وقتی هکرها شرط می‌گذارند!

همدلی| گروه اجتماعی: هکرهایی که پیش از این اطلاعات کاربران «تپسی» را هک کرده بودند مدعی شدند که اطلاعات بیش از ۲۰ میلیون کاربر پلتفرم سفارش غذای آنلایین «اسنپ ‌فود» را هک کرده‌اند.هنوز چند ماه از هک جنجالی تپسی و فروش اطلاعات کاربران نگذشته بود که روز گذشته، شرکت اسنپ نیز اعلام کرد اسنپ فود هک شده است. این هکرها نمونه اطلاعات هک شده را نیز برای صحت ادعای خود در اختیار کاربران قرار داده و اطلاعات را با قیمت ۳۰ هزار دلار برای فروش گذاشته‌اند. در همین راستا اسنپ فود بیانیه‌ای صادر و در اطلاعات خود توسط یک گروه هکری را تایید کرد.این پلتفرم سفارش آنلاین غذا که هکرها می‌گویند اطلاعات بیش از ۲۰ میلیون از کاربرانش را هک کرده‌اند، در بیانیه اول خود گفته است که در قدم اول در همکاری با پلیس فتا در حال شناسایی و رفع منبع آلودگی ناشی از اقدام این گروه هکری است.
در اطلاعیه آمده که گروه هکری پیش از مذاکره با اسنپ‌فود اقدام به فروش اطلاعات کرده است و شرکت اسنپ‌فود حداکثر تلاش خود را برای جلوگیری از انتشار داده‌های کاربران، از طریق مذاکره با این گروه هکری، خواهد کرد.
همچنین این شرکت ادعا کرده که کلیه‌ی اطلاعات پرداخت بانکی کاربران، شامل اطلاعات مربوط به کد امنیتی کارت (CCV)، رمز عبور و تاریخ اانقضا، در امنیت کامل قرار دارد و این اطلاعات مطابق مقررات بانک مرکزی در هیچ یک از پلتفرم‌ها ذخیره نمی‌شود.
چرا خطرناک؟
اطلاعاتی مثل نسخه «اپلیکیشن و مدل گوشی و…» اما دوتا پارامتر خیلی مهم در بین این دیتا وجود داره. googleAdId و deviceId. شناسه googleAdId یا همان AAID منحصر به فرد و به ازای هر دیوایس (+ به ازای هر کاربر گوگل) است. یعنی شما اگر با دو حساب کاربری گوگل روی یک گوشی لاگین کردی، هر اکانت، یک شناشه منحصر به فرد AAID داره. مورد بعدی deviceId هست که با بررسی سورس تپ‌سی، نحوه ساخت آن را می‌توان بررسی کرد که به احتمال خیلی زیاد در نسخه اندروید از ANDROID_ID استفاده می‌شود که در اندرویدهای ۸ به قبل، به ازای هر کاربر روی هر دیوایس، منحصر به فرد بوده. حالا تصور کنید شما در اپلیکیشن دیگری، به صورت ناشناس (از نظر خودتان) خبری می‌خوانید یا فعالیتی انجام می‌دهید و اون اپلیکیشن بنا به مقاصد تبلیغاتی، آماری و… همین دو پارامتر از شما را (بدون نیاز به سطح دسترسی خاصی)، ذخیره می‌کند. با تطابق این شناسه‌ها در سرویس‌های مختلف، مشخص می‌شود شما که در فلان اپلیکیشن خبری، خبر ۱ و ۳ رو خواندی، همان کاربری هستی که در فلان اپلیکیشن فلان عکس رو آپلود کردی و همین کاربری هستی که در تپ‌سی فلان سفرها را رفتی. نشت‌های اطلاعات سرویس‌های مختلف هم باعث می‌شود این تطابق برای همه افرادی که به این دیتابیس‌ها دسترسی پیدا می‌کنند، امکان‌پذیر باشد.
شاید آخرین بار
اما این نخستین بار نیست که سازمان و نهاد ومجموعه‌‌‌‌ای عمومی هک می‌شود. تاکنون بارها اخبار فراوانی در مورد هک سازمان‌‌های ایرانی منتشر شده است. یکی از کارشناسان IT در این زمینه می‌گوید: «اغراق نیست اگر بگوییم هر روز چندین سازمان مورد تهاجم سایبری قرار می‌گیرند منتهی فقط تعداد اندک شماری از آنها رسانه‌‌‌‌ای می‌شوند. مواردی مانند هک مرکز اطلاعات شهرداری و سایت تهران من یا هم شرکت مخابرات و همراه اول یا حتی صدا و سیما.»  در هک تپ‌سی، هکرها علاوه بر اطلاعات مسافرها و راننده‌ها، به اطلاعات دیوایس‌ها (گوشی و تبلت و…) کاربرها هم دسترسی پیدا کرده‌اند. اطلاعاتی مثل نسخه اپلیکیشن و مدل گوشی و یک سری اطلاعات دیگر... .
این در حالی است که یک رسانه، مدعی شده که با گروه هکری مزبور مصاحبه‌‌‌‌ای داشته است. این رسانه به نقل از این هکرها نوشته است: هک را به اسنپ فود اطلاع نداده و مستقیما اطلاعات را برای فروش گذاشته است. علت؟ تجربه مذاکره با تپسی: «پس از ماجرای تپسی تصمیم گرفتیم با هیچ شرکتی در آینده مذاکره نکنیم!»
وجهه حقوقی هک
طی دو مورد هک اخیر دو شرکت حمل و نقل اینترنتی، کاربران بسیاری در فضای مجازی مدعی شدند که اسنپ و تپسی به خاطر آنکه نتوانسته از اطلاعات شخصی و محرمانه میلیون‌ها نفرحفاظت کند باید پاسخگو باشند و غرامت پرداخت کنند. با تمام این تفاصیل مهدی تقوی راد، حقوقدان و وکیل دادگستری در گفت و گو با همدلی می‌گوید: «زمانی می‌توان هر شخص حقیقی یا حقوقی را متخلف شناخت و از وی طلب خسارت کرد که آن شخص به دلیل اهمال و قصور در انجام وظایفش باعث خسارت دیدن گروهی شده باشد. در مورد هک شرکت‌‌های تپسی و اسنپ هم باید این مساله توسط کارشناسان بررسی شود. اینکه آیا سهل انگاری کارشناسان و یا پایین بودن ظرفیت‌‌های امنیتی سیستم بانک اطلاعاتی این دو شرکت باعث رخنه هکرها شده است یا نه؟ طبعا اگر بی مبالاتی و سهل انگاری در این زمینه رخ داده باشد و بدین ترتیب حرمت و حیثیت شهروندان به خطر افتاده باشد، این شرکت مقصر است و باید پاسخگو باشد.»
این وکیل دادگشتری با بیان اینکه شرکت‌ها و سازمان‌‌‌هایی که اطلاعات شهروندان را در اختیار دارند طبیعتا باید سیستم ایمنی قوی تری برای حفظ اصرار مخاطبان خود داشته باشد می‌گوید:این وظیفه مدعی العموم است که در چنین مواردی ورود پیدا کند و جنبه‌‌های حقوقی و قضایی مساله را بررسی کند. درست مانند مساله آلودگی هوا که دادستانی به موضوع ورود پیدا کرد. حالا هم باید دادستان به عنوان نماینده مدعی العموم به اینگونه پرونده‌ها ورود پیدا کند و با خاطیان احتمالی برخورد کند.
با تمام این تفاصیل اما هنوز یک سوال دیگر باقی می‌ماند. اینکه اگر شرکت‌‌های و اسنپ تپسی در این پرونده گناهکار تشخیص داده شود، آیا تمام افرادی که اطلاعات آنها فاش شده می‌توانند از این شرکت شکایت و ادعای غرامت کنند؟ سوالی که این حقوقدان در پاسخ به آن می‌گوید: اگر چنین تخلف یا قصوری اثبات شود همه افرادی که به خاطر افشای اطلاعاتشان خسارت مادی یا معنوی دیده اند، می‌توانند از طریق دادگاه طرح شکایت کنند و طلب جبران خسارت نمایند.
اما هک اینباردو تفاوت واضح با سایر موارد دارد اول اینکه اینبار گویا ضربه بسیار کاری تر است و پلیس هم سرقت اطلاعات کاربران را تایید کرده و از سویی، با توجه به مصاحبه رسانه با این هکر که همان هکر اسنپ است، به نظر می‌رسد پلیس نتوانسته مجرم هک قبلی شرکت تپسی را پیدا کند! موضوعاتی که فعلا پلیس و شرکتهای یاد شده در مورد آن سکوت اختیار کرده اند.