسی غیرمجاز، متعاقبا اطلاع‌رسانی به هموطنان انجام می‌شود.

مذاکره جواب نمی‌دهد؛ مستقیم اطلاعات را می‌فروشیم!

گروهی که دست به این اقدام زده است، یک تیم هکری به نام  «IRLeaks» است که پیشتر نیز اطلاعات تپسی را هک کرده بود. موضوعی که مدیرعامل تپسی درباره آن گفته بود: «هکر‌ها با دسترسی به اطلاعات کاربران، قصد اخاذی دارند و به همین دلیل تپسی با آن‌ها همکاری نمی‌کند. گفته شده هکر‌ها پس از شکست در مذاکرات با تپسی، برای فروش اطلاعات کاربران تپسی ۳۵ هزار دلار درخواست کرده بودند.»

حالا، اما این گروه هکری بعد از شکست در مذاکره با مدیرعامل تپسی این بار رویکرد متفاوتی را مد نظر قرار داده بودند و اعلام کردند: «پس از ماجرای تپسی تصمیم گرفتیم با هیچ شرکتی در آینده مذاکره نکنیم!»

فروشی به مبلغ ۳۰ هزار دلار؛ آن هم با تخفیف ۵ هزار دلاری نسبت به ماجرای تپسی!

بعد از موضوعات بود که پستی در فضای مجازی دست به دست شد با این عنوان «sold out»؛ در تشریح این خبر هم آمده بود که ظاهراً رایزنی جواب نداده و هکر‌ها اطلاعات سرقت شده را به مبلغ ۳۰ هزار دلار در دارک وب به فروش گذاشتند و توسط فردی ناشناس خریداری شده است.  

موضوعی که البته بعدتر در پست این گروه تلویحا تکذیب شد و آمده بود  «پیرو مذاکراتی که با تیم اسنپ‌فود داشتیم، دیتای این مجموعه به هیچکس فروخته نشده و نخواهد شد. تیم مدیریت اسنپ‌فود با رفتار حرفه‌ای نشان دادند اطلاعات مردم و آبروی برند براشون از هرچیزی ارزشمندتر است.»

این گروه درباره پستی که در شبکه‌های اجتماعی در حال نشر است هم نوشته: «قضیه Sold Out در یکی از فروم‌ها این بود که با توجه به قطعی نبودن خروجی مذاکره برای تیم ما، تصمیم گرفتیم موقت بنویسیم «فروخته شد»؛ اما حالا پس از کسب اطمینان از اسنپ‌فود، پست را به طور کامل پاک کردیم.»

آیا امضای هکر‌ها تضمین خواهد بود؟

حالا بماند که مذاکره با یک گروه هکری و قول و قرارهایشان تا چه حد می‌تواند تضمین باشد و  تکلیف اطلاعات حدود ۲۰ میلیون کاربر این سکو چه خواهد شد؟

اطلاعاتی شامل آدرس دریافتی؛ تلفن دریافتی، شهر، مدت زمان دریافت، نام و نام خانوادگی، مشخصات فروشگاه یا رستوران، قیمت محصول منجر شده باشد. هکر‌ها می‌گویند موارد دیگری از جمله داده‌های ۳۵ هزار نفر که در قالب پیک‌موتوری با اسنپ‌فود همکاری می‌کنند را در اختیار دارند.

هک شدن اسنپ‌فود وقتی نگران‌کننده‌تر می‌شود که بدانیم گروه IRLeaks مدعی است اطلاعات بیش از ۶۰۰ هزار پرداخت، شامل نام کامل صاحب کارت، نام کامل مشتری، شماره تماس، شماره کارت، نام بانک و... را نیز در اختیار دارد.

آیا پای خطای عمدی نیروی انسانی در میان است؟

«محمد جواد آذری جهرمی» وزیر سابق ارتباطات و فناوری اطلاعات در این باره به ما گفت: حفاظت از داده‌های کاربران جزء وظایف دولت محسوب نمی‌شود و هر کسب و کاری وظیفه اش این است که زیر ساخت‌های خود را تقویت کند و از داده‌های مشتریانش حفاظت کند. در حوزه حفاظت کسب و کار‌ها از داده‌های مشتریان پلیس فتا مسئولیت دارد و طبعا اینگونه است که هشدار‌هایی درباره رعایت امنیت کسب و کار‌ها ارائه می‌دهند. شرکت‌ها باید مسئولیت پذیر باشند و بدانند که داده‌های مشتریان به عنوان یک ثروت بزرگ ابتدا برای خودشان محسوب می‌شود، جدا از اینکه باید به مشتری احترام بگذارند طبعا باید به این موضوع توجه بیشتری داشته باشند و سرمایه گذاری بیشتر بر موضوع امنیتی داشته باشند. اتفاقات رخ داده در مدت اخیر و زنجیره عدم وجود امنیت در این زیرساخت‌ها نشان می‌دهد که امنیت در این حوزه وجود ندارد. البته معتقدم که بخش مهمی از این رخداد‌ها از نارضایتی نیرو‌های انسانی نشات می‌گیرد؛ حال خطای عمدی و یا سهوی باعث می‌شود که این رخداد‌ها ایجاد شود و باید یک نگاه کامل و جامع در زمینه امنیت وجود داشته باشد وگرنه در ابتدا ارزش‌های خود را از دست می‌دهند.

وی ادامه داد: خوب است که حکمرانی به جای ارائه تشویقات تنبیهاتی را هم برا‌ی این مجموعه‌ها در نظر بگیرد. یعنی اگر مجموعه‌ای بی دقتی کرد و دیتایش را از دست داد و مقصر بود با جریمه‌هایی رو به رو شود که باعث شود پرداخت به موضوع امنیت از نظر اقتصادی برای این نرم افزار‌ها مهم باشد و در این حوزه‌ها سرمایه گذاری داشته باشند و از داده‌های خود حفاظت کنند.

سازمان پدافند غیرعامل و شورای عالی فضای مجازی؛ لطفا پاسخگو باشید!

روح الله مومن نسب کارشناس فضای مجازی نیز در این باره گفته است: ما عقب افتادگی زیادی در حوزه زیر ساخت‌ها، تجهیزات و در حوزه مخابراتی داریم. بسیاری از تجهیزات مخابراتی ما بعضا قدیمی بوده و یا استاندارد نبودند و همین موارد هم باعث شده است که در بحث امنیت در لایه‌های فنی مشکل ایجاد شود. نکته بعدی هم این است که شبکه اطلاعات در هر هفت لایه مخابراتی متاسفانه ایجاد نشده است و همین مساله هم باعث شده است که امنیت اطلاعات در کشور ما به شدت بالا رود و بار این موضوع هم بر روی دوش شرکت‌های خصوصی افتاده شود؛ مانند زمانی که جاده‌های کشور توسط وزارت راه خوب ساخته نشود و بار بد بودن جاده بر روی دوش شرکت‌هایی که خودرو تولید می‌کنند بیفتد.

وی ادامه داد: در حوزه فضای مجازی هم به همین صورت است و زیر ساخت‌ها باید جلوی انواع و اقسام عملیات‌های هک را بگیرد یا اینکه امکان تشخیص به موقع عملیات‌های هک و اقدمات ضد امنیتی در فضای مجازی را بتواند انجام دهد، اما این زیرساخت‌های امروز کشور ما این اجازه را به ما نمی‌دهد و ما در کشورمان به یک تحول زیر ساختی نیاز داریم که این تحول مهمترین ابعادش در موضوع امنیت نمود می‌یابد؛ متاسفانه الان اراده کافی برای این امر دیده نمی‌شود اگرچه که تلاش‌هایی در دست انجام است، اما ما هنوز هم وابستگی حدود صد درصدی در حوزه سخت افزار‌های خارجی در کشور داریم و سخت افزار‌های خارجی برخی از شرکت‌های معتبر نیز گارانتی‌های مخصوصش در اختیار ما قرار داده نمی‌شود و بعضا از سخت افزار‌های خارجی دستگاه‌های قدیمی و نا امن و غیر استاندارد استفاده میشود که در هر حالت اگر همین هزینه برای تولید و تامین سخت افزار‌های قوی‌تر انجام شود قطعا وضعیت بهتری در کشور ما نمود پیدا نمی‌کند.

مومن نسب در پایان گفت: به طور کل ما متاسفانه استاندارد‌های امنیتی دقیقی یا نداریم و یا در اعمال این استاندار‌دها دچار مشکل هستیم که در هر دو مورد سازمان پدافند غیر عامل و شورای عالی فضای مجازی باید پاسخگو باشند که چرا استاندارد گذاری نکردند و زیرساخت‌های شبکه ملی اطلاعات را به نحوی فراهم نکردند که حداقل شرکت‌های داخلی صرفا نگران مشکلات داخلی خود باشند نه مشکلاتی که در زیرساخت برایشان ایجاد می‌شود. هرکدام از این مشکلات می‌تواند  شرکتی را نابود کند. درست مانند آتش گرفتن یک پاساژ همین قدر می‌تواند به آن شرکت خسارت بزند که جبران ناپذیر است.

و حکایت قانونی که هنوز وجود ندارد 

سرهنگ مهرداد امیدی نیز درباره قوانین کشورمان در زمینه مقابله با هک بیان کرد: در کشور قوانین کافی و مناسبی در حوزه جرایم رایانه‌ای داریم همچنین که این جرایم به نوعی در قانون مجازات اسلامی تعریف شده اند و قضات دادگاه‌ها با استناد از این قوانین حکم صادر می‌کنند. اکثر افرادی که به وسیله اینترنت مورد سوء استفاده قرار گرفته اند به خاطر دلیل ناآگاهی از روند رسیدگی به جرایم اینترنتی در نیروی انتظامی کشور از شکایت علیه مجرمان منصرف شده اند.

وی ادامه داد: درخصوص فعالیت هکر‌ها و قفل شکن‌های شبکه در کشور در مقایسه با کشور‌های توسعه یافته و یا در حال توسعه باید گفت، با توجه به پایین بودن سطح فروش Online، تجارت الکترونیکی، بانکداری الکترونیکی و سرویس دهی در کشور مطمئنا فعالیت مجرمان اینترنتی هم در سطح پایینی است، ولی با گسترش این تکنولوژی در کشور در آینده‌ای نزدیک شاهد افزایش فعالیت این مجرمان به صورت گسترده و مخرب در سطح کشور خواهیم بود که باید برای آن یک برنامه ریزی مناسب و قوانین کافی داشته باشیم. در ایران به موجب قانون اساسی باید اجرای هرگونه مجازات برای افراد طبق قانون صورت پذیرد، ولی متاسفانه هم اکنون در کشور قانونی در زمینه هک و برخورد با هکر‌ها وجود ندارد که باید از نظر حقوقی برای برخورد با این افراد قوانین منسجمی تدوین شود.

وی اضافه کرد: بر این اساس، چون در کشور در حوزه هکر‌ها قانون مشخصی وجود ندارد، در نتیجه همگان تکلیفشان در برابر قانون روشن نیست و نمی‌توان به طور قاطع با افراد هک کننده سایت‌ها برخورد کرد، البته می‌توان به قوانین و عناوین حقوقی دیگری مانند حقوق مالکیت معنوی استناد کرد، اما این قوانین نمی‌توانند در زمینه اینترنت کافی باشند. با توجه به این که هنوز قوانین کشور ما در زمینه هکر‌ها کاملا مشخص نیست بیش از هر زمان دیگر، وجود قانون مناسب ضروری و الزامی به نظر می‌رسد چرا که تعداد هکر‌ها و اخلال در سایت‌های اینترنتی روز به روز در حال افزایش است و اگر مرجعی به آن‌ها رسیدگی نکنند، دیگر هیچ تضمینی جهت حفظ حریم شبکه‌ها و سایت‌های کامپیوتری وجود نخواهد داشت و متخلفان روزبه روز با آزادی عمل، فعالیت‌های تبهکارانه خود را گسترش می‌دهند.

در پایان باید گفت این روز‌ها که کشورمان در یک جنگ ترکیبی تمام عیار قرار دارد لزوم تفکرات پیشگیرانه همه جانبه و در تمام ابعاد وجود دارد؛ حال که دشمن در جنگ نظامی دست تسلیم خود را بالا برده قطعا در تلاش است تا از منظر‌های دیگری به مقابله با کشورمان بپردازد؛ موضوعی که لزوم هوشیاری هرچه بیشتر مسئولان کشورمان را می‌طلبد.

فاطمه تورانلو