حراج اطلاعات ایرانیان در تاریکی مطلق/ایران بهشت هکر‌ها و جهنم کاربران

به گزارش نبض بازار،باز هم سهل‌انگاری و بی‌توجهی به امنیت داده‌ها در ایران جان صدها هزار نفر را به خطر انداخت،در حالی که هکرها بار دیگر با نفوذ به سیستم‌های پلتفرم رزرو آنلاین اقامتگاه "اتاقک" به اطلاعات کاربران دسترسی پیدا کرده‌اند سکوت مطلق مسئولان در قبال این اتفاق نگران‌کننده است.

هکرها مدعی هستند که اطلاعات کاملی از جمله مشخصات رزرو، اطلاعات بانکی، پیام‌ها و چت‌ها، اطلاعات کاربری و همچنین اطلاعات دقیق اماکن قابل رزرو را به سرقت برده‌اند.

این در حالی است که پیش از این نیز بارها شاهد هک شدن پلتفرم‌های مختلف و به خطر افتادن اطلاعات کاربران در ایران بوده‌ایم. اما متأسفانه هیچ اقدام قاطعی برای جلوگیری از این اتفاقات و یا مجازات عاملان آن انجام نشده است.در این میان کاربران ایرانی که قربانی این سهل‌انگاری‌ها می‌شوند، هیچ راهکاری برای احقاق حقوق خود و جبران خسارات وارده ندارند.

در ادامه به بررسی زوایای مختلف این موضوع و همچنین بررسی عملکرد مسئولان در قبال این اتفاقات خواهیم پرداخت.

ایران بهشت هکرها؛ جهنم کاربران

چند ساعت پس از رسانه‌‌‌ای شدن هک اتاقک، این پلتفرم در بیانیه‌‌‌ای اعلام کرد که در حال راستی‌‌‌آزمایی ادعای هک گروه IRLeaks است و در صورتی که این ادعا تایید شود مسوولیت آن را می‌‌‌پذیرد. همچنین به کاربران خود اطمینان خاطر داد که کلیه اطلاعات پرداخت بانکی کاربران، اعم از اطلاعات مربوط به کد امنیتی کارت (CVV۲)، رمز عبور و تاریخ انقضا، در امنیت کامل قرار دارد و این اطلاعات مطابق مقررات بانک مرکزی در هیچ یک از پلتفرم‌‌‌ها ذخیره نمی‌‌‌شوند. اتاقک دو روز بعد در اطلاعیه دوم خود هک اطلاعاتش را تایید و دوباره تاکید کرد که دسترسی غیرمجاز به اطلاعات بانکی کاربران صورت نگرفته است.

در شرایطی که گروه هکری مذکور به این پلتفرم مهلت داده بود تا برای جلوگیری از فروش اطلاعات وارد مذاکره شود، اتاقک در بیانیه سوم خود با اشاره به اینکه با هکرها به توافق رسیده‌‌‌ است، به کاربران خود اطمینان داد که اطلاعاتی که به دست هکرها افتاده، فروخته نخواهد شد. با اعلام این گروه هکری مبنی بر موفقیت‌‌‌آمیز بودن مذاکرات با اتاقک، عدم‌فروش اطلاعات کاربران این پلتفرم تایید شد.

در شرایطی که گروه هکری مذکور در جدیدترین اطلاعیه خود آخرین وضعیت فروش اطلاعات پلتفرم‌‌‌های هک‌‌‌شده را منتشر کرده، در ادامه غفلت قوانین، انفعال مسوولان دولتی و خصوصی و عدم‌شفافیت در حفاظت از داده‌‌‌ها و آسیب‌‌‌پذیری بالای کاربران ایرانی نسبت به حملات سایبری، بررسی شده است.

در آخرین اطلاعیه گروه هکری IRLeaks ضمن بیان فروشی نبودن اطلاعات پلتفرم‌‌‌های اسنپ‌‌‌فود و اتاقک، مبالغ قابل‌‌‌توجهی برای فروش اطلاعات کاربران ۲۳ شرکت بیمه، پلتفرم تپسی و سازمان حج و زیارت اعلام شده است. طبق این اطلاعیه، مبالغ ۲۵‌هزار دلار و ۹۰‌هزار دلار به‌‌‌ترتیب برای فروش اطلاعات این سه سازمان ذکر شده است.

این موضوع مهر تاییدی بر عدم‌شفافیت نهادهای هک‌‌‌شده در قبال کاربران خود است که نشان‌‌‌دهنده عدم‌احساس مسوولیتی نسبت به بیان جزئیات مورد مذاکره، نبود اقدامات امنیتی متعاقب آن به‌‌‌منظور تکرارنشدن نشت اطلاعات و عدم‌اطمینان‌‌‌بخشی به کاربران برای عدم‌افشای داده‌‌‌ها حتی در صورت توافق است. پیش از اتاقک، سازمان حج و زیارت هدف اولین هک از سلسله حملات سایبری شروع شده در سال گذشته بود. این گروه همچنین ادعا کرد به ۱.۲۵ ترابایت اطلاعات مهمی از حجاج و زائران که از سال‌‌‌ ۱۳۶۳ تا ۱۴۰۳ در این سایت ذخیره شده بود، دست پیدا کرده است.

سازمان حج و زیارت نیز به‌‌‌عنوان مسوول حفاظت از داده‌‌‌های کاربران خود، فقط این هک را تایید کرد، اما اسم این سازمان همچنان در فهرست گروه هکری مذکور برای فروش اطلاعات قرار دارد. از سوی دیگر، اطلاعات شخصی ۲۷ میلیون مسافر و ۶میلیون راننده تپسی نیز در سال گذشته هک شد و اسم این پلتفرم نیز در فهرست همان گروه هکری قرار دارد، تپسی هم مانند سازمان حج و زیارت توضیحی درباره اقدامات امنیتی برای جلوگیری از فروش تکرار نشت داده‌‌‌های کاربران منتشر نکرده است.

۲۲۳ بار نشت داده به ازای هر ایرانی

فارغ از این، ایرانی‌‌‌ها از سال گذشته مجموعه‌‌‌ای از ملات سایبری به سامانه‌‌‌ها و پلتفرم‌‌‌های داخلی را تجربه کرده‌‌‌اند؛ تا جایی که تعداد حمله‌‌‌های سایبری در سال ۱۴۰۲ به میزانی بود که در حوزه‌‌ فناوری می‌توان این سال را به نام سال تهدید امنیت سایبری کشور و وضعیت پر مخاطره صیانت از داده شناخت.

در همان سال بود که مرکز ملی فضای مجازی پس از هک‌‌‌های مکرر، دستورالعمل اجرایی حفاظت از حریم خصوصی کاربران را ابلاغ کرد، اما در حال حاضر با گذشت چند ماه و تمدید مهلت‌‌‌ها هنوز گزارشی از تمکین کسب و کارها از این دستورالعمل منتشر نشده است. پیش از این حسین دلیریان، سخنگوی مرکز ملی فضای مجازی، در گفت‌‌‌وگو با «دنیای‌اقتصاد» با بیان اینکه مهلت دوم اجرای دستورالعمل حفاظت از حریم خصوصی کاربران در اواخر خرداد ماه به پایان خواهد رسید، توضیح داد: «اجرای بخش زیادی از این دستورالعمل پیش از عید به پایان رسیده است.»

فیلترینگ حصار امن یا دروازه ورود هکرها؟

علاوه بر این تصویب لایحه اخیر دولت مبنی‌بر حفاظت از داده‌‌‌های شخصی بدون انتشار جزئیات الزام‌‌‌آور قانونی است که کارشناس‌‌‌ها نگاه مثبتی به آن‌‌‌ ندارند و به اعتقاد کارشناسان، در مثبت‌‌‌ترین نگاه ممکن اگر این لایحه دولت فقط با ایده صیانت از داده‌‌‌های مردم تصویب شده باشد، با تشدید فیلترینگ از سال ۱۴۰۱ و تداوم آن، حفاظت از داده‌‌‌ها و امنیت آنها عملا کار دشواری است؛ زیرا با استفاده مداوم مردم از فیلترشکن برای دسترسی به تلگرام، اینستاگرام و سایر پلتفرم‌‌‌های بین‌المللی فیلترشده، گوشی‌‌‌های آنها و در کل شبکه ناامن و آسیب‌‌‌پذیر می‌شود و محل انواع حملات سایبری است. کارشناسان نسبت به دستورالعمل حفاظت از حریم خصوصی کاربران هم نظر مشابهی دارند و معتقدند که این دستورالعمل ضمانت اجرایی و بازدارندگی مانند قانون ندارد.

همچنین برخی از آنها معتقدند اجرای این دستورالعمل برای کسب و کارها هزینه خواهد داشت. فارغ از اینها، با فیلترینگ گسترده اینترنت در دو سال اخیر و افزایش محدودیت‌های فضای مجازی، اکثر پروتکل‌‌‌های ایمن‌‌‌سازی مخدوش شده‌‌‌اند و به اعتقاد کارشناسان تا زمانی که فیلترینگ و استفاده از فیلترشکن همچنان پابرجا باشد، ایران برای حملات سایبری هکرها هدفی آسان و در دسترس خواهد بود. نمی‌توان انتظار داشت تا با وجود سلطه فیلترینگ بر شبکه اینترنت ایران، مانع جدی برای هکر‌‌‌ها وجود داشته باشد.

قوانین در تار و پود هکرها گرفتار؛ کاربران در ناامنی مطلق

غفلت قوانین از رخنه در داده‌ها در ایران تا حدی جدی است که مرکز پژوهش‌‌‌های مجلس در گزارشی به این موضوع پرداخت و طبق آن، در دنیا اقدامات و الزامات قانونی سخت‌‌‌گیرانه‌‌‌ای برای جلوگیری از بروز فساد در داده‌‌‌ها انجام شده، اما این موضوع در ایران با وجود برخی از اقدامات مثبت تا حد زیادی مغفول مانده است؛ تا جایی که در کشورهای کره‌‌‌جنوبی، فرانسه، ایرلند، کانادا، انگلستان و ایتالیا بیش از ۱۲۴ الزام قانونی در حوزه حفاظت از داده‌‌‌های شخصی وجود دارد؛ اما در قوانین ایران فقط ۱۳الزام دیده شده است. علاوه بر این، آمارهای بین‌المللی وضعیت نامساعد ایران در امنیت داده را تایید می‌کند.

بر اساس آمار لحظه‌‌‌ای منتشر شده از سوی سرف‌‌‌شارک، از سال ۲۰۰۴ تاکنون، یعنی در دو دهه گذشته، ایران ۰.۹‌درصد از کل نشت داده در جهان را به خودش اختصاص داده است.

حریم خصوصی در ایران: کالایی بی‌ارزش یا گمشده؟

طبق داده‌‌‌های این بنیاد غیرانتفاعی که در زمینه آزادی دسترسی به اینترنت و امنیت سایبری فعالیت می‌کند، در طول دو دهه گذشته بیش از ۱۶۰ میلیون و ۷۰۰ حساب کاربری در ایران دچار نشت داده شده‌‌‌اند و در این بازه زمانی به طور متوسط از هر صد شهروند ایرانی، ۲۲۳ نفر نشت داده را تجربه کرده‌‌‌اند. این بررسی‌‌‌ها نشان می‌دهد که هر آدرس ایمیل حدود سه بار هک شده است و به ازای هر صد نفر، ۸۸ نفر در ایران هک شدن ایمیل خود را تجربه کرده‌‌‌اند.

با این اوصاف، نبود قوانین و جریمه‌‌‌های بازدارنده در زمینه سهل‌‌‌انگاری در نگهداری از اطلاعات خصوصی افراد و نیز ‌به رسمیت نشناختن حق فراموشی داده برای اجرای درخواست حذف اطلاعات شخصی از سوی کاربران در پلتفرم‌‌‌ها باعث شده است تا اخبار نشت اطلاعات حیاتی شهروندان ایران به امری تکراری تبدیل شود؛ موضوعی که همه زیان‌‌‌های مادی و معنوی آن را تنها کاربران ایرانی متحمل می‌‌‌شوند.

منبع:دنیای اقتصاد