«همدلی به بهانه هک شدن دوباره اپلیکیشن حمل و نقلی گزارش میدهد
وقتی هکرها شرط میگذارند!
همدلی| گروه اجتماعی: هکرهایی که پیش از این اطلاعات کاربران «تپسی» را هک کرده بودند مدعی شدند که اطلاعات بیش از ۲۰ میلیون کاربر پلتفرم سفارش غذای آنلایین «اسنپ فود» را هک کردهاند.هنوز چند ماه از هک جنجالی تپسی و فروش اطلاعات کاربران نگذشته بود که روز گذشته، شرکت اسنپ نیز اعلام کرد اسنپ فود هک شده است. این هکرها نمونه اطلاعات هک شده را نیز برای صحت ادعای خود در اختیار کاربران قرار داده و اطلاعات را با قیمت ۳۰ هزار دلار برای فروش گذاشتهاند. در همین راستا اسنپ فود بیانیهای صادر و در اطلاعات خود توسط یک گروه هکری را تایید کرد.این پلتفرم سفارش آنلاین غذا که هکرها میگویند اطلاعات بیش از ۲۰ میلیون از کاربرانش را هک کردهاند، در بیانیه اول خود گفته است که در قدم اول در همکاری با پلیس فتا در حال شناسایی و رفع منبع آلودگی ناشی از اقدام این گروه هکری است.
در اطلاعیه آمده که گروه هکری پیش از مذاکره با اسنپفود اقدام به فروش اطلاعات کرده است و شرکت اسنپفود حداکثر تلاش خود را برای جلوگیری از انتشار دادههای کاربران، از طریق مذاکره با این گروه هکری، خواهد کرد.
همچنین این شرکت ادعا کرده که کلیهی اطلاعات پرداخت بانکی کاربران، شامل اطلاعات مربوط به کد امنیتی کارت (CCV)، رمز عبور و تاریخ اانقضا، در امنیت کامل قرار دارد و این اطلاعات مطابق مقررات بانک مرکزی در هیچ یک از پلتفرمها ذخیره نمیشود.
چرا خطرناک؟
اطلاعاتی مثل نسخه «اپلیکیشن و مدل گوشی و…» اما دوتا پارامتر خیلی مهم در بین این دیتا وجود داره. googleAdId و deviceId. شناسه googleAdId یا همان AAID منحصر به فرد و به ازای هر دیوایس (+ به ازای هر کاربر گوگل) است. یعنی شما اگر با دو حساب کاربری گوگل روی یک گوشی لاگین کردی، هر اکانت، یک شناشه منحصر به فرد AAID داره. مورد بعدی deviceId هست که با بررسی سورس تپسی، نحوه ساخت آن را میتوان بررسی کرد که به احتمال خیلی زیاد در نسخه اندروید از ANDROID_ID استفاده میشود که در اندرویدهای ۸ به قبل، به ازای هر کاربر روی هر دیوایس، منحصر به فرد بوده. حالا تصور کنید شما در اپلیکیشن دیگری، به صورت ناشناس (از نظر خودتان) خبری میخوانید یا فعالیتی انجام میدهید و اون اپلیکیشن بنا به مقاصد تبلیغاتی، آماری و… همین دو پارامتر از شما را (بدون نیاز به سطح دسترسی خاصی)، ذخیره میکند. با تطابق این شناسهها در سرویسهای مختلف، مشخص میشود شما که در فلان اپلیکیشن خبری، خبر ۱ و ۳ رو خواندی، همان کاربری هستی که در فلان اپلیکیشن فلان عکس رو آپلود کردی و همین کاربری هستی که در تپسی فلان سفرها را رفتی. نشتهای اطلاعات سرویسهای مختلف هم باعث میشود این تطابق برای همه افرادی که به این دیتابیسها دسترسی پیدا میکنند، امکانپذیر باشد.
شاید آخرین بار
اما این نخستین بار نیست که سازمان و نهاد ومجموعهای عمومی هک میشود. تاکنون بارها اخبار فراوانی در مورد هک سازمانهای ایرانی منتشر شده است. یکی از کارشناسان IT در این زمینه میگوید: «اغراق نیست اگر بگوییم هر روز چندین سازمان مورد تهاجم سایبری قرار میگیرند منتهی فقط تعداد اندک شماری از آنها رسانهای میشوند. مواردی مانند هک مرکز اطلاعات شهرداری و سایت تهران من یا هم شرکت مخابرات و همراه اول یا حتی صدا و سیما.» در هک تپسی، هکرها علاوه بر اطلاعات مسافرها و رانندهها، به اطلاعات دیوایسها (گوشی و تبلت و…) کاربرها هم دسترسی پیدا کردهاند. اطلاعاتی مثل نسخه اپلیکیشن و مدل گوشی و یک سری اطلاعات دیگر... .
این در حالی است که یک رسانه، مدعی شده که با گروه هکری مزبور مصاحبهای داشته است. این رسانه به نقل از این هکرها نوشته است: هک را به اسنپ فود اطلاع نداده و مستقیما اطلاعات را برای فروش گذاشته است. علت؟ تجربه مذاکره با تپسی: «پس از ماجرای تپسی تصمیم گرفتیم با هیچ شرکتی در آینده مذاکره نکنیم!»
وجهه حقوقی هک
طی دو مورد هک اخیر دو شرکت حمل و نقل اینترنتی، کاربران بسیاری در فضای مجازی مدعی شدند که اسنپ و تپسی به خاطر آنکه نتوانسته از اطلاعات شخصی و محرمانه میلیونها نفرحفاظت کند باید پاسخگو باشند و غرامت پرداخت کنند. با تمام این تفاصیل مهدی تقوی راد، حقوقدان و وکیل دادگستری در گفت و گو با همدلی میگوید: «زمانی میتوان هر شخص حقیقی یا حقوقی را متخلف شناخت و از وی طلب خسارت کرد که آن شخص به دلیل اهمال و قصور در انجام وظایفش باعث خسارت دیدن گروهی شده باشد. در مورد هک شرکتهای تپسی و اسنپ هم باید این مساله توسط کارشناسان بررسی شود. اینکه آیا سهل انگاری کارشناسان و یا پایین بودن ظرفیتهای امنیتی سیستم بانک اطلاعاتی این دو شرکت باعث رخنه هکرها شده است یا نه؟ طبعا اگر بی مبالاتی و سهل انگاری در این زمینه رخ داده باشد و بدین ترتیب حرمت و حیثیت شهروندان به خطر افتاده باشد، این شرکت مقصر است و باید پاسخگو باشد.»
این وکیل دادگشتری با بیان اینکه شرکتها و سازمانهایی که اطلاعات شهروندان را در اختیار دارند طبیعتا باید سیستم ایمنی قوی تری برای حفظ اصرار مخاطبان خود داشته باشد میگوید:این وظیفه مدعی العموم است که در چنین مواردی ورود پیدا کند و جنبههای حقوقی و قضایی مساله را بررسی کند. درست مانند مساله آلودگی هوا که دادستانی به موضوع ورود پیدا کرد. حالا هم باید دادستان به عنوان نماینده مدعی العموم به اینگونه پروندهها ورود پیدا کند و با خاطیان احتمالی برخورد کند.
با تمام این تفاصیل اما هنوز یک سوال دیگر باقی میماند. اینکه اگر شرکتهای و اسنپ تپسی در این پرونده گناهکار تشخیص داده شود، آیا تمام افرادی که اطلاعات آنها فاش شده میتوانند از این شرکت شکایت و ادعای غرامت کنند؟ سوالی که این حقوقدان در پاسخ به آن میگوید: اگر چنین تخلف یا قصوری اثبات شود همه افرادی که به خاطر افشای اطلاعاتشان خسارت مادی یا معنوی دیده اند، میتوانند از طریق دادگاه طرح شکایت کنند و طلب جبران خسارت نمایند.
اما هک اینباردو تفاوت واضح با سایر موارد دارد اول اینکه اینبار گویا ضربه بسیار کاری تر است و پلیس هم سرقت اطلاعات کاربران را تایید کرده و از سویی، با توجه به مصاحبه رسانه با این هکر که همان هکر اسنپ است، به نظر میرسد پلیس نتوانسته مجرم هک قبلی شرکت تپسی را پیدا کند! موضوعاتی که فعلا پلیس و شرکتهای یاد شده در مورد آن سکوت اختیار کرده اند.