فروش اطلاعات شخصی کاربران؛ چه کسی پاسخگو خواهد بود

هک اسنپ فود در روز گذشته که بعد از هک جنجالی تپسی در تابستان امسال دومین ضربه را به این دو سوپر اپلیکیشن ایرانی زد موجی از نگرانی را دوباره در افکار عمومی به وجود آورده است. نگرانی از بابت افشای اطلاعات بیش از ۲۰ میلیون نفری که یا پیک این شبکه بوده اند و یا سفارش غذا و …. داده اند.

این گروه هکری که در تابستان امسال تپسی را هک کرده بود، اکنون با ارائه شواهدی به عنوان نمونه، می‌گوید کل داده‌های اسنپ فود، شامل اطلاعات بیش از ۲۰ میلیون کاربر و ۸۸۰ میلیون سفارش را به دست آورده است.

هکر اعلام کرده که هک را به اسنپ فود اطلاع نداده و مستقیماً اطلاعات را برای فروش گذاشته است. علت؟ تجربه مذاکره با تپسی: «پس از ماجرای تپسی تصمیم گرفتیم با هیچ شرکتی در آینده مذاکره نکنیم!»

آنطور که بررسی نمونه‌ها توسط سایت «دیجیاتو» نشان می‌دهد، آخرین نمونه اطلاعات نشت شده مربوط به تاریخ ۱۰ دسامبر ۲۰۲۳ است. این موضوع احتمالاً می‌تواند حاکی از آن باشد که اطلاعات حدود ۲۰ روز پیش از اسنپ فود استخراج شده است.

چند ساعت بعد از افشای رسمی این خبر، پلیس اعلام کرد که در دفتر اسنپ فود مستقر شده و خود اسنپ فود هم اعلام کرد که در صدد مذاکره با هکرهاست. موضوعی که نشان می دهد وضعیت نباید چندان هم که عنوان می شود آرام و طبیعی باشد.

واکنش مدیرعامل اسنپ

مدیرعامل گروه اسنپ با تأکید بر اینکه اطلاعات بانکی مشتریان در امنیت کامل قرار دارد، گفت: در تلاش برای رفع مشکل پیش آمده هستیم.

محمد خلج، اظهار داشت: در حال تلاش برای رفع مشکل پیش آمده هستیم و با صدور اطلاعیه ای توسط اسنپ فود در این ارتباط، تمرکز خود را برای رفع این مشکل گذاشته‌ایم.

وی افزود:بعد از انجام بررسی های بیشتر می توانیم اطلاعات دقیق تری درباره هک انجام شده منتشر کنیم.

مدیرعامل گروه اسنپ درباره اینکه آیا هکرها داخلی یا خارجی بودند گفت: هنوز به طور دقیق نمی‌توان در این باره اظهار نظر کرد و این موضوع در دست بررسی است.

وی درباره اینکه در چه سطحی اطلاعات کاربران هک شده است تصریح کرد: کلیه اطلاعات پرداخت بانکی کاربران، اعم از اطلاعات مربوط به کد امنیتی کارت (CCV)، رمز عبور و تاریخ انقضا، در امنیت کامل قرار دارد و این اطلاعات مطابق مقررات بانک مرکزی در هیچ یک از پلتفرم‌ها ذخیره نمی‌شود.

خلج اظهار داشت: به زودی و بعد از اطلاعات تکمیلی جزئیات دقیق‌تری از حادثه روی داده اطلاع رسانی خواهد شد.

بیانیه اسنپ‌فود

همچنین در همین راستا شرکت اسنپ‌فود نیز با ذکر اینکه این مجموعه مسئولیت این اتفاق را می‌پذیرد و حتماً بررسی دقیقی در مورد دلایل وقوع آن انجام خواهد داد اعلام کرد: گفتنی است این گروه هکری پیش از مذاکره با اسنپ‌فود اقدام به فروش اطلاعات کرده است و شرکت اسنپ‌فود حداکثر تلاش خود را برای جلوگیری از انتشار داده‌های کاربران، از طریق مذاکره با این گروه هکری، خواهد کرد.

میلاد نوری برنامه‌نویس و کارشناس IT نیز مانند بسیاری دیگر از مردم معتقد است که این نشت اطلاعاتی حقیقتاً خطرناک است. وی در این زمینه گفته است:«قسمتی از اطلاعات کاربری، اطلاعات هویتی است که خطرهای خودش را دارد و بارها راجبش صحبت شده اما اتفاق مهمی که در این هک و به طور مشابه در هک تپسی رخ داد این است که شناسه دستگاه کاربران نیز در آن وجود دارد. برای مثال شناسه‌ای وجود دارد به نام اندروید آی‌دی، از روی این شناسه و با تطابق آن با سایر اطلاعات در موبایل و تبلت اندرویدی می‌توان کاربر را رصد و فعالیت آن را شناسایی کرد؛ اگر شخص در سایت یا اپلیکیشنی به صورت ناشناس حضور پیدا کرده باشد و خبری را فقط خوانده باشد، اگر اندروید آیدی او در سایت ذخیره شده باشد اکنون با فاش شدن این اطلاعات و با تطابق آن با اطلاعات سایت دیگر، این کاربر دیگر ناشناس نیست.»

او ادامه داد:«موضوعی که وجود دارد این است که همه جای دنیا قانون جلو این تخلفات را می‌گیرد، یک سری باید و نباید می‌گذارد و کسب و کارها مجبورند برای اینکه روزی قانون با آن‌ها برخورد نکند آن‌ها را قبول کنند، خیلی از ما کاربران فکر می‌کنیم که در اسنپ و تپسی کارشناسان خبره‌ای وجود دارند و خب هستند اما هیچ یک از آن‌ها برای دیتا و اطلاعات حساس کاربران رمزنگاری انجام نداده‌اند. یعنی اگر شما دیتا بیس را باز کنید اندروید ‌آی‌دی کاربران را می‌بینید.»

او با بیان اینکه یک رمزنگاری ساده می‌توانست جلوی این فاجعه را بگیرد و یا حتی کمترش کند، گفت:« چرا این رمز نگاری صورت نگرفت؟ برای این که روزی که دیتا بیس علی بابا، ایرانسل، تپسی و … بیرون آمد، هیچ قانون و نهادی با آن‌ها برخورد نکرد. همان اندورید ‌آی‌دی که چند ماه پیش در تپسی فاش شد، همان اندورید ‌آی‌دی، در اسنپ فود هم فاش شد و بدون رمزنگاری؛ یعنی حتی از هک تپسی هم درس گرفته نشده، شما تصور کنید که کسب وکارها چقدر اطلاعات رمزنگاری نشده دارند.»

واکنش آقای وزیر

به هر تقدیر این نگرانی ها به حدی بالا گرفته که حتی وزیر ارتباطات را نیز وادار به واکنش کرده است. عیسی زارع پور، وزیر ارتباطات در حاشیه جلسه هیئت دولت درباره هک اسنپ فود و آخرین وضعیت لایحه حفاظت از داده اظهار کرد: این موضوع را دوستان بررسی می کنند و موضوعات مرتبط با کسب و کارها و مسئول رسیدگی به امنیت آنها، پلیس فتا است.

او ادامه داد: ما لایحه حفاظت از داده را به دولت ارسال کردیم و اکنون به کمیسیون حقوقی و قضایی ارسال شده و در آنجا قرار است بررسی شود و سپس برای بررسی نهایی به مجلس ارسال شود تا کلاً بحث حفاظت از داده های شخصی افراد در فضای مجازی نظام‌مند شود و ساز و کار و تکالیفی برای دارندگان سکوها، پلت‌فرم‌ها و همچنین مشخص شود.