میلاد نوری، برنامهنویس و کارشناس IT در گفت و گو با خبرآنلاین از خطری که کاربران ایرانی را پس از هک اطلاعات آنها در اسنپفود تهدید میکند پرده برداشت.
تینا مزدکی_ صبح امروز بود که خبر آمد اسنپفود هک شدهاست؛ ظاهرا هکرهایی که پیش از این اطلاعات کاربران «تپسی» را هک کرده بودند مدعی شدند که اطلاعات بیش از ۲۰ میلیون کاربر پلتفرم سفارش غذای آنلاین «اسنپ فود» را هک کردهاند.
این هکرها در کانال تلگرامی خود اطلاعاتی که هک شده را منتشر کردهاند که شامل بیش از ۲۰ میلیون نام کاربری، پسورد، ایمیل، نام و نام خانوادگی، شماره موبایل، ۵۱ میلیون موقعیت مکانی، آدرس کامل، شماره تلفن، اطلاعات بیش از ۱۶۰ میلون سفر انجام شده توسط پیک، اطلاعات بیش از ۶۰۰ هزار پرداخت سفارش شامل نام مشتری، شماره کارت و … بود.
آنچه در ادامه میخوانید:
هکرها مذاکره نمیکنند؛ مستقیما اطلاعات را میفروشند
اسنپ فود نیز پس از انتشار این خبر بیانیه داد که در آن ذکر شده بود:« شرکت اسنپفود مسئولیت این اتفاق را میپذیرد.» و همچنین گفته شده بود که با هکرها مذاکره میکنند؛ از طرفی هکرها اعلام کردند که هک را به اسنپ فود اطلاع ندادهاند و مستقیما اطلاعات را برای فروش گذاشتهاند. علت این موضوع را نیز تجربه مذاکره با تپسی بیان کردهاند و گفتهاند:«پس از ماجرای تپسی تصمیم گرفتیم با هیچ شرکتی در آینده مذاکره نکنیم!» همچنین بنابر گزارشات آخرین نمونه اطلاعات نشت شده مربوط به تاریخ ۱۰ دسامبر ۲۰۲۳ است. این موضوع احتمالا میتواند حاکی از آن باشد که اطلاعات حدود ۲۰ روز پیش از اسنپ فود استخراج شده است.
میلاد نوری برنامهنویس و کارشناس IT با بیان اینکه گروه هکری که اسنپ فود را هک کرده ادعا کرده است که همان گروهی است که تپسی را هک کرده بود و تپسی تایید کرد که دیتایی که آنها دادهاند واقعی بوده است؛گفت:«اسنپ فود هنوز به طور مستقیم تایید نکرده است که ادعای هکرها صحیح است ولی طبق سابقهای که گروه هکر داشته به احتمال زیاد این ادعا نیز درست است. اگر ادعا درست باشد طبق دیتا نمونهای که هکرها برای اثبات خود منتشر میکنند، اطلاعات کاملی از کاربرها شامل دستگاه کاربر، پرداخت آنها و همینطور پذیرندهها یعنی فروشگاهی که از آن خرید شده، اسناد پرداخت و اطلاعات سفارش و در واقع اطلاعات کاملی که در اسنپ فود درحال گردش بوده را شامل میشود.»
با نشت این شناسه کاربران دیگر ناشناس نیستند
او افزود:«قسمتی از اطلاعات کاربری، اطلاعات هویتی است که خطرهای خودش را دارد و بارها راجبش صحبت شده اما اتفاق مهمی که در این هک و به طور مشابه در هک تپسی رخ داد این است که شناسه دستگاه کاربران نیز در آن وجود دارد. برای مثال شناسهای وجود دارد به نام اندروید آیدی، از روی این شناسه و با تطابق آن با سایر اطلاعات در موبایل و تبلت اندرویدی میتوان کاربر را رصد و فعالیت آن را شناسایی کرد؛ اگر شخص در سایت یا اپلیکیشنی به صورت ناشناس حضور پیدا کرده باشد و خبری را فقط خوانده باشد، اگر اندروید آیدی او در سایت ذخیره شده باشد اکنون با فاش شدن این اطلاعات و با تطابق آن با اطلاعات سایت دیگر، این کاربر دیگر ناشناس نیست.»
استفاده از اطلاعات کاربران به پیامکهای تبلیغاتی ختم نمیشود
او با اشاره به این موضوع که در کنار هم قرار دادن اطلاعات عمق فاجعه را نشان میدهد؛گفت:« الان ممکن است یک کاربر بگوید اطلاعات خرید من چه ارزش و اهمیتی دارد اما زمانی که این اطلاعات در دست خلافکار و سواستفادهگر بیافتد آنها استفاده خودشان را میکنند. برای مثال کسی که سفارشات زیادی داشته است با یک چیدمان راحت میتوان متوجه شد که چه ساعاتی در محل کار خود، منزل و یا هرجای دیگری بوده است، بنابراین کسی که بخواهد سرقت کند خیلی راحت الگو رفت و آمدی فرد را از اسنپ فود و یا تپسی پیدا میکند. کنار هم قرار دادن اطلاعات است که متاسفانه میتواند به کلاهبرداری کمک کند.»
هیچ یک از اطلاعات حساس کاربران رمزنگاری نمیشود
او ادامه داد:«موضوعی که وجود دارد این است که همه جای دنیا قانون جلو این تخلفات را میگیرد، یک سری باید و نباید میگذارد و کسب و کارها مجبورند برای اینکه روزی قانون با آنها برخورد نکند آنها را قبول کنند، خیلی از ما کاربران فکر میکنیم که در اسنپ و تپسی کارشناسان خبرهای وجود دارند و خب هستند اما هیچ یک از آنها برای دیتا و اطلاعات حساس کاربران رمزنگاری انجام ندادهاند. یعنی اگر شما دیتا بیس را باز کنید اندروید آیدی کاربران را میبینید.»
او با بیان اینکه یک رمزنگاری ساده میتوانست جلوی این فاجعه را بگیرد و یا حتی کمترش کند، گفت:« چرا این رمز نگاری صورت نگرفت؟ برای این که روزی که دیتا بیس علی بابا، ایرانسل، تپسی و … بیرون آمد، هیچ قانون و نهادی با آنها برخورد نکرد. همان اندورید آیدی که چند ماه پیش در تپسی فاش شد، همان اندورید آیدی، در اسنپ فود هم فاش شد و بدون رمزنگاری؛ یعنی حتی از هک تپسی هم درس گرفته نشده، شما تصور کنید که کسب وکارها چقدر اطلاعات رمزنگاری نشده دارند.»
اگر اطلاعات شما لو رفتهاست این اقدامات را انجام دهید
این متخصص در پاسخ به این سوال که چه کاری از دست کاربران بر میآید؛ گفت:«راه حل آن قانون است و وقتی قانون نبوده متاسفانه کاربر کاری نمیتواند بکند، چرا که حجم زیادی از اطلاعاتش بیرون آمده است، اما یک سری چیزها مانند “اد آیدی” را بعد از چنین اتفاقاتی کاربران میتوانند ریست کنند، اما این هم چیزی است که خود اسنپ و تپسی و امثال آن بعد از هک باید اطلاع رسانی کنند و نمیکنند.»
او با اشاره به این موضوع که کاربران باید بدانند که از این به بعد اگر تلفنی داشتند که فرد اطلاعات دقیقی از آنها داشت فریب نخورند، گفت:«شما فکر کنید کسی با شما تماس میگیرد که همه اطلاعات شما را دارد، خیلی راحت میتواند شما را فریب دهد، او میگوید بابت فلان سفارش فلان غذای شش روز پیش از رستوران فلان با شما تماس گرفته و میگوید شما برنده 500هزارتومان شدهاید، این جا از دست کاربر کاری ساخته نیست، قانون باید وجود داشته باشد تا جلوی این اتفاقات را بگیرد، برخورد کند و زمان بگذرد تا این اطلاعات به مرور از بین برود.»
او ادامه داد:«گاهی ایمیل شما لو میرود و آدرس ایمیل خود را عوض میکنید، اما الان کارت ملی، شماره شناسنامه و اطلاعات شخصی فرد لو رفته؛ ما که نمیتوانیم این اطلاعات را تغییر بدهیم، بنابراین خیلی زودتر باید جلوی آنرا میگرفتند. باید خود کاربران بتوانند این اطلاعات را حذف کنند. شما در اکثر پلتفرمهای خارجی میبینید که کاربر هر زمان که بخواهد میتواند اطلاعات خودش را پاک کند. این حذف اطلاعات باعث میشود که کاربری که دو سال پیش از پلتفرم استفاده داشته و امروز ندارد نیز در این نشت اطلاعات آسیب نبیند و اطلاعاتش فاش نشود. متاسفانه این کسب و کارها با هدف مارکتینگی و نشان دادن تعداد کاربران زیاد، جلوی این حذف اطلاعات را میگیرند.»
نقطه ضعف، قانون و اجرای آن است
او در پاسخ به این سوال که ضعف اصلی از کجاست گفت:«ضعف اصلی قانون و اجرای آن است، برای مثال شما میبینید که پلیس فتا بیانیه داده و طرف تپسی را گرفته است و گفته است که جای هیچ نگرانی نیست. در صورتی که پلیس فتا باید اگر قانونی نیست بیاید، مرتبطترین قانون را پیدا کند و با آن مثلا تپسی که دو بار مورد هک قرار گرفته را جریمه کند. تپسی از همان نقطهای که قبلا هک شده بود بازهم هک شد و دلیل آن این بود که حتی یک ریال هم جریمه نشده بود.»
رفتار بعد از هک در ایران هیچ شباهتی با دیگر کشورها ندارد
او گفت:«در کشورهای دیگر به وفور میبینم و گاها رسانهها هم مدعی میشوند که در همه کشورها هک وجود دارد اما رفتار بعد از هک که در ایران انجام میشود خیلی شبیه به رفتار بعد هک کشورهای دیگر نیست. اما موارد دیگری مانند مهاجرت بسیار گسترده نیروی متخصص وجود دارد، اکثر نیروهای متخصص یا مهاجرت کردهاند یا در داخل کشور به دلیل شرایط اقتصادی با شرکتهای خارجی کار میکنند که درآمدشان به دلار باشد.»
او با بیان این موضوع که بعد از چند ماه و چند هفته که از هک تپسی میگذرد، هنوز تپسی در شبکههای اجتماعی و شبکههای رسمی خودش به کاربران اطلاع نداده که هک شده است و فقط در اکانت شخصی مدیرعامل اطلاع رسانی کوچکی شکل گرفته است، گفت:«شرکت بعد از این که هک میشود غیر از دادن بیانیه که میگوید مسئولیت را پذیرفتهایم باید کاربر را از دیتای منتشر شده و خطرات آن آگاه کند چراکه ممکن است خیلی از کاربران در نتیجه فاش شدن این اطلاعات خطراتی در کمین داشته باشند که خودشان میدانند و ما بیخبر باشیم. ممکن است هرکاربری نقطه آسیب پذیری خودش را بهتر بداند.»
او افزود:«برای مثال فیس بوک بعد از هک میگوید ما همه پسوردهای شمارا عوض میکنیم، شما هم فلان اقدام را کنید و فلان کار را انجام دهید، شرکتهای ایرانی به جای اینها فقط بیانیه میدهند و بیانیه دادن بیشتر حالت نمایشی پیدا کرده است. خب مسئولیت چه چیزی را پذیرفتهاید وقتی تمام اطلاعات کاربر فاش شده است!»