مجله سیمدخت
0

اکتشاف مداوم اطلاعات کاربران توسط هکرها؛ دلایل نگرانی چیست؟

اکتشاف مداوم اطلاعات کاربران توسط هکرها؛ دلایل نگرانی چیست؟
بازدید 64

گرچه نفوذ به اطلاعات کاربران در یک پلتفرم یا وب‌سایت امر جدیدی نمی‌باشد، اما بدون شک، این اتفاق نگران‌کننده است. کارشناسان حوزه امنیت معتقدند که اطلاعات شخصی کاربران ممکن است مورد سوءاستفاده قرار گیرد. آن‌ها باور دارند که عدم وجود یک قانون منسجم و بازدارنده در زمینه امنیت و حفاظت از داده‌های کاربران باعث شده تا کسب‌وکارها به اندازه‌ی کافی به مسائل امنیتی توجه نکنند.

در ابتدای هفته، «میلاد منشی‌پور»، مدیرعامل تپسی، اعلام کرد که بخشی از اطلاعات پلتفرم تپسی توسط هکرها دزدیده شده است. هرچند او جزئیات دقیقی از اطلاعات متضرر شده را منتشر نکرد، اما یک هکر ادعا کرده است که اطلاعات همه کاربران و رانندگان این پلتفرم همراه با چند دسته اطلاعات مهم دیگر نیز در اختیار او قرار گرفته است.

در ماه گذشته، خبرهایی از هک و سرقت اطلاعات چند مجموعه دیگر نیز منتشر شده است، از جمله استارتاپ گردشگری قاصدک ۲۴، برخی صرافی‌های آنلاین و شرکت‌های بیمه‌ای. برخی از این اطلاعات تکذیب شده و برخی دیگر تأیید شده‌اند. همچنین در طول چند سال اخیر، حملات سایبری به مجموعه‌های دولتی مانند سازمان ثبت احوال نیز اطلاعات میلیون‌ها ایرانی را در بر گرفته و به سرقت رفته است.

با این وجود، برخی از افراد به خاطر افشای اطلاعات خود به‌سادگی این موضوع را نادیده گرفته و فکر می‌کنند که این اطلاعات برای دیگران اهمیتی ندارد. از سوی دیگر، برخی افراد همواره از امکان به‌سرقت‌رفتن اطلاعات خود نگران هستند. اما این افشای اطلاعات به چه اندازه خطرناک است؟ برای جلوگیری از آن، کاربران، کسب‌وکارها و دولت‌ها چه اقداماتی می‌توانند انجام دهند؟

اکتشاف مداوم اطلاعات کاربران توسط هکرها؛ دلایل نگرانی چیست؟

مردم بی‌تفاوت و اطلاعات مهم

“میلاد نوری”، برنامه‌نویس و کارشناس IT، در پاسخ به سؤالی درباره عدم توجه برخی افراد به افشای اطلاعات شخصی خود، در گفتگو با دیجیاتو اظهار داشت:

“اولین دلیل این موضوع این است که بسیاری از کاربران ایرانی به حقیقت اینکه اطلاعات شخصی، حتی اگر غیرحساس باشند، جزئی از حریم خصوصی خود محسوب می‌شوند، آگاهی ندارند. این نقطه ناشی از عدم آگاهی به مفهوم حریم خصوصی و اهمیت آن است. به همین دلیل، تنها زمانی که یک موضوع به نظر آن‌ها بسیار مستقیم و خطرناک بیاید، حساسیت نشان می‌دهند. به عبارت دیگر، مواردی که در نگاه اول به نظر خطرناک می‌آیند، مورد توجه آن‌ها قرار می‌گیرد.”

وی با اشاره به نبود قانون کامل در این زمینه به عنوان یک دلیل دیگر، توضیح داد: “عدم وجود یک قانون کامل و بازدارنده در زمینه حفاظت از اطلاعات شخصی، از دلایل مهم دیگر نادیده گرفته شدن حقوق کاربران است. همچنین، عدم امکان پیگیری مؤثر توسط افراد متضرر از سرقت اطلاعات، باعث می‌شود که کاربران کمتر در این زمینه از حقوق خود مطلع شوند.”

نوری بیان کرد: “نشت اطلاعات در چند سال اخیر به گونه‌ای رایج شده است که برخی از افراد به آن عادی‌تر نگاه می‌کنند. به عبارتی، برخی از آن‌ها به طوری مشابه با فاجعه، نگرانی نشان می‌دهند. این عادی‌شدن نشت اطلاعات در میان عموم مردم، موجب شده تا برخی از آن‌ها این مسائل را جدی نگیرند.”

از نظر وی، حتی اطلاعات کوچک و غیرحساس هم در کنار یکدیگر، می‌توانند به شدت خطرناک باشند: “اگرچه ممکن است تک‌تک اطلاعات جزئی اهمیت زیادی نداشته باشند، اما با ترکیب دیتابیس‌های مختلف، به جزئیات بسیاری از اطلاعات هویتی و فعالیت‌های کاربر دست یافت. این اطلاعات می‌توانند برای مواردی مانند کلاهبرداری، هک‌های اجتماعی و سایر سوءاستفاده‌ها به‌کار روند.”

وی با اشاره به مثالی از یک پیام تلگرامی، توضیح داد: “ترکیب یک پیام تلگرامی با شماره تلفن کاربر و تطابق آن با دیتابیس‌های مختلف اپراتورها، تلگرام‌های غیررسمی و موارد دیگر می‌تواند به اطلاعاتی مانند آدرس، کد پستی، لیست سفرها و غیره دست یابد.”

باید روش‌های بهینه برای مقابله با کلاهبرداری را بهبود بخشیم

نوری معتقد است که به دلیل عدم وجود یک قانون کامل و بازدارنده برای کسب‌وکارها، بسیاری از آن‌ها به مسائل امنیتی به اندازه کافی توجه نمی‌کنند. این امر باعث می‌شود تا همواره نگرانی درباره اطلاعات و مدارک شخصی در اختیار کسب‌وکارها باشد.

اکتشاف مداوم اطلاعات کاربران توسط هکرها؛ دلایل نگرانی چیست؟

به گفته این کارشناس، بسیاری از کسب‌وکارها به دلیل درخواست‌هایی که از سوی سازمان‌هایی مانند پلیس فتا و دیگر نهادها می‌آید، مجبور به جمع‌آوری اطلاعات بیش از حد از کاربران می‌شوند. این اطلاعات پس از استفاده نیز به بهانه ارائه به سازمان‌های مربوطه در صورت بروز مشکلاتی همچون کلاهبرداری، همچنان در اختیار کسب‌وکارها باقی می‌مانند.

اما نوری به اعتقاد دارد که با استفاده از سازوکارهای بهتر جهت مقابله با کلاهبرداری‌ها و با بهره‌گیری از ابزارهایی همچون سامانه شاهکار، نیاز به جمع‌آوری مدارک هویتی گسترده از کاربران، حتی برای امور ساده مانند ثبت یک دامنه، از بین می‌رود و این اطلاعات برای همیشه نگهداری نمی‌شوند.

«استارتاپ‌ها و کسب‌وکارهای تحت حملات هکی باید با جامعه به صورت روشن و شفاف ارتباط برقرار کنند»

اما پس از هک و افشای اطلاعات، کاربران چه اقداماتی می‌توانند انجام دهند؟ نوری معتقد است که این ضرورت از جانب کسب‌وکارها مطرح شود؛ باید بیانیه‌های شفاف و توضیحات فنی از سوی کسب‌وکارهای آسیب‌دیده ارائه شود. در این زمینه، در ایران به طور کلی کمتر از این حوزه‌ها شاهد توجه صحیح به اطلاع‌رسانی شفاف از سوی کسب‌وکارها هستیم. بسیاری از آنها به عبارت‌هایی مثل “مسئولیت آن را می‌پذیریم” تنگ می‌شوند و سعی در کاهش نگرانی کاربران با کوچک‌نمایی اطلاعات نشت‌شده دارند.

نوری با تأکید بر اهمیت بیان واقعیت و شفافیت از سوی کسب‌وکارها، معتقد است که کسب‌وکارهای تحت حملات هک باید به جامعه اطلاعات دقیقی ارائه دهند. به عنوان مثال، می‌توانند بیان کنند که چه اطلاعاتی از کاربران لو رفته است و چه اقداماتی از سوی کاربران برای کاهش خطرات توصیه می‌شود. این بیان شفافیت در کنار اقداماتی نظیر بازنگری و تقویت امنیت داده‌ها و حمایت از حقوق کاربران می‌تواند برای افزایش اطمینان کاربران و بهبود امنیت اطلاعات موثر باشد.

نوری همچنین به اهمیت قوانین کامل و حاکمیت موثر در این زمینه اشاره کرده و معتقد است که قوانینی که حمایت قاطعانه‌تری از حقوق کاربران ارائه دهند، می‌توانند باعث رعایت حداقلی‌های بیشتر در زمینه‌های فنی و امنیتی توسط کسب‌وکارها شوند. او همچنین به ضرورت رفع مشکلات قانونی برای کاربران و تسهیل در پیگیری و شکایت اشاره کرده است.

به نظر نوری، تداخل و هماهنگی بیشتر بین حوزه‌های مختلف مانند مقامات قانونی، کارشناسان حوزه فناوری اطلاعات و حقوقی می‌تواند به بهبود امنیت داده‌ها و محافظت از حریم خصوصی کاربران کمک کند. از سوی دیگر، نوری به ضرورت بهبود رمزنگاری و انکریپشن داده‌های حساس اشاره کرده و

نیاز به استفاده از تکنولوژی‌های پیشرفته جهت حفاظت از اطلاعات را تأکید کرده است.

به طور خلاصه، او معتقد است که برخوردهای قاطعانه با مشکلات امنیتی نیاز به ترکیبی از اقدامات حاکمیتی، فنی و حقوقی دارد تا بتواند اطمینان کاربران را افزایش دهد و از مخاطرات مرتبط با حوادث هکی پیشگیری کند.

اکتشاف مداوم اطلاعات کاربران توسط هکرها؛ دلایل نگرانی چیست؟

نقض حریم شخصی کاربران در غیاب قانون

“علی کیایی‌فر”، کارشناس امنیت شبکه و مدیر امنیت سیستم‌های کنترل صنعتی، در پاسخ به سؤال دیجیاتو درباره نگرانی‌های مردم از سرقت اطلاعات شان، اظهار کرد:

“افشای یک رکورد یا اطلاعات یک کاربر از منظر گسترده ممکن است مهم به نظر نرسد، اما وقتی تمامی اطلاعات کاربران در یک پلتفرم منتشر می‌شود، بدون شک خطرات زیادی را به همراه دارد. به عنوان مثال، در مواقعی که اطلاعات تپسی لو می‌رود، می‌توان اطلاعات مهمی را استخراج کرد. به عنوان مثال، می‌توان دید کدام افراد به طور منظم به وزارت امور خارجه مراجعه می‌کنند یا در چه دوره‌های زمانی به سفارت انگلیس و دیگر دستگاه‌های امنیتی مراجعه کرده‌اند. ممکن است با تحلیل این اطلاعات، فهرستی از افرادی که در سازمان‌های حیاتی حضور داشته‌اند و در عین حال ممکن است فعالیت‌های شبانه‌ای مشکوکی نیز در برخی از آدرس‌ها داشته باشند، به دست آید.”

وی افزود که این واقعیت موجب نقض حریم خصوصی کاربران می‌شود: “به عنوان مثال، فرض کنید یک شهروند برای درمان بیماری خود از ویزیت آنلاین با یک متخصص استفاده کند و اطلاعات مربوط به این ویزیت و نوع بیماری شهروندان به طور عمومی انتشار یابد. هیچ کس نمی‌تواند ادعا کند که این اطلاعات بی‌اهمیت است. در اینجا، هم حریم خصوصی افراد مورد هجوم قرار گرفته و هم می‌توان با تحلیل اطلاعات به‌دست آمده، اطلاعات بسیاری را به دست آورد.”

کیایی‌فر با ابراز تأسف از نبود یک قانون روشن در کشور که از حقوق کاربران در حفظ حریم خصوصی حمایت کند، به شهروندان حق داد که نگران انتشار اطلاعات خود در پلتفرم‌ها باشند: “در اتحادیه اروپا از سال‌ها پیش قانون حمایت از حقوق شهروندان تصویب و اجرا شده است که به شهروندان حق می‌دهد از شرکت‌ها بخواهند سابقه اطلاعات شخصی آن‌ها را حذف کنند. این حق به‌عنوان ‘حق حذف’ یا ‘حق فراموشی’ شناخته می‌شود.”

او بیان کرد که طبق قوانین GDPR، کاربران می‌توانند حق حذف را در شرایط مختلف اعمال کنند، از جمله زمانی که اطلاعات شخصی آن‌ها برای اهدافی که برای جمع‌آوری آن‌ها صور

ت گرفته بود دیگر نیاز نیست، یا زمانی که آن‌ها رضایت خود را برای پردازش اطلاعات شخصی خود پس گرفته‌اند. همچنین افزود که شرکت‌ها موظف به بررسی درخواست‌های حذف کاربران بوده و درصورت احراز شرایط، سابقه اطلاعات شخصی کاربران را حذف می‌کنند.

اکتشاف مداوم اطلاعات کاربران توسط هکرها؛ دلایل نگرانی چیست؟

“علی کیایی‌فر”، کارشناس امنیت شبکه و مدیر امنیت سیستم‌های کنترل صنعتی، ابراز کرد که متأسفانه حقوق کاربران ایرانی در پلتفرم‌های بومی سال‌هاست دچار نقصان شده است. او اظهار داشت: “در حال حاضر هیچ قانونی برای حمایت از کاربران ایرانی وجود ندارد. مجلس مسئول است که در زمینه قانون‌گذاری حاکمیت و حقوق شهروندان، وارد عمل شود و یک قانون مشابه GDPR را در ایران تدوین و تصویب نماید.”

وی اعتقاد دارد که کسب‌وکارها اغلب تمرکز خود را بر روی درآمد و پیشرفت قرار داده و به نظر می‌رسد امنیت اطلاعات از اهمیت کمتری برخوردار باشد: “مطالبه‌گران جدی در زمینه امنیت از کسب‌وکارها به‌شدت کم هستند و این واقعیت به عدم وجود یک قانون قوی در این زمینه بازمی‌گردد. به نظر من، تا زمانی که نقایص قانونی حل نشوند، پلیس فتا که تیم‌های اجرایی قوی دارد، باید به‌عنوان نهاد اصلی در این زمینه، از کسب‌وکارهایی که دارای بیش از 100 هزار کاربر هستند، حداقل‌های امنیتی را مطالبه کرده و با استفاده از ابزارها و امکانات موجود، به نظارت بر آن‌ها بپردازد”.

سرمایه‌گذاری بیشتر در حوزه امنیت یا جریمه سنگین، کمک قانون به داده‌های مردم

«پیمان گلی»، کارشناس حوزه IT و امنیت، در پاسخ به سؤال دیجیاتو مبنی بر اینکه ساده‌انگارانه گرفتن لورفتن اطلاعات شخصی درست است یا خیر، گفت:

«افشای اطلاعات شخصی واقعاً خطرناک است. البته درجه اهمیت این اطلاعات بسته به نوع دیتایی که از کاربر گرفته شده و اطلاعاتی که ذخیره شده، متفاوت است. اما این تصور که اطلاعاتمان به چه درد دیگران می‌خورد، اصلاً صحیح نیست. اطلاعات شخصی می‌تواند منشأ بسیاری از سوءاستفاده‌‌ها باشد.»

وی اعتقاد دارد سرقت داده‌های یک تاکسی آنلاین می‌تواند اطلاعاتی راجع به مسیر رفت‌و‌آمد یک فرد خاص به‌همراه شماره تلفن و موقعیتش را افشا کند: «زمانی که ساعت خروج و ورود فرد به خانه‌اش را داشته باشید، اینکه بدانید صبح چه ساعتی از منزل خارج شده، چه ساعتی بازمی‌گردد و در مسیر بازگشت چقدر در راه است، می‌تواند منشأ سوء‌استفاده‌های بسیاری باشد.»

گلی در پاسخ به سؤال دیجیاتو مبنی بر اینکه آیا باید دائماً نگران لورفتن اطلاعاتمان باشیم یا خیر، گفت:

«بارها گفته‌ام زمانی که گوشی هوشمند دارید، حساب کاربری شبکه اجتماعی دارید، از سایت‌ها و اپ‌های مختلف استفاده می‌کنید و دیتاهایی برای احراز هویت مثل شماره ملی یا تلفنتان را ثبت کردید، همیشه باید نگران لورفتن اطلاعات باشید.»

به باور وی، اگرچه حلقه امنیت روزبه‌روز درحال بهبود و وسیع‌تر شدن است، اما به‌هرحال ممکن است جایی یک حفره‌ای وجود داشته باشد که کسی از آن مطلع نباشد: «شاید مجموعه‌ای استانداردها را رعایت نکند، امنیتش کامل نباشد یا حتی سهواً به‌خاطر خطای یک برنامه‌نویس، حفره‌ای وجود داشته باشد؛ کار هکر هم کشف حفره‌هاست.»

این کارشناس حوزه IT به کاربران توصیه می‌کند که برای استفاده از یک‌سری اپلیکیشن و وب‌سایت از شماره شخصی خود استفاده نکنند و با دستگاهی مجزا به اینترنت متصل شوند.

به گفته گلی، فهرست بلندبالایی در مورد رعایت مسائل امنیتی وجود دارد که یک نمونه آن در مورد مدیریت پسوردها است. مسائلی مانند اینکه رمز عبور را روی مرورگر ذخیره نکنید، رمز عبور ساده انتخاب نکنید و… .

اکتشاف مداوم اطلاعات کاربران توسط هکرها؛ دلایل نگرانی چیست؟

گلی همچنین پیشنهاد داد که افراد پیش از نصب اپلیکیشن‌ها، با قوانین مرتبط با رعایت حریم خصوصی درباره برنامه‌های موردنظر آشنا شوند.

وی معتقد است که پس از افشای اطلاعات، کسب‌وکارها و شرکت‌ها باید یک سری اقدامات امنیتی را اجرا کنند: “در گذشته، به بارها شاهد سرقت اطلاعات و هک دیتابیس‌ها بوده‌ایم که حتی در سازمان‌های دولتی نیز رخ داده است. این واقعیت نشان‌دهنده ضعف امنیتی ماست. از لحاظ سخت‌افزاری، نرم‌افزاری، دانش، کاربری دانش در بحث معماری و پیاده‌سازی و… نقص داریم. بنابراین بهتر است همواره به‌روزرسانی امنیتی انجام شود، تهدیدهای امنیتی مورد نظر رصد شوند، معماری‌ها بازنگری شود و بکاپ‌ها نیز گرفته شوند. این مسائلی است که کسب‌وکارها باید رعایت کنند.”

این کارشناس IT تأکید دارد که هک و سرقت اطلاعات به برند کسب‌وکارها آسیب می‌زند و تأثیرات منفی بر روی افکار عمومی دارد، که باعث می‌شود مردم نسبت به اپلیکیشن‌ها و استارتاپ‌های داخلی بدبین شوند: “لذا در حوزه امنیت باید سرمایه‌گذاری صورت بگیرد تا هم برند ضربه نخورد، هم درآمد کاهش نیابد و هم سطح اعتماد عمومی تضرر نپذیرد.”

گلی معتقد است که حاکمیت با تصویب قوانین و جریمه‌های سنگین می‌تواند در این زمینه تأثیرگذار باشد و شرکت‌ها را به اهمیت بیش‌ازپیش امنیت اطلاعات خود ترغیب کند: “وقتی جریمه سنگین باشد، حتی اگر کسب‌وکارها یک‌دهم هزینه جریمه را بر روی امنیت خود سرمایه‌گذاری کنند، به ارتقای امنیتشان کمک خواهد کرد.”

وی همچنین بر اهمیت تنظیم قوانین حفاظت از حریم شخصی تأکید کرد تا کسب‌وکارها در صورت نیاز به داده و اطلاعات خصوصی، این حق برای کاربران محفوظ باشد و آن‌ها بتوانند بپرسند که چرا و کجا از این داده‌ها استفاده می‌شود.

نبود قوانین بازدارنده برای حفاظت بهتر از اطلاعات مردم، مسئله مشترکی است که کارشناسان از آن به عنوان عامل اصلی افزایش سرقت اطلاعات ابراز نگرانی می‌کنند. این در حالی است که کسب‌وکارها با استفاده از باگ بانتی و سرمایه‌گذاری مدروز، می‌توانند رفتار مسئولانه‌تری نسبت به اطلاعات کاربران خود داشته باشند.

نظرات کاربران

  •  چنانچه دیدگاهی توهین آمیز باشد و متوجه نویسندگان و سایر کاربران باشد تایید نخواهد شد.
  •  چنانچه دیدگاه شما جنبه ی تبلیغاتی داشته باشد تایید نخواهد شد.
  •  چنانچه از لینک سایر وبسایت ها و یا وبسایت خود در دیدگاه استفاده کرده باشید تایید نخواهد شد.
  •  چنانچه در دیدگاه خود از شماره تماس، ایمیل و آیدی تلگرام استفاده کرده باشید تایید نخواهد شد.
  • چنانچه دیدگاهی بی ارتباط با موضوع آموزش مطرح شود تایید نخواهد شد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *