چگونه مانع ورود کلاه سیاه‌ها شویم؟

به گزارش مجله خبری نگار/همشهری: خبر هک اسنپ‌فود درحالی منتشر شده که مدتی پیش همین گروه هکری به سرور‌های تپسی نفوذ کرده بود. همچنین اگرچه به‌نظر می‌رسد، داده‌های کاربران اعم از مشتریان، فروشندگان و پیک‌های اسنپ‌فود ۲۰ روز پیش استخراج شده، اما خبر آن طی یکی، دو روز پیش منتشر شده است. این کسب‌وکار اینترنتی درحالی از «حداکثر تلاش خود برای جلوگیری از انتشار داده‌های کاربران از طریق مذاکره با این گروه هکری» سخن گفته که رسانه‌ها به نقل از این گروه اعلام کرده‌اند که «پس از ماجرای سامانه تاکسی اینترنتی‌تپسی تصمیم گرفتیم با هیچ شرکتی در آینده مذاکره نکنیم!»

هک اسنپ‌فود و تپسی طی یک فاصله زمانی کوتاه نشان می‌دهد که این ۲ بازیگر اصلی کسب‌وکار‌های اینترنتی اهمیت چندانی برای امنیت داده‌های کاربران خود قائل نیستند. با این حال، اسنپ‌فود اعلام کرده که اطلاعات کارت بانکی کاربران به سرقت نرفته، پس کاربران نگران نباشند.

دیتای سرقت شده

نفوذ به سرور‌های اسنپ‌فود باعث نشت داده‌های ۲۰ میلیون کاربر شامل نام کاربری، رمز عبور، ایمیل، نام و نام خانوادگی، شماره موبایل و تاریخ تولد شده است. اطلاعات بیش از ۵۱ میلیون کاربر شامل موقعیت GPS، آدرس‌کامل و شماره تلفن، اطلاعات بیش از ۱۸۰ میلیون دستگاه همراه شامل نوع و مدل دستگاه، پلتفرم، توکن، فروشگاه نصب برنامه، اطلاعات بیش از ۳۶۰ میلیون سفارش شامل آی‌پی سفارش دهنده، آدرس دریافتی، تلفن دریافتی، شهر، زمان دریافت، نام و نام خانوادگی، مشخصات فروشگاه یا رستوران، قیمت و محصول، اطلاعات بیش از ۳۵ هزار پیک شامل نام و نام خانوادگی، شماره تماس، کد ملی و شهر بخشی دیگر از اطلاعات استخراج شده است البته این موارد تنها بخشی از اطلاعات استخراج شده است.

اطلاعات کارت بانکی

اسنپ‌فود اعلام کرده «کلیه اطلاعات پرداخت بانکی کاربران، اعم از اطلاعات مربوط به کد امنیتی کارت (CCV)، رمز عبور و تاریخ انقضا در امنیت کامل قرار دارد و این اطلاعات مطابق مقررات بانک مرکزی در هیچ‌یک از پلتفرم‌ها ذخیره نمی‌شود.» گروه هکری هم اعلام کرده اطلاعات بیش از ۶۰۰ هزار پرداخت سفارش شامل نام کامل صاحب کارت، نام کامل مشتری، شماره تماس، شماره کارت بانکی و نام کارت را استخراج کرده است.

کمبود نیروی متخصص

مجتبی مصطفوی، کارشناس امنیت سایبری در گفتگو با همشهری بر تربیت نیروی متخصص و ماهر در حوزه امنیت تأکید کرد و گفت: «به‌نظر می‌رسد که سرمایه‌گذاری کافی در حوزه آموزش صورت نمی‌گیرد.» او همچنین درباره تولید محصولات بومی در حوزه امنیت سایبری می‌گوید: «ما اگرچه محصولات بومی باکیفیتی در حوزه امنیت سایبری داریم، اما بیشتر این محصولات کارایی و استاندارد‌های لازم را ندارند.» البته مدتی پیش از یک محصول بومی رونمایی شد که کاربردی بود.

اقدامات فنی

مصطفوی در عین حال که معتقد است به‌طور کلی نمی‌توان مانع نفوذ شد، اما درباره وضعیت پیش از حمله می‌گوید: «لازم است تا جایی که امکان دارد، احتمال نفوذ را کم کنیم که به آن اصطلاحا «پیشگیری» گفته می‌شود.» به‌گفته او، «برای این مرحله در کشور ما اقدامات خوبی انجام شده است». با این حال، مصطفوی با اشاره به کار‌های زیادی که در دنیا انجام شده و آن را بسیار متداول می‌داند، می‌گوید: «نکته مهم بخش شناسایی و شکار تهدید (treat hunting) است. این اصطلاح به این معنی است که پس از اینکه حمله اتفاق افتاد ما بتوانیم قبل از اینکه مهاجم گسترش دسترسی بدهد و به هدف نهایی برسد، متوجه بروز حمله شویم.»

ماجرای مذاکره

آنطور که به‌نظر می‌رسد، گروهی که اسنپ‌فود را هک کرده، داده‌های استخراج‌شده را فروخته است. این اتفاق درحالی رخ داده که گروه هکری اعلام کرده به‌خاطر تجربه مذاکره با تپسی تصمیم گرفته که با اسنپ فود مذاکره نکند. زمانی که به سرور‌های تپسی نفوذ شد، هکر‌ها ۳۵ هزار دلار مطالبه کردند تا داده‌ها را منتشر نکنند. اما مدیرعامل تپسی گفت: «مطابق ایمیل‌هایی که از گروه مهاجم دریافت کرده‌ایم، قصد آن‌ها از این کار اخاذی بوده و برای عدم‌نشر اطلاعات، درخواست پول کرده‌اند. ما تصمیم گرفتیم که به این اخاذی تن ندهیم، چرا که در مذاکره با آن‌ها متوجه شدیم که نه‌تن‌ها ضمانتی برای عدم‌نشر اطلاعات و سوءاستفاده‌های آتی وجود ندارد بلکه تشویقی برای ادامه این اقدام در مورد سایر شرکت‌ها هم خواهد بود.» مدیرعامل این شرکت اگرچه از کاربران عذرخواهی کرد و مسئولیت این اتفاق را پذیرفت، اما به‌نظر می‌رسد که «در مورد سایر شرکت‌ها» مرتکب اشتباه شده است.

امروزه حملات سایبری در دنیا یک امر عادی محسوب می‌شود، اما اینکه، میزان آسیب‌های وارده بر اثر این حملات تا چه اندازه است هم از اهمیت بسزایی برخورداراست. در این میان کسب‌وکار‌های اینترنتی باید بیشتر مراقب چنین موردی باشند و برای حریم خصوصی کاربران‌شان که به آن‌ها اعتماد کرده‌اند، اهمیت بیشتری قائل شوند.