هك پشت هك

حوادث سايبري نظير اينكه طي ماه‌هاي گذشته نيز در كشور رخ داده حكايت از آن دارد كه نظام حكمراني داده، حفاظت از كاربران و امنيت سايبري در معناي كلي آن در كشور دچار ضعف‌هاي بي‌شماري است. اسنپ فود با تاييد هك شدن اطلاعاتش اعلام كرد كه اين شركت در همكاري با پليس فتا در حال شناسايي و رفع منبع آلودگي ناشي از اقدام اين گروه هكري است و مسووليت اين اتفاق را مي‌پذيرد و حتما بررسي دقيقي در مورد دلايل وقوع آن انجام خواهد داد.

يك گروه هكري با ارايه شواهدي به عنوان نمونه، ادعا كرد كه كل داده‌هاي اسنپ فود، شامل اطلاعات بيش از ۲۰ ميليون كاربر و ۸۸۰ ميليون سفارش را به دست آورده است. پس از اين موضوع اسنپ فود نسبت به اتفاق رخ داده واكنش نشان داد و در بيانيه‌اي اعلام كرد: «پيرو هك و اقدام به فروش مستقيم بخشي از اطلاعات كاربران اسنپ‌فود به اطلاع مي‌رسانيم كه شركت اسنپ‌فود در قدم اول در همكاري با پليس فتا در حال شناسايي و رفع منبع آلودگي ناشي از اقدام اين گروه هكري است. شركت اسنپ‌فود مسووليت اين اتفاق را مي‌پذيرد و حتما بررسي دقيقي در مورد دلايل وقوع آن انجام خواهد داد. اين گروه هكري پيش از مذاكره با اسنپ‌فود اقدام به فروش اطلاعات كرده است و شركت اسنپ‌فود حداكثر تلاش خود را براي جلوگيري از انتشار داده‌هاي كاربران، از طريق مذاكره با اين گروه هكري، خواهد كرد. اين شركت همچنين به كاربران خود اعلام كرد نگران اطلاعات بانكي‌شان نباشند؛ چراكه اطلاعات كارت بانكي آنها ذخيره نمي‌شود: «كليه اطلاعات پرداخت بانكي كاربران، اعم از اطلاعات مربوط به كد امنيتي كارت (CCV)، رمز عبور و تاريخ انقضا، در امنيت كامل قرار دارد و اين اطلاعات مطابق مقررات بانك مركزي در هيچ يك از پلتفرم‌ها ذخيره نمي‌شود.» همچنين در برخي خبرها به نقل از محمد خلج - مديرعامل گروه اسنپ- اعلام شده كه در حال تلاش براي رفع مشكل پيش آمده هستيم و با صدور اطلاعيه‌اي توسط اسنپ‌فود در اين ارتباط، تمركز خود را براي رفع اين مشكل گذاشته‌ايم و بعد از انجام بررسي‌هاي بيشتر مي‌توانيم اطلاعات دقيق‌تري درباره هك انجام شده منتشر كنيم. هنوز به‌طور دقيق نمي‌توان درباره داخلي يا خارجي بودن هكرها اظهارنظر كرد و اين موضوع در دست بررسي است. بر اين اساس تاكيد شده كه كليه اطلاعات پرداخت بانكي كاربران، اعم از اطلاعات مربوط به كد امنيتي كارت (CCV)، رمز عبور و تاريخ انقضا، در امنيت كامل قرار دارد و اين اطلاعات مطابق مقررات بانك مركزي در هيچ يك از پلتفرم‌ها ذخيره نمي‌شود و قرار شده به زودي و بعد از اطلاعات تكميلي جزييات دقيق‌تري از حادثه روي داده اطلاع‌رساني شود. با وجود اين، هكر ادعا كرده است بيش از ۲۰ ميليون كاربر شامل نام كاربري، پسورد، ايميل، نام و نام خانوادگي، شماره موبايل، تاريخ تولد و همچنين اطلاعات بيش از ۸۸۰ ميليون سفارش محصول را استخراج كرده‌اند. هكر به ديجياتو اعلام كرد كه هك را به اسنپ فود اطلاع نداده و مستقيما اطلاعات را براي فروش گذاشته است. علت؟ تجربه مذاكره با تپسي: «پس از ماجراي تپسي تصميم گرفتيم با هيچ شركتي در آينده مذاكره نكنيم.» آنطور كه بررسي نمونه‌ها نشان مي‌دهد، آخرين نمونه اطلاعات نشت شده مربوط به تاريخ ۱۰ دسامبر ۲۰۲۳ است. اين موضوع احتمالا مي‌تواند حاكي از آن باشد كه اطلاعات حدود ۲۰ روز پيش از اسنپ فود استخراج شده است.

استقرار پليس فتا در دفتر اسنپ‌فود

پس از انتشار اين خبر بود كه معاون فرهنگي - اجتماعي پليس فتا از استقرار تيم فني پليس فتا در دفتر اسنپ‌فود به‌دليل بررسي‌هاي فني و تخصصي آنچه كه در راستاي افشاي اطلاعات كاربران رخ داده است، خبر داد. سرهنگ رامين پاشايي، معاون فرهنگي - اجتماعي پليس فتا، با تأكيد بر اينكه شركت اسنپ‌فود در سال جاري بارها مورد ارزيابي و بررسي‌هاي فني قرار گرفته است، اعلام كرد كه در صورت مشاهده هرگونه سهل‌انگاري مديران، پيگيري‌هاي قانوني و قضايي به مراجع بالا ارجاع خواهد شد. پاشايي با توجه به اينكه اسنپ‌فود هم‌اكنون درحال ارايه خدمات به كاربران است، تأكيد كرد: «به‌محض كسب اطلاعات دقيق‌تر و مشخص‌شدن ابعاد جديد از دسترسي غيرمجاز و افشاي اطلاعاتي كه رخ داده است، اطلاع‌رساني‌هاي لازم را ارايه مي‌دهيم.» با توجه به اينكه در تابستان سال جاري، اين گروه هكري موفق به هك تپسي شده بود، پليس فتا از رفع منبع آلودگي و خاطرجمعي مردم خبر داده بود. اما درنهايت اطلاعات افشاشده از تپسي سرنوشت نامعلومي داشت. اطلاعات سرقت‌شده از تپسي خريداران خود را داشته است. پاشايي همچنين در واكنش به افشاي اطلاعات كاربران تپسي گفته بود: «متأسفانه رعايت موارد ايمني و حفظ اطلاعات كاربران در برخي از شركت‌ها و سازمان‌ها جدي گرفته نمي‌شود و اين قصور مسوولان و كارشناسان فني منجر به خدشه‌‌دارشدن امنيت كاربران شده است.» در سال جاري، كسب‌وكارهاي متعددي در معرض خطر و حمله گروه‌هاي هكري قرار گرفته‌اند. درخصوص حملات پي‌درپي هكرها به شركت‌هاي بزرگي ازجمله اسنپ، تپسي، شركت‌هاي بيمه‌اي كه اخيراً شاهد افشاي اطلاعات كاربران و در خطر بودن امنيت ميليون‌ها كاربر آنها بوده‌ايم، هيچ جزيياتي از چگونگي افشاي اطلاعات منتشر نشده است. تاكنون جزيياتي از چگونگي افشاي اطلاعات كاربران اسنپ‌فود منتشر نشده است.

حوادث سايبري نظير اينكه طي ماه‌هاي گذشته نيز در كشور رخ داده حكايت از آن دارد كه نظام حكمراني داده، حفاظت از كاربران و امنيت سايبري در معناي كلي آن در كشور دچار ضعف‌هاي بي‌شماري است. علي‌رغم اينكه لايحه حفاظت از داده چندين ماه است كه در دستور كار دولت قرار دارد و همزمان طرحي مشابه نيز در مجلس در حالي پيگيري است، به نظر مي‌رسد تعلل در نهايي و اجرا كردن چنين قوانيني كاربران را متضرر مي‌كند. از آن گذشته امنيت فضاي توليد و تبادل اطلاعات در كشور با ضعف‌هايي در پاسخگويي نيز مواجه است به‌طوريكه پس از وقوع چنين رخدادهايي واكنش درست و به موقع از سوي دستگاه متولي صورت نمي‌گيرد چنانچه در حادثه اخير «اسنپ فود» پس از گذشت چندين ساعت از اعلام هك شدن با صدور بيانيه‌اي تنها به پذيرفتن اين حادثه اكتفا كرد و جزييات دقيق‌تري را از اطلاعات به سرقت رفته به كاربرانش ارايه نداد، اين در حالي است كه چنين واكنش‌هايي دلسردي و بي‌اعتمادي بيشتري را براي كاربران به ارمغان مي‌آورد. لذا به نظر مي‌رسد متوليان امر بايد با صدور هر چه سريع‌تر قوانين مشخص و قاطع امنيت سايبري و حفاظت از داده كاربران، دستگاه‌ها و نهادهاي اجرايي را از يك سو و شركت‌هاي خصوصي و كسب و كارهاي ديجيتال را از سوي ديگر به ارتقاي امنيت زيرساخت‌ها و حفاظت امن داده‌هاي مردم ملزم كنند.