هک به نوبت
یک گروه هکری که پیش از این سابقه حمله سایبری و هک شرکتهای تپسی، اسنپفود و سایت سازمان حج و زیارت را داشت، در روز نوزدهم ماه جاری با انتشار پستی در کانال تلگرامی خود ادعا کرد که پلتفرم «اتاقک» را هک کرده و به اطلاعات مختلفی دست یافته است. اتاقک پلتفرم رزرو آنلاین اقامتگاه است که این گروه هکری ادعا میکند با هک آن به اطلاعاتی از جمله اطلاعات رزرواسیون، اطلاعات بانکی، پیامها و چتها، اطلاعات کاربری و اطلاعات دقیق اماکن قابل رزرو دست پیدا کرده است. این گروه هکری نمونه این اطلاعات را هم در لینکی به اشتراک گذاشته که برای همه کاربران قابل دسترسی و دریافت است. این روشی است که این گروه هکری در همه حملههای سایبری خود انجام میدهد. بخشی از اطلاعاتی را که به آنها دست پیدا کرده منتشر میکند و پلتفرم هکشده را ترغیب میکند که در ازای مبلغی مشخص این اطلاعات را به آنها بازگردانده و بهصورت عمومی منتشر نکند.
چند ساعت پس از رسانهای شدن هک اتاقک، این پلتفرم در بیانیهای اعلام کرد که در حال راستیآزمایی ادعای هک گروه IRLeaks است و در صورتی که این ادعا تایید شود مسوولیت آن را میپذیرد. همچنین به کاربران خود اطمینان خاطر داد که کلیه اطلاعات پرداخت بانکی کاربران، اعم از اطلاعات مربوط به کد امنیتی کارت (CVV2)، رمز عبور و تاریخ انقضا، در امنیت کامل قرار دارد و این اطلاعات مطابق مقررات بانک مرکزی در هیچ یک از پلتفرمها ذخیره نمیشوند. اتاقک دو روز بعد در اطلاعیه دوم خود هک اطلاعاتش را تایید و دوباره تاکید کرد که دسترسی غیرمجاز به اطلاعات بانکی کاربران صورت نگرفته است.
در شرایطی که گروه هکری مذکور به این پلتفرم مهلت داده بود تا برای جلوگیری از فروش اطلاعات وارد مذاکره شود، اتاقک در بیانیه سوم خود با اشاره به اینکه با هکرها به توافق رسیده است، به کاربران خود اطمینان داد که اطلاعاتی که به دست هکرها افتاده، فروخته نخواهد شد. با اعلام این گروه هکری مبنی بر موفقیتآمیز بودن مذاکرات با اتاقک، عدمفروش اطلاعات کاربران این پلتفرم تایید شد.
در شرایطی که گروه هکری مذکور در جدیدترین اطلاعیه خود آخرین وضعیت فروش اطلاعات پلتفرمهای هکشده را منتشر کرده، در ادامه غفلت قوانین، انفعال مسوولان دولتی و خصوصی و عدمشفافیت در حفاظت از دادهها و آسیبپذیری بالای کاربران ایرانی نسبت به حملات سایبری، بررسی شده است. در آخرین اطلاعیه گروه هکری IRLeaks ضمن بیان فروشی نبودن اطلاعات پلتفرمهای اسنپفود و اتاقک، مبالغ قابلتوجهی برای فروش اطلاعات کاربران 23 شرکت بیمه، پلتفرم تپسی و سازمان حج و زیارت اعلام شده است. طبق این اطلاعیه، مبالغ 25هزار دلار و 90هزار دلار بهترتیب برای فروش اطلاعات این سه سازمان ذکر شده است.
این موضوع مهر تاییدی بر عدمشفافیت نهادهای هکشده در قبال کاربران خود است که نشاندهنده عدماحساس مسوولیتی نسبت به بیان جزئیات مورد مذاکره، نبود اقدامات امنیتی متعاقب آن بهمنظور تکرارنشدن نشت اطلاعات و عدماطمینانبخشی به کاربران برای عدمافشای دادهها حتی در صورت توافق است. پیش از اتاقک، سازمان حج و زیارت هدف اولین هک از سلسله حملات سایبری شروع شده در سال گذشته بود. این گروه همچنین ادعا کرد به 1.25 ترابایت اطلاعات مهمی از حجاج و زائران که از سال 1363 تا 1403 در این سایت ذخیره شده بود، دست پیدا کرده است.
سازمان حج و زیارت نیز بهعنوان مسوول حفاظت از دادههای کاربران خود، فقط این هک را تایید کرد، اما اسم این سازمان همچنان در فهرست گروه هکری مذکور برای فروش اطلاعات قرار دارد. از سوی دیگر، اطلاعات شخصی 27 میلیون مسافر و 6میلیون راننده تپسی نیز در سال گذشته هک شد و اسم این پلتفرم نیز در فهرست همان گروه هکری قرار دارد، تپسی هم مانند سازمان حج و زیارت توضیحی درباره اقدامات امنیتی برای جلوگیری از فروش تکرار نشت دادههای کاربران منتشر نکرده است.
223 نشت داده بهازای هر 100 ایرانی
فارغ از این، ایرانیها از سال گذشته مجموعهای از حملات سایبری به سامانهها و پلتفرمهای داخلی را تجربه کردهاند؛ تا جایی که تعداد حملههای سایبری در سال 1402 به میزانی بود که در حوزه فناوری میتوان این سال را به نام سال تهدید امنیت سایبری کشور و وضعیت پر مخاطره صیانت از داده شناخت. در همان سال بود که مرکز ملی فضای مجازی پس از هکهای مکرر، دستورالعمل اجرایی حفاظت از حریم خصوصی کاربران را ابلاغ کرد، اما در حال حاضر با گذشت چند ماه و تمدید مهلتها هنوز گزارشی از تمکین کسب و کارها از این دستورالعمل منتشر نشده است. پیش از این حسین دلیریان، سخنگوی مرکز ملی فضای مجازی، در گفتوگو با «دنیایاقتصاد» با بیان اینکه مهلت دوم اجرای دستورالعمل حفاظت از حریم خصوصی کاربران در اواخر خرداد ماه به پایان خواهد رسید، توضیح داد: «اجرای بخش زیادی از این دستورالعمل پیش از عید به پایان رسیده است.»
علاوه بر این، تصویب لایحه اخیر دولت مبنیبر حفاظت از دادههای شخصی بدون انتشار جزئیات الزامآور قانونی است که کارشناسها نگاه مثبتی به آن ندارند و به اعتقاد کارشناسان، در مثبتترین نگاه ممکن اگر این لایحه دولت فقط با ایده صیانت از دادههای مردم تصویب شده باشد، با تشدید فیلترینگ از سال 1401 و تداوم آن، حفاظت از دادهها و امنیت آنها عملا کار دشواری است؛ زیرا با استفاده مداوم مردم از فیلترشکن برای دسترسی به تلگرام، اینستاگرام و سایر پلتفرمهای بینالمللی فیلترشده، گوشیهای آنها و در کل شبکه ناامن و آسیبپذیر میشود و محل انواع حملات سایبری است. کارشناسان نسبت به دستورالعمل حفاظت از حریم خصوصی کاربران هم نظر مشابهی دارند و معتقدند که این دستورالعمل ضمانت اجرایی و بازدارندگی مانند قانون ندارد.
همچنین برخی از آنها معتقدند اجرای این دستورالعمل برای کسب و کارها هزینه خواهد داشت. فارغ از اینها، با فیلترینگ گسترده اینترنت در دو سال اخیر و افزایش محدودیتهای فضای مجازی، اکثر پروتکلهای ایمنسازی مخدوش شدهاند و به اعتقاد کارشناسان تا زمانی که فیلترینگ و استفاده از فیلترشکن همچنان پابرجا باشد، ایران برای حملات سایبری هکرها هدفی آسان و در دسترس خواهد بود. نمیتوان انتظار داشت تا با وجود سلطه فیلترینگ بر شبکه اینترنت ایران، مانع جدی برای هکرها وجود داشته باشد.
غفلت قوانین از رخنه در دادهها در ایران تا حدی جدی است که مرکز پژوهشهای مجلس در گزارشی به این موضوع پرداخت و طبق آن، در دنیا اقدامات و الزامات قانونی سختگیرانهای برای جلوگیری از بروز فساد در دادهها انجام شده، اما این موضوع در ایران با وجود برخی از اقدامات مثبت تا حد زیادی مغفول مانده است؛ تا جایی که در کشورهای کرهجنوبی، فرانسه، ایرلند، کانادا، انگلستان و ایتالیا بیش از 124 الزام قانونی در حوزه حفاظت از دادههای شخصی وجود دارد؛ اما در قوانین ایران فقط 13الزام دیده شده است. علاوه بر این، آمارهای بینالمللی وضعیت نامساعد ایران در امنیت داده را تایید میکند. بر اساس آمار لحظهای منتشر شده از سوی سرفشارک، از سال 2004 تاکنون، یعنی در دو دهه گذشته، ایران 0.9درصد از کل نشت داده در جهان را به خودش اختصاص داده است.
طبق دادههای این بنیاد غیرانتفاعی که در زمینه آزادی دسترسی به اینترنت و امنیت سایبری فعالیت میکند، در طول دو دهه گذشته بیش از 160 میلیون و 700 حساب کاربری در ایران دچار نشت داده شدهاند و در این بازه زمانی به طور متوسط از هر صد شهروند ایرانی، 223 نفر نشت داده را تجربه کردهاند. این بررسیها نشان میدهد که هر آدرس ایمیل حدود سه بار هک شده است و به ازای هر صد نفر، 88 نفر در ایران هک شدن ایمیل خود را تجربه کردهاند. با این اوصاف، نبود قوانین و جریمههای بازدارنده در زمینه سهلانگاری در نگهداری از اطلاعات خصوصی افراد و نیز به رسمیت نشناختن حق فراموشی داده برای اجرای درخواست حذف اطلاعات شخصی از سوی کاربران در پلتفرمها باعث شده است تا اخبار نشت اطلاعات حیاتی شهروندان ایران به امری تکراری تبدیل شود؛ موضوعی که همه زیانهای مادی و معنوی آن را تنها کاربران ایرانی متحمل میشوند.