واکاوی ماجرای هک اسنپ‌فود و افشای اطلاعات کاربران

حملات سایبری


به نقل از مهتاب من، با گسترش پلتفرم‌های دیجیتال، مدیریت اطلاعات بیشتر از هر زمان فرد دیگر اهمیت یافته است؛ چون داده‌های شخصی درواقع کالایی مورد قیمت در دنیای دیجیتال امروزی محسوب خواهد شد. بااین‌حال، بی‌دقتی شرکت‌ها، خطای انسانی و تأخیر در پاسخگویی، جرایم سایبری و… به این معنی است که از این داده‌ها آن‌طور که بایدوشاید محافظت نمی‌بشود و این عدم حفاظت و امنیت داده امکان پذیر علاوه بر لکه‌دارشدن اعتبار شرکت‌ها و کسب‌وکارهای دیجیتال، تبدیل خسارات مالی شدید، از‌دست‌دادن حریم خصوصی و صدمه‌های عاطفی و‌ جسمی بشود.

بر پایه تحقیقات مؤسسه Check Point، در سال ۲۰۲۲ نزدیک به ۹.۱ میلیارد دعوا سایبری شناسایی شد که نشان‌دهنده افزایش ۳۸ درصدی نسبت به سال ۲۰۲۱ می بود. این روال در سال ۲۰۲۳ نیز ادامه داشت و در این سال تقریباً ۱۰.۸ میلیارد دعوا سایبری شناسایی شد. در طول سه‌ماهه چهارم سال ۲۰۲۲، نزدیک به ۲۸ درصد از حملات سایبری در سراسر جهان مؤسسات مالی را مقصد قرار دادند. علاوه‌براین، سرویس‌های نرم‌افزاری مبتنی بر وب و webmail تقریباً ۱۸ درصد، رسانه‌های اجتماعی با نزدیک به ۱۰ درصد و تدارکات/ حمل‌و‌نقل ۹ درصد از حملات ثبت‌شده را به خود تعلق داده‌اند؛ دیگر موارد را می‌توانید در نمودار زیر ببینید.

به این علت امنیت سایبری به‌گفتن یکی از با اهمیت ترین مسائل عصر دیجیتال، آن‌قدر حائز اهمیت است که گسترش کسب‌‌وکارها و حریم خصوصی افراد به آن گره خورده. به همین جهت در جهان، دولت‌ها به وضع قوانین و عمل های تنظیم‌گرانه مرتبط روی آورده‌اند. به گفتن مثال، بر پایه گزارش ۲۰۲۱ سازمان ملل، ۱۳۷ سرزمین از ۱۹۴ سرزمین قوانین یکپارچه‌ای برای حفاظت از داده‌ها و حریم خصوصی وضع کرده‌اند و از سال ۲۰۲۱ تا ۲۰۲۳، هفده سرزمین دیگر به این تعداد افزوده شده است. زیاد تر این کشورها نیز از مقررات عمومی حفاظت از داده‌ها (GDPR) اتحادیه اروپا الگو گرفته‎‌اند و با نگاهی به این قوانین و مقررات و بازدید الزامات امنیت سایبری آن‌ها، ضمن فهمیدن تفاوت‌های جزئی، می‌توان این قوانین را به دو دسته مقررات و عمل های پیشگیرانه و برخوردهای اصلاحی تقسیم کرد. عمل های پیشگیرانه شامل پروتکل‌ها، الزامات امنیتی، استانداردهای فنی و برخوردهای اصلاحی شامل جریمه، عمل های آموزشی، جبران خسارت و… می‌بشود.

اما در ایران با وجود نهادهای سیاست‌گذار و تقنینی، در مرکز ملی فضای مجازی و مجلس شورای اسلامی، علی‌رغم وجود مقررات جزیره‌ای، نه‌تنها قانون یکپارچه‌ای دراین‌باره تصویب نشده، بلکه فعالیت در حوزه امنیت سایبری در سرزمین با تعدد اختیارات مراکز گوناگون (همانند مرکز ماهر زیر نظر وزارت ارتباطات، پلیس فتا، مرکز افتا ریاست‌جمهوری، سازمان پدافند غیرعامل و … ) روبه‌روست و تا این مدت اشکار نیست که کدام نهاد و یا دستگاه متولی مهم امنیت سایبری در لایه‌های گوناگون در سرزمین است.

به این علت تعریف مسئولیت نهادهای مرتبط و تنظیم مقررات پیشگیرانه و الزامات امنیت سایبری در یک قانون یکپارچه یکی از با اهمیت ترین برتری‌های سرزمین است؛ اما در ادامه این نوشته با دقت به دعوا سایبری تازه به اسنپ‌فود و هک حجم عظیمی از داده‌های شخصی کاربران، به بازدید این نوشته خواهیم پرداخت که چنانچه یک پلتفرم دیجیتالی در یکی از کشورهای اروپایی با این حجم از نقض داده‌ها (Data Breaches) مواجه می‌شد، مطابق مقررات (GDPR) چه برخوردهای اصلاحی با آن صورت می‌گرفت؟

اخیراً نیز گروه هکری IRLeaks که در تابستان ۱۴۰۱ اطلاعات کاربران شرکت تاکسی اینترنتی تپسی را هک کرده می بود، در ۹ دی‌ماه ۱۴۰۲ با اراعه مثالهایی، خبرداد که اطلاعات بیشتر از ۲۰ میلیون کاربر و ۸۸۰ میلیون خواست شرکت اسنپ‌فود را که در حوزه خواست آنلاین غذا در ایران فعالیت می‌کند، به‌دست آورده است. هرچند اسنپ‌فود به کاربران مطمعن داده که اطلاعات بانکی و پرداختی آن‌ها در امنیت کامل است، ولی داده‌های هک شده از کاربران شامل نام کاربری، رمز عبور، ایمیل، نام و نام‌خانوادگی، شماره موبایل، تاریخ تولد و… می‌بشود و نیز اطلاعات بیشتر از ۵۱ میلیون آدرس کاربران شامل موقعیت GPS، آدرس کامل، شماره تلفن و… و این چنین اطلاعات بیشتر از ۱۸۰ میلیون گوشی هوشمند و تبلت مورد منفعت گیری کاربران شامل نوع و مدل، پلتفرم، توکن، فروشگاه نصب برنامه و… هک شده است. این حجم از اطلاعات در ابعاد گوناگون که برخی از آن‌ها در فضای مجازی نیز انتشار شد، در کمترین حالت مسائل حیثیتی و در بیشترین حد ممکن، تبعات امنیتی برای این کاربران در پی خواهد داشت.

بر پایه مقررات حفاظت از داده‌های عمومی (GDPR)، مجازات نقض داده‌های شخصی از یک پلتفرم دیجیتال بسته به ماهیت، شدت نقض و زمان تخلف می‌تواند متفاوت باشد. GDPR به مقامات نظارتی در هر سرزمین عضو اتحادیه اروپا اجازه می‌دهد تا جریمه‌های اداری را برای عدم مراعات مفاد آن اعمال کنند. جرایم اداری در دو ردیف به شرح زیر طبقه‌بندی می‌بشود:

تخلفات سطح پایین

عموماً این تخلفات مربوط به ترتیبات اداری است و عواقب منفی و خطر قابل‌توجهی برای حریم خصوصی داده‌ها تشکیل نمی‌کند. جرایم این سطح عموماً برای نقض‌های سطح پایین، همانند عدم انتصاب مأمور حفاظت از داده‌ها (DPO)، عدم نگهداری اسبق فعالیت‌های پردازشی یا عدم انجام برسی تأثیر حفاظت از داده‌ها (DPIA) در صورت لزوم اعمال می‌بشود. بنابر بازدید‌های انجام‌شده، آخرین نمونه اطلاعات نقض‌شده در اسنپ‌فود مربوط به تاریخ ۱۰ دسامبر یا ۲۰۲۳ (۱۹ آذرماه ۱۴۰۲) است. با دقت به زمان علنی‌شدن این نقض داده‌ها توسط گروه هکری، این نوشته به گمان زیادً می‌تواند حاکی از آن باشد که اطلاعات نزدیک به ۲۰ روز سریعتر از اسنپ‌فود استخراج شده است.

جدیدترین اخبار و مهم ترین رویدادهای ۲۴ ساعته در بخش های حوادث ، اجتماعی ، سیاسی ، اقتصاد و تکنولوژی ، ورزشی ، فرهنگ وهنر ایران و سایر مناطق جهان را در مهتاب من بخوانید.

فارغ از این که علت تعلل طویل اسنپ‌فود در اعلان این اتفاق چه بوده، عملاً زمان بسیاری این قضیه از نظر کاربرانی که داده‌های آن‌ها مورد دعوا قرار گرفته و نیز مقامات نظارتی همانند پلیس فتا، نهان مانده است. چنانچه اسنپ‌فود در اروپا فعال می بود، مطابق GDPR، در صورت نقض داده و عدم گزارش تخلف صورت‌گرفته طی ۷۲ ساعت به مقامات وابسته و کاربران مورد مقصد، مشمول جریمه‌ای تا سقف ۱۰ میلیون یورو یا ۲ درصد از گردش مالی سالانه (جهانی) سال مالی (هرکدام که زیاد تر باشد) می‌شد؛ همان گونه که در نوامبر ۲۰۲۲، شرکت متا به‌علت نقض حفاظت از داده‌ها و تأخیر در اعلان به‌موقع، مشمول ۲۶۵ میلیون یورو جریمه شد.

 تخلفات سطح بالا

همان گونه که حرف های شد، مقامات نظارتی زمان تعیین جریمه‌ها عوامل مختلفی ازجمله تعداد کاربر و تعداد داده را درنظر می‌گیرند. جریمه نقض‌های سطح بالا یا سطح ۲ قابل‌دقت است، چون مستقیماً بر حریم خصوصی آنلاین تأثیر می‌گذارند. این ردیف برای تخلفات جدی‌تر، ازجمله نقض اصول مهم پردازش داده‌های شخصی، نقض حقوق افراد و رضایت کاربران و نیز عدم اجرای عمل های فنی و سازمانی مناسب برای ضمانت امنیت داده‌ها قابل اعمال است. به گفتن مثال، با معیار قراردادن تعداد کاربران مورد دعوا سایبری در اسنپ‌فود، دو پلتفرم Tigo (چت تصویری) با نقض داده‌های شخصی بیشتر از ۷۰۰۰۰۰ کاربر و PeopleConnect (پشتیبان خدماتی) با نزدیک به ۲۰ میلیون کاربر در سال ۲۰۲۳، هرکدام بیشتر از ۱۰۰ میلیون دلار و British Airways (پلتفرم مسافرتی و حمل‌ونقل هوایی) در ۲۰۱۸، ۲۰ میلیون یورو جریمه شده‌اند. به‌طور کلی، اسنپ‌فود با نقض داده بیشتر از ۲۰ میلیون کاربر، مطابق مقررات GDPR و در راستای فراهم منفعت عمومی، مشمول جریمه‌ای تا ۲۰ میلیون یورو یا ۴ درصد از گردش مالی سالانه (جهانی) سال مالی (هرکدام که زیاد تر باشد) می‌گردد.

 عمل های حقوقی توسط کاربران

علی‌رغم جرایم اداری که گفتن شد (که در راستای منفعت عمومی اعمال می‌بشود)، مطابق الزامات GDPR، اشخاصی که از نقض داده‌ها تحت تأثیر قرار می‌گیرند، این حق را دارند که با داشتن ادله کافی، برای خسارات ناشی از نقض مستقیماً از پلتفرم خواست غرامت کنند و در صورت عدم توافق می‌توانند علیه پلتفرم به‌علت عدم محافظت از داده‌های شخصی و مبتنی بر نوع خسارت (که در جدول زیر آمده است) به دادگاه شکایت کنند. مطابق قانون، کاربران تا ۶ سال از آخرین زمان نقض اطلاعات شخصی خود حق شکایت دارند. جریمه ۷۴۶ میلیون یورویی آمازون در ۲۰۲۱ به‌علت شکایت ۱۰۰۰۰ نفر علیه آمازون در سال ۲۰۱۸ یکی از مثالهای نقل منفعت گیری از این حق در اروپاست.

 انواع خسارت مبالغ خسارت

نقض داده‌های شخصی تا ۲۰۰۰ پوند

نقض داده‌های پزشکی ۲۰۰۰ پوند – ۵۰۰۰ پوند

نقض اطلاعات مالی ۳۰۰۰ پوند – ۸۶۰۰ پوند

نقض داده همراه با عواقب فاجعه‌بار ۸۶۰۰ پوند – ۲۵۷۰۰ پوند

نقض داده تبدیل صدمه جسمانی و عاطفی تا ۴۲۹۰۰ پوند

با دقت به این که مطابق الزامات بانک مرکزی، ذخیره داده‌های مالی کاربران در مرکز داده پلتفرم ممنوع است، گمان آنکه داده‌‎های درز کرده اسنپ‌فود شامل این داده‌ها باشد، زیاد کم است. اما با دقت به گستردگی داده‌ها، اکثر داده‌های شخصی در این نقض داده وجود داشته‌اند و چنانچه اسنپ‌فود مشمول GDPR می بود، تا ۶ سال آینده کاربران متضرر می‌توانستند با اراعه مستند به دادگاه‌ها، در جهت احقاق حقوق خود عمل و مطابق جدول بالا مطالبه خسارت نمایند. در آخر، بر پایه مقررات GDPR، اسنپ‌فود باید کلیه نیروهای خود را ملزم به شرکت در کمپین (دوره آموزشی) همانند‌سازی فیشینگ کند تا آن‌ها در صورت قبولی، گواهی‌نامه مجدد دریافت کنند.

متأسفانه آمار شفافی از گردش مالی اسنپ‌فود در دسترس نیست و آمارهای غیر‌رسمی مختلفی وجود دارد. اما مطابق یک محاسبه حداقلی، چنانچه فکر کنیم اسنپ‌فود ۱۰۰ هزار خواست ۱۰۰ هزار تومانی در هر روز ثبت کند، گردش مالی این پلتفرم در طول سال نزدیک به ۳.۶۵ هزار میلیارد تومان خواهد می بود و با فکر کمیسیون ۱۰ تا ۱۵ درصدی، درآمد سالانه آن بین ۳۵۰ تا ۵۵۰ میلیارد تومان محاسبه می‌بشود. به این علت با فکر آنکه طی ۶ سال آینده، کاربری از اسنپ‌فود شکایت نکند، مطابق GDPR با دقت به آنکه اسنپ‌فود مشمول هر دو نوع تخلف اداری سطح پایین و بالا شده است، باید ۶ درصد این درآمد را به‌گفتن جریمه بپردازد که حدوداً شامل ۳۰ میلیارد تومان می‌بشود. همان گونه که پیش‌تر گفتیم، نیاز به عمل های اساسی‌تر برای حفاظت از داده‌های شهروندان به‌شدت حس می‌بشود.





منبع :


دیجیاتو







منبع