رسوایی شرکت‌های بزرگ در افشای اطلاعات کاربران

گروه دانش و فن|

2018 نیز مانند سال‌های دیگر، پر بود از تغییرات و تحولات در دنیای فناوری؛ اما یکی از ناخوشایندترین تحولات این سال، رشد چشمگیر رسوایی‌های مرتبط با داده‌های شخصی کاربران بود. در سال 2018 برخی از شرکت‌های بزرگ نتوانستند آنگونه که باید از اطلاعات کاربرانشان محافظت کنند و در این بین اطلاعات شخصی چند میلیون کاربر توسط این شرکت‌ها افشا شد .

سال ۲۰۱۸ سالی بود که به کاربران ثابت کرد نمی‌توانند با اطمینان کامل داده‌های شخصی‌شان را در اختیار دیگران قرار دهند. در این سال از غول‌های بزرگ فناوری گرفته تا دولت‌ها و حتی رستوران‌های زنجیره‌ای درگیر رسوایی‌های مرتبط با داده‌های شخصی کاربران بودند. در بهترین حالت، این شرکت‌ها برای حفظ امنیت داده‌های کاربران از آمادگی کامل برخوردار نبودند؛ در بدترین حالت نیز سازمان‌ها اجازه دادند تا داده‌های کاربران برای اثرگذاری در رویه‌های سیاسی و دموکراتیک استفاده شوند.

وقتی بحث رسوایی‌ها و انتشار داده‌های کاربران می‌شود، تنها نقطه امید در این سال به «قانون حفاظت از داده‌های عمومی»، که به‌اختصار GDPR نام دارد، مربوط می‌شود. این قانون که می‌توان آن را قانونی پیشرو برشمرد، مورد تصویب اتحادیه اروپا قرار گرفته و برای آن دسته از کاربرانی که تحت‌تاثیر انتشار غیرقانونی داده‌ها قرار گرفته‌اند حفاظت‌هایی را فراهم می‌کند.

به‌لطف GDPR، شرکت‌ها اکنون ملزم هستند تا انتشار ناخواسته داده‌های کاربران را اعلام کنند؛ در غیر این‌صورت، با جریمه‌های سنگینی مواجه خواهندشد. در عین حال، چنین قوانینی برای امریکایی‌ها وجود ندارد و این در حالی است که میزان حملات در فضای مجازی رو به افزایش است.

آن‌چه بیشتر مایه نگرانی می‌شود این است که رسوایی‌های اطلاعاتی که در مقالات از آنها یاد شده و مورد توجه قرار می‌گیرند صرفا به‌مثابه قطره‌ای از دریا هستند و گستره سوءاستفاده‌های انجام‌شده از داده‌های کاربران طی سال جاری را به‌تصویر نمی‌کشند. که در زمینه اخبار حملات سایبری فعالیت می‌کند، تنها در ۹ ماه ابتدایی سال ۲۰۱۸، بطور تخمینی ۳.۶۷۶ مورد تعرض به داده‌های کاربران صورت گرفته است. همین آمار هم ۲۰۱۸ را به رتبه دوم در رده‌بندی سال‌های پرخطر برای تعرض به داده‌های کاربران می‌رساند؛ در عین حال، آماری که برای انتهای سال گزارش می‌شوند یا علائمی از بهبود را نشان خواهند داد، یا اینکه از آمارهای ۹ ماهه نیز دردناک‌تر خواهند بود.

درز اطلاعات کاربران با فیس بوک

بدون شک رسوایی اطلاعاتی فیس بوک و کمبریج آنالیتیکا، بزرگ‌ترین رسوایی اطلاعاتی سال ۲۰۱۸ بود؛ هرچند ریشه این مشکل به سال‌ها پیش بازمی‌گردد. روز هفدهم مارس ۲۰۱۸ (۲۶ اسفند ۱۳۹۶)، دو نشریه گاردین و نیویورک تایمز خبر جمع‌آوری داده‌های کاربران فیس بوک توسط شرکت مشاوره سیاسی کمبریج آنالیتیکا را منتشر کرد. داده‌های دست‌کم ۸۷ میلیون نفر از کاربران فیس بوک بدون اطلاع آنها در اختیار کمبریج آنالیتیکا قرارگرفته بود. این داده‌ها که به‌واسطه استفاده از یک اپلیکیشن پرسش و پاسخ به دست آمده بود، توسط کمپین انتخاباتی دونالد ترامپ مورد استفاده قرار گرفته‌بود تا تبلیغات فیس بوکی خود را به‌گونه‌ای هدفمند در معرض دید گروه خاصی از کاربران قرار دهند.

مشکل اصلی این اپلیکیشن پرسش و پاسخ این بود که تعداد زیادی از این جمعیت ۸۷ میلیون نفری از آن استفاده نکرده بودند؛ درواقع در بهترین حالت حداکثر چندصدهزار نفر از این اپلیکیشن استفاده کرده‌بودند. این اپلیکیشن پرسش و پاسخ از روزنه‌ای در رابط برنامه‌نویسی فیس بوک استفاد کرده‌بود که به سازندگانش اجازه می‌داد نه‌تنها داده‌های افراد استفاده‌کننده از این اپلیکیشن، بلکه داده‌های دوستان آنها را هم جمع‌آوری کنند؛ یعنی افرادی که هیچ ارتباطی با این اپلیکیشن نداشته‌اند. جالب‌تر اینکه یکی از محققان درگیر در ساخت این اپلیکیشن در سال ۲۰۱۵ به استخدام فیس بوک درآمده‌بود. این شخص در سپتامبر ۲۰۱۸ از فیس بوک اخراج‌شد؛ اما اهالی منلوپارک هیچ‌وقت به این سوال پاسخ نداده‌اند که آیا پیش از این از نقش وی در ساخت این اپلیکیشن اطلاع داشته‌اند یا خیر.

اگرچه شواهد چندانی مبنی بر تاثیر داده‌های به دست آمده توسط کمبریج آنالیتیکا بر نتایج انتخابات ریاست‌جمهوری ۲۰۱۶ ایالات‌متحده وجود ندارد؛ اما این مساله به کاربران نشان‌داد که قوانین فیس بوک در رابطه با «حفاظت از حریم‌خصوصی کاربران» تا چه حد سهل‌انگارانه هستند. هم‌اکنون نیز مشخص نیست که چه اتفاقی برای این داده‌ها رخ داده است. کمبریج آنالیتیکا ادعا می‌کند که فایل‌های مربوطه را حذف کرده‌اند؛ اما مشخص نیست که چند نسخه از آن همچنان وجود دارند. مهم‌تر از همه، از این رسوایی به عنوان یک نقطه عطف یاد می‌شود؛ نقطه‌ای که قدرت داده‌های شخصی را به عموم کاربران نشان داد، داده‌هایی که بطور بالقوه می‌توانند برای اثرگذاری بر کاربران و حتی نظام‌های دموکراتیک مورد استفاده قرار گیرند.

البته این تنها بدشانسی فیس بوک نبود؛ در سپتامبر ۲۰۱۸، خبری مبنی بر به‌سرقت رفتن داده‌های دست‌کم ۳۰ میلیون نفر از کاربران فیس‌بوک منتشر شد. محل زندگی، محل تولد، وضعیت تاهل و در برخی موارد تاریخچه جست‌وجوها از جمله داده‌های به‌سرقت رفته بودند.

اپلیکیشنی که اطلاعات را لو داد

۲۰۱۸ سال چندان روشنی برای اپلیکیشن‌ها هم نبود. Polar اپلیکیشنی در زمینه تناسب‌اندام است که توسط اعضای ارتش، سازمان امنیت ملی و سرویس امنیتی ایالات‌متحده مورد استفاده قرار می‌گیرند. قوانین Polar برای محافظت از داده‌های کاربران تاحدی اهمال‌کارانه بود که محققان توانسته‌بودند کاربران ارتش و سازمان‌های امنیتی را حین ورزش در نزدیکی پایگاه‌های‌شان ردیابی کنند. همین قوانین سهل‌انگارانه در عمل به هرکسی اجازه می‌دادند تا به نام مقامات نظامی و امنیتی به نرخ ضربان‌قلب و حتی آدرس محل زندگی آنها دست پیدا کنند.

به گزارش واشنگتن پست، در زمانی‌که محققین یافته‌های خود را در این زمینه منتشر کردند، توانسته بودند داده‌های شخصی ۶.۴۶۰ پرسنل نظامی و امنیتی را به دست آورند. این داده‌ها شامل پرسنل حاضر در پایگاه‌های نظامی خارج از امریکا نیز می‌شد؛ برای مثال داده‌های پرسنل حاضر در پایگاه دریایی گوانتانامو و پایگاه لمونیر در جیبوتی، که به عنوان مرکز فرماندهی عملیات‌های امریکا در شاخ آفریقا شناخته می‌شود.

افشای اطلاعاتِ بخش کوچکی از پرسنل نظامی ممکن است ناراحت‌کننده باشد؛ اما افشای اطلاعات ۲۳۰ میلیون شهروند امریکایی و ۱۱۰ میلیون کسب‌وکار فعال در این کشور تا چه اندازه نگران‌کننده است؟ این اتفاقی است که در ماه ژوئن سال ۲۰۱۸ رخ داد. در این رخداد، شرکت بازاریابی Exactis که مقر آن در فلوریدا واقع‌شده است، اطلاعات ۳۴۰ میلیون شخص و کسب‌وکار را روی سروری قرارداده بود که عموم افراد می‌توانستند به آن دسترسی پیدا کنند.

حجم داده‌های موجود روی این سرور به ۲ ترابایت می‌رسید؛ جالب‌تر اینکه این داده‌ها صرفا شامل آدرس پست‌الکترونیک و نام افراد نبودند. علاوه‌بر نام و آدرس پست‌الکترونیک، مواردی همچون مصرف یا عدم مصرف دخانیات، مالکیت حیوانات خانگی، دین، داشتن فرزند و علائق فردی از جمله اطلاعاتی بودند که در اثر سهل‌انگاری Exactis در اختیار سارقان اطلاعاتی قرار گرفته‌بود.

افشای داده‌های ازطریق سیستم شناسایی

Aadhaar یک سیستم تشخیص‌هویت ازطریق نشانه‌های بیومتریک است که توسط دولت هند اداره می‌شود. این سیستم که به عنوان بزرگ‌ترین مجموعه بیومتریک در جهان شناخته می‌شود، در عمل اطلاعات تمامی شهروندان هندی را در خود جای داده است. این اطلاعات شامل مواردی همچون عکس، اثرانگشت، آدرس منزل و دیگر اطلاعات شخصی است.

افشای اطلاعات موجود در Aadhaar توسط یک روزنامه‌نگار کشف‌شد. وی دریافت که برخی افراد نام کاربری و رمز ورود خود به این مجموعه را در پیام‌رسان واتساپ (WhatsApp) به‌فروش می‌رسانند و از این نام‌های کاربری و رموز ورود می‌توان برای دستیابی به تمام داده‌های موجود در این سیستم استفاده کرد. برخی از فروشندگان برای فروش نام‌کاربری و رمز ورود خود صرفا مبلغی معادل ۷ دلار از مشتریان دریافت می‌کردند.

اما مقامات هندی بیشتر از این مساله خشمگین بودند که چرا این روزنامه‌نگار از این مشکل پرده برداشته است؛ در این راستا، مقامات دولتی ضمن طرح شکایت علیه این روزنامه‌نگار، وی را به ارایه گزارش‌های نادرست متهم کردند. وقتی در ماه مارچ یک محقق امنیتی آسیب‌پذیری Aadhaar را به وبسایت ZDNet نشان‌داد، دولت مجدد این مشکل را کتمان کرد.

انتشار اطلاعات توسط هکرها

روز ۹ آذر (۳۰‌ نوامبر) خبر افشای داده‌های ۵۰۰ میلیون نفر از مشتریان هتل‌های زنجیره‌ای مارییات (Marriott) منتشر شد؛ هرچند که این انتشار لحظه‌ای نبوده و شروع آن به‌سال ۲۰۱۴ بازمی‌گردد. این داده‌ها به افرادی مربوط می‌شوند که در شاخه‌ای از اقامتگاه‌های مرییات، موسوم به Marriot’s Startwood اقامت داشته‌اند.

هکرهایی که احتمال می‌رود با پکن در ارتباط بوده‌اند، در عمل به تمامی داده‌های ۳۲۷ میلیون نفر از این مجموعه ۵۰۰ میلیونی دست پیدا کرده‌بودند. نام، آدرس پستی، شماره تلفن، آدرس پست الکترونیک، شناسه شخصی مهمانان ویژه Starwood، تاریخ تولد، جنسیت، اطلاعات ورود و خروج، تاریخ رزرواسیون، گزینه‌های ارتباطی، شماره کارت‌های بانکی و تاریخ انقضای کارت‌ها از جمله اطلاعات به‌سرقت‌رفته بودند. درباره ۱۷۳ میلیون نفر باقی‌ماند، تنها بخشی از اطلاعات، نظیر نام و در برخی موارد آدرس پستی، آدرس پست الکترونیک و «برخی اطلاعات دیگر» به‌سرقت رفته‌بودند.

خوراک مرغ با سالاد اطلاعات شخصی

شاید باورش سخت باشد؛ اما رستوران‌ها هم درگیر رسوایی‌های اطلاعاتی بوده‌اند. Panera Bread، مجموعه‌ای از رستوران‌ها و کافه‌های زنجیره‌ای در ایالات‌متحده و کانادا است. در ماه آوریل، محققان امنیتی از انتشار داده‌های مشتریان این مجموعه ازطریق وب‌سایت Panera Bread پرده برداشتند. داده‌های منتشر شده در قالب متن ساده بودند و شامل نام، آدرس ایمیل، آدرس محل سکونت، تاریخ تولد و چهار رقم آخر شماره کارت‌اعتباری افراد می‌شدند.

نکته نگران‌کننده این است که محققان امنیتی به‌مدت هشت ماه برای رفع این مشکل با Panera Bread در ارتباط بودند. یک هفته پس از تماس اولیه محققان، این شرکت اعلام می‌کند که مشکل را حل کرده است؛ اما پژوهشگران تا هشت ماه بعد همچنان می‌توانستند به این داده‌ها دست پیدا کنند. پس از این هشت ماه درنهایت این مساله به اطلاع عموم رسید و در نتیجه Panera Bread وب‌سایت خود را از دسترس خارج کرد تا به حل این مشکل بپردازد. هرچند تعداد قربانیان این سهل‌انگاری مشخص نیست؛ اما به‌گفته پژوهشگران، آمار قربانیان می‌تواند به ۳۷ میلیون نفر برسد.

نشر داده‌های میلیون‌ها نفر در گوگل پلاس

آخرین مورد فهرست ما به غول دنیای جست‌وجو مربوط می‌شود. در ماه اکتبر، نشریه وال‌استریت ژورنال خبر داد که گوگل حفره‌ای امنیتی را در شبکه گوگل پلاس کشف کرده است؛ این حفره بطور بالقوه از سال ۲۰۱۵ زمینه افشای اطلاعات ۵۰۰ هزار کاربر را فراهم کرده‌بود. پس از انتشار این مقاله، ساکنان مانتن‌ویو اعتراف کردند که این مشکل در شبکه اجتماعی نه چندان موفق آنها وجود داشته است. داده‌های منتشر شده نیز شامل نام، آدرس پست الکترونیک، سن، جنسیت و شغل کاربران گوگل‌پلاس می‌شود.

نکته قابل‌تأمل این است که همانند

Panera Bread، گوگل نیز تا هفت ماه پس از کشف این حفره امنیتی، از اعلام آن سرباز زده‌بود؛ دلیل این مساله ترس از خدشه‌دار شدن وجهه عمومی این شرکت و افزایش نظارت‌های قانونی

بود.

بدتر از این، در ماه دسامبر ۲۰۱۸، این شرکت روزنه دیگری را در رابط برنامه‌نویسی گوگل پلاس کشف کرد که نام، آدرس پست الکترونیک، شغل و سن ۵۲.۵ میلیون نفر از کاربران این شبکه اجتماعی را به‌مدت 6 روز در دسترس عموم قرار داده‌بود. این‌بار نیز گوگل پس از یک‌ماه سکوت، کاربران را از بروز این مشکل آگاه کرد.

رویه اتخاذ شده توسط شرکت‌هایی همچون گوگل و Panera Bread نگران‌کننده است. آنها مدت‌ها منتظر مانده‌بودند و تنها پس از اینکه همه‌چیز برملا شده‌بود در رابطه با انتشار داده‌های کاربران اطلاع‌رسانی کرده‌بودند. همین مساله نشان می‌دهد که در ایالات‌متحده، وجود قوانین محکم در زمینه حفاظت از داده‌های شخصی کاربران امری لازم است؛ درست مانند GDPR که به تصویب اتحادیه اروپا رسیده است.

در سال ۲۰۱۸ داده‌های فراوانی به یغما رفتند؛ اما درسی که می‌توان آموخت این است: وقتی حرف از داده‌های شخصی می‌شود، به هیچ کس اعتماد نکنید.

رسوایی شرکت‌های بزرگ در افشای اطلاعات کاربران

ترفند افغان‌ها برای خرید مسکن در ایران

خانه‌هایی که در پایتخت ۲ تا ۳ میلیارد تومان قیمت دارند + جدول

قیمت طلا، سکه امروز یک اردیبهشت ۱۴۰۳ در بازار آزاد؛ طلای ۱۸ عیار و سکه امامی چقدر ارزان شد؟ + جدول

این دسته از مردان بیشتر به سرطان پروستات مبتلا می‌شوند

قیمت ارز امروز یک اردیبهشت ۱۴۰۳ در بازار آزاد؛ دلار، پوند و یورو چقدر ارزان شد؟ + جدول

قیمت دلار امروز ۴ اردیبهشت ۱۴۰۳؛ دلار در بازار آزاد چقدر معامله شد؟ + جدول

محمد صادقی از کشور خارج شد

درختان پارک ستارخان هم قطع شدند؛ زاکانی به دنبال ساخت یک مسجد دیگر است؟

علت پخش نشدن فصل سوم سرزمین مادری چیست؟

قیمت دلار امروز ۵ اردیبهشت ۱۴۰۳؛ ارز در بازار آزاد چقدر ارزان شد؟ + جدول

قیمت انواع پژو پارس امروز ۷ اردیبهشت ۱۴۰۳ + جدول

هشدار بانک جهانی درباره نفت ۱۰۰ دلاری و تورم جهانی

اجرای ۱۶ طرح عفاف و حجاب در مدارس

با یک قطره خون ۳ نوع سرطان شناسایی می‌شود

هواشناسی؛ ورود سامانه بارشی جدید به کشور، افزایش دما در اکثر مناطق

در تابستان امسال با کمبود برق مواجه خواهیم شد؟

با ۳ میلیارد تومان در کجای تهران می‌توان خانه خرید؟ + جدول

ترمز ریزش قیمت خودروها کشیده شد؛ آخرین قیمت پژو و دنا و کوئیک و تارا + جدول

اولین تصویر از تروریست کشته شده در حمله پهپادی روز گذشته سپاه پاسداران + عکس

انتخابات در دور دوم تمام الکترونیکی برگزار می‌شود؟