مرگ اطلاعات در نبرد هکرها
«اسنپ فود هک شد»؛ خبری که ۱۰ دی مانند ترکیدن بمبی در رسانهها صدا کرد. اوایل شهریور مدیرعامل تپسی در فضای مجازی خبر داد که تپسی موردنفوذ هکرها قرار گرفته و بخشی از اطلاعات کاربران بهدست هکرها افتاده است. حالا پس از حدود ۴ ماه اسنپفود نیز در دام این گروه هکری افتاد. این در حالی است که کمی پس از هک تپسی روابط عمومی اسنپ اعلام کرد: تیم امنیت سایبری اسنپ در تازهترین اقدام خود برای تقویت ساختار امنیت داده، برنامه «باگ بانتی» یا مسابقه ارزیابی امنیتی و شناسایی باگ خود را گسترش داده است. برنامه باگبانتی اسنپ، ۴ سطح از Medium تا Vital دارد که برای آن پاداشهای جدیدی تا سقف ۱۵۰ میلیون تومان تعیین شده است. اما براساس اطلاعات بهدستآمده پس از ارزیابی، اسنپ حاضر نشد به وعده خود عمل کند و کلاهسفیدها نیز متناسب با مبلغ ناچیز دریافتی باگها را شناسایی کردند. حال اطلاعات ۲۰ میلیون کاربر اسنپفود بهواسطه یک گروه هکری در ازای ۳۰ هزار دلار به فروش رسیده است. حفاظت از دادههای کاربران وظایف دولت نیست و هر کسبوکاری وظیفه دارد زیرساختهای خود را تقویت و از دادههای مشتریان حفاظت کند.با این حال اسنپ که بهویژه در بخش اسنپفود با قرارداد انحصاری با رستورانها جولان میدهد، تنها مسئولیت این اتفاق را پس از درز اطلاعات ۲۰ میلیون کاربر پذیرفته است.
اسنپفود هک شد
بامداد ۱۰ دی گروه هکری IRLeaks با انتشار پستی در کانال تلگرامی خود از هک شدن دادههای شرکت اسنپفود خبر داد. این گروه هکری پیشتر در تابستان امسال اطلاعات تپسی را هک کرده بود. این گروه نمونهای از اطلاعات هکشده را منتشر و نرخ فروش آن را ۳۰ هزار دلار اعلام کرده است. بنابر اعلام این گروه اطلاعات هکشده شامل موارد زیر است:
-اطلاعات بیش از ۲۰ میلیون کاربر شامل نام کاربری، پسورد، ایمیل، نام و نام خانوادگی، شماره موبایل، تاریخ تولد و …
– اطلاعات بیش از ۵۱ میلیون آدرس کاربر شامل موقعیت GPS، آدرس کامل، شماره تلفن و …
– اطلاعات بیش از ۱۸۰ میلیون دستگاه همراه شامل نوع و مدل دستگاه، پلتفرم، توکن، فروشگاه نصب برنامه و …
– اطلاعات بیش از ۳۶۰ میلیون سفارش شامل آیپی سفارشدهنده، آدرس دریافتی، تلفن دریافتی، شهر، مدت زمان دریافت، نام و نام خانوادگی، مشخصات فروشگاه یا رستوران، قیمت، محصول و …
– اطلاعات بیش از ۳۵ هزار پیک شامل نام، نام خانوادگی، شماره تماس، کد ملی، شهر و …
– اطلاعات بیش از ۶۰۰ هزار پرداخت سفارش شامل نام کامل صاحب کارت، نام کامل مشتری، شماره تماس، شماره کارت، نام بانک و …
– اطلاعات بیش از ۱۶۰ میلیون سفر انجامشده توسط پیک شامل نام کامل مبدا و مقصد، آدرس مبدا و مقصد، تلفن مبدا و مقصد، موقعیت جغرافیایی مبدا و مقصد، تاریخ و …
– اطلاعات بیش از ۲۴۰ هزار Vendor شامل نام کامل، آدرس، تلفن، ایمیل، موقعیت مکانی GPS، نام مدیریت مجموعه و …
– اطلاعات بیش از ۸۸۰ میلیون سفارش محصول
بسیاری از کاربران شبکههای اجتماعی به اتفاق پیشآمده واکنش نشان داده و اطلاعاتی را در این زمینه منتشر کردند. البته این نخستین بار نیست که خبر هک اطلاعات اسنپ شنیده میشود. مهر سال ۹۸ هم آگهی مبنی بر فروش اکانتهای دارای موجودی اسنپ در فضای مجازی پخش شد. براین اساس میتوان گفت هک حسابهای کاربری اسنپ اتفاق جدیدی نیست، اما تداوم آن نشان میدهد که اقدامات اسنپ در راستای ارتقای امنیت، توضیح و آموزش کاربران کافی نبوده است.
بیانیه اسنپ
پس از اعلام هکرها مبنی بر هک اسنپفود و انتشار اخبار آن، این شرکت بیانیهای منتشر کرد. اسنپفود در این بیانیه مسئولیت اتفاق را پذیرفته و اعلام کرده اطلاعات بانکی و پرداخت کاربران در امنیت است.
متن کامل بیانیه اسنپفود به شرح زیر است:
«پیرو هک و اقدام به فروش مستقیم بخشی از اطلاعات کاربران اسنپفود به اطلاع میرسانیم شرکت اسنپفود در گام اول در همکاری با پلیس فتا در حال شناسایی و رفع منبع آلودگی ناشی از اقدام این گروه هکری است.
شرکت اسنپفود مسئولیت این اتفاق را میپذیرد و حتما بررسی دقیقی درباره دلایل وقوع آن انجام خواهد داد.
گفتنی است این گروه هکری پیش از مذاکره با اسنپفود اقدام به فروش اطلاعات کرده و شرکت اسنپفود حداکثر تلاش خود را برای جلوگیری از انتشار دادههای کاربران، از طریق مذاکره با این گروه هکری، خواهد کرد.
لازم به ذکر است که کلیه اطلاعات پرداخت بانکی کاربران، اعم از اطلاعات مربوط به کد امنیتی کارت (CCV)، رمز عبور و تاریخ انقضا، در امنیت کامل قرار دارد و این اطلاعات مطابق مقررات بانک مرکزی در هیچ یک از پلتفرمها ذخیره نمیشود. متعاقبا اطلاعات تکمیلی در این باره را منتشر خواهیم کرد.»
گروه هکری IRLeaks
گروه هکری IRLeaks مدعی هک اسنپفود است. هکرها در نخستین لحظات بامداد روز یکشنبه، یک فایل نمونه شامل بعضی اطلاعات کاربران اسنپفود را روی کانال تلگرامی خود قرار دادند. سپس خواستهشان را رک و بدون تعارف و رودربایستی مطرح کردند: ۳۰ هزار دلار!
گروه IRLeaks، عامل هک اسنپفود پیش از این نیز سیستم دادههای تپسی را هک کرده بود. مدیرعامل تپسی آن زمان در توئیتر نوشت هکرها با دسترسی به اطلاعات کاربران، قصد اخاذی دارند به همین دلیل تپسی با آنها همکاری نمیکند. گفته شده هکرها پس از شکست در مذاکره با تپسی، برای فروش اطلاعات کاربران تپسی ۳۵ هزار دلار درخواست کرده بودند.
گروه IRLeaks میگوید از ماجرای هک تپسی درس گرفته و پس از نفوذ به سامانه اسنپفود، بدون اطلاع شرکت، برای فروش اطلاعات کاربران اقدام کرده است. بهنظر میرسد برمبنای درس دوم هم ۵ هزار دلار برای فروش اطلاعات مشتریان، رستورانها و پیکموتوریهای مرتبط با اسنپفود تخفیف دادهاند.
هکرهایی با کلاههایرنگی
اصطلاح هکر (Hacker)، اغلب توسط رسانهها بهعنوان فردی منفی و مخرب و گاهی مترادف با مجرم سایبری به تصویر کشیده میشود؛ فردی ناشناس با چهرهای نامشخص که زیر کلاه هودی پنهان شده و در اتاقی تاریک، به مانیتوری مملو از کدهای سبزرنگ زل زده و نقشه حملهای سایبری یا سرقتی دیجیتالی را میکشد! چنین توصیفی شاید برای تعداد زیادی از هکرها صادق باشد، اما نمیتوان آن را به همه افراد فعال در این کار نسبت داد!
۶ نوع مختلف هکر در صنعت امنیت سایبری وجود دارند که هر کدام انگیزه و اهداف متفاوتی را دنبال میکنند و باتوجه به همین انگیزهها و اهداف، با رنگهای مختلفی دستهبندی میشوند و به آنها هکرهای کلاه رنگی میگویند.
وقتی صحبت از امنیت سایبری میشود، نمیتوان تمام فعالیتهای این حوزه را در دو طیف رنگی سیاه (کاملا مخرب) و سفید (کاملا سازنده) خلاصه کرد. علاوه بر این دو رنگ، دیگر هکرهای کلاه رنگی هم، در امنیت سایبری فعالیت دارند و هر رنگ از کلاه آنها تعریف متفاوتی از نوع فعالیتشان ارائه میدهد.
در میان اخبار
هکرهای کلاه سفید، هکرهای کلاه خاکستری، هکرهای کلاه سیاه، هکرهای کلاه آبی، هکرهای کلاه سبز، هکرهای کلاه قرمز.
هکرهای کلاهسیاه، نخستین دسته از هکرهای کلاهرنگی و معمولا افراد شروری هستند که میخواهند از مهارتهای فنی خود برای کلاهبرداری و باجگیری از دیگران استفاده کنند.
هکرهای کلاهسفید یا کلاهسفیدها، از میان هکرهای کلاه رنگی، نقطه مقابل همتایان کلاهسیاه خود هستند. هکرهای کلاهسفید یا هکرهای اخلاقمدار از مهارتهای فنی خود برای محافظت از جهان در برابر هکرهای شرور استفاده میکنند.
هکرهای کلاهخاکستری، دسته بعدی در فهرست هکرهای کلاهرنگی هستند که بهنوعی، میان هکرهای کلاهسیاه و کلاهسفیدها قرار میگیرند. اهداف و انگیزههای هکرهای کلاهخاکستری، اغلب مثبت و خوب است.
هکرهای کلاهقرمز هم درست مانند هکرهای کلاهسفید، میخواهند جهان را از شر هکرهای شیطانی نجات دهند، اما آنها برای رسیدن به اهداف خود مسیرهای افراطی و گاه غیرقانونی را انتخاب میکنند.
هکرهای کلاهآبی با استفاده از بدافزارها، حملات سایبری مختلفی را روی سرورها و شبکههای دشمنان خود ترتیب میدهند و به دادهها، وبسایتها یا دستگاههای آنها آسیب وارد میکنند.
در دنیای هکرهای کلاهرنگی، کلاهسبزها، بهعنوان تازهکارهای دنیای هک شناخته میشوند. هکرهای کلاهسبز، از مکانیسم امنیتی و عملکرد درونی وب آگاه نیستند، اما افرادی مشتاق و مصمم هستند که برای ارتقای جایگاه خود در جامعه هکرها تلاش میکنند. این گروه از هکرها لزوما قصد آسیب رساندن ندارند.
هک سایتهای فروش اینترنتی موضوعی همیشگی است
محمدرضا الفتنسب، عضو سابق هیاتمدیره اتحادیه کسبوکارهای اینترنتی درباره هک «اسنپفود» به صمت گفت: متاسفانه هک سایتهای فروش اینترنتی موضوعی همیشگی است و در همه جای دنیا نیز رخ میدهد. کسبوکارهای بزرگ برای حفظ امنیت سایت در طول سال تلاش و هزینههای بسیاری میکنند که در نتیجه همین تلاشها روزانه سفر با تاکسیهای اینترنتی صورت میگیرد.
وی درباره عدم پذیرش باگهای شناساییشده توسط کلاهسفیدها بیان کرد: معمولا هکرهای بسیاری ادعای شناسایی محل نشت سایتهای بزرگ را دارند و پذیرش یا عدم پذیرش این موضوع به نوع سیاستهای یک شرکت بازمیگردد، اما در هر صورت نمیتوان کار این شرکت را تایید یا رد کرد.
بیمهها ورود پیدا کنند
الفتنسب با توصیهای به شرکتها اظهار کرد: هرچند پشتیبانی و تامین امنیت این سایتها هزینه سنگینی دارد، اما شرکتها باید با بروزرسانی زیرساختها نشتیهای موجود را پیدا و رفع کنند، زیرا حفاظت از اطلاعات کاربران در فضای مجازی یکی از اصلیترین وظایف کسبوکارهای اینترنتی است که باید به آن پایبند باشند؛ در غیر این صورت اگر اتفاقی برای اطلاعات و حریم شخصی کاربری بیفتد، این شرکتها مسئول خواهند بود و باید خسارتهای مادی آن را تمام و کمال جبران کنند.
وی با پیشنهادی به شرکتهای بیمه بیان کرد: در همه کشورها شرکتهای بیمه فرآیندهای موجود در سایتهای فروش اینترنتی را بیمه میکنند تا پشتوانهای هنگام بروز مشکلات باشند، اما متاسفانه در کشور ما شرکتهای بیمه تاکنون در حوزه تجارت الکترونیک ورود پیدا نکردهاند و امیدواریم شاهد ورود شرکتهای بیمه به حوزه تجارت الکترونیک باشیم.
بیاعتمادی و کاهش خریدهای اینترنتی
عضو سابق هیات مدیره اتحادیه کسبوکارهای اینترنتی با اشاره به تاثیر اتفاقاتی چون هک اسنپفود بر کسبوکارهای مجازی گفت: کسبوکار آنلاین بازار بزرگی ندارند و نیازمند اعتماد مردم هستند، اما هر اندازه که شاهد بروز این قبیل اتفاقات تلخ باشیم، بیشک اعتماد مردم به کسبوکارهای آنلاین کاهش پیدا خواهد کرد و پیرو آن کاهش خریدهای اینترنتی را شاهد خواهیم بود.
برخی شرکتها اهمیتی برای کاربران قائل نیستند
رضا ممبنی، یک هکر کلاهسفید درباره تاثیر فیلترینگ بر امنیت سایتها و افزایش حملههای هکری به صمت گفت: فیلترینگ عامل اصلی افزایش هک سایتهای مختلف نیست، زیرا پس از فیلترینگ، سایتهای داخلی بهمنظور حفظ امنیت، دسترسی خود را تنها برای کاربران داخلی امکانپذیر میکنند که همین موضوع تا حدودی از امکان حملههای هکری میکاهد.
وی در اشاره به دلایل هک برخی از سایتهای فروش اینترنتی بیان کرد: متاسفانه این شرکتها برای اطلاعات و حریم شخصی کاربران خود اهمیتی قائل نیستند. عامل اصلی اتفاقاتی چون هک اسنپفود، استفاده از افراد کمتجربه و بیتخصص در بخشهای مهم این شرکتها است. بیشک سایت شرکتهای بزرگ فروش اینترنتی چند باری هک شده، اما در این باره اطلاعرسانی نشده است.
هشدارها داده شده بود
ممبنی با اشاره به هشدارهای دادهشده به اسنپفود اظهار کرد: چندی پیش هکرهای کلاهسفید درباره باگهای موجود در اسنپفود هشدار دادند. در نتیجه این هشدار و شناسایی باگها باید مبلغی به هکرهای کلاهسفید پرداخت شود که پیشنهاد آنها ۱۵۰ میلیون تومان برای ارائه جزئیات حفرههای امنیتی سایت بود، اما اسنپ تنها مایل به پرداخت ۵ میلیون تومان بود؛ در نتیجه کلاهسفیدها نیز در محدوده همین مبلغ اطلاعاتی را ارائه دادند. این در حالی است که اسنپ شهریور امسال خبری مبنی بر پرداخت پاداش ۱۵۰ میلیون تومانی در ازای شناسایی باگهای سایت منتشر کرد. این یعنی شرکت یادشده به وعده خود عمل نکرد.
هکر نسخه کپی را نگه میدارد
این هکر کلاهسفید با اشاره به حفظ سایتها و اپلیکیشنها به کمک هکرهای کلاهسفید، افزود: قبل از اینکه یک سایت هک شود، تیمی تخصصی محتوای آن را در حفرههای متعددی بررسی و مشکلات را شناسایی میکنند.
اگر تیم امنیتی شرکت قادر به رفع این حفرهها نباشد، هکرهای کلاهسفید در شرکتهای داخلی و خارجی مشکلات را اعلام و حل میکنند.
وی با اشاره به روش کار هکرها در مسئله اسنپفود اظهار کرد: هنگامی که یک گروه هکری اطلاعات را هک و برای فروش میگذارد، بیشک چندین نسخه کپی برای خود نگه میدارد و پس از گذشت زمانی این اطلاعات را به فروش میرساند.
ممبنی درباره زمان لازم برای هک یک سایت یا اپلیکیشن گفت: هک یک سایت، بسته به امنیت و تیم پشتیبانی آن از یک تا ۱۲ ساعت زمان میبرد.
هزینه پشتیبانی، مبلغ مشخصی نیست
این هکر کلاهسفید با اشاره به هزینههای متفاوت حفظ امنیت سایت اظهار کرد: گاهی تیم امنیتی سایت قوی است و از عهده برخی از کارها برمیآید؛ در غیر این صورت با شرکتهای امنیتی داخلی یا خارجی قرارداد بسته میشود تا از سایت محافظت شود. هزینه این پشتیبانی مبلغ مشخصی نیست، زیرا برای سایتهای معروفی مانند دیجیکالا، اسنپ و... که تعداد کاربران بیشتری دارند، زمان بیشتری برای امنیت صرف خواهد شد. در هر صورت تیم امنیتی متناسب با عملکرد خود بهصورت ماهانه، سالانه یا پروژهای هزینههای مختلفی دریافت میکند.
سخن پایانی
باتوجه به نظرات کارشناسی و بررسیهای صورتگرفته انحصار شکلگرفته موجب شده شرکت یادشده تلاشی برای بروزرسانی سیستم امنیتی خود نداشته باشد، زیرا بهدلیل نبود سایتی مشابه، باوجود هک این سایت اینترنتی چارهای جز استفاده مجدد از آن نیست. در نهایت ضررو زیان این قبیل بیتوجهیها گریبانگیر کاربران است، زیرا بهنظر میرسد شرکتهایی از این دست که طیف گستردهای از خدمات را ارائه میدهند، برای کاربران و اطلاعات شخصی آنها ارزشی قائل نیستند؛ بهعبارتی هنوز به این مرحله از کیفیت در ارائه خدمات نرسیدهاند. این در حالی است که هزینه صرفشده برای ارتقای امنیت آنها موجب افزایش اعتماد کاربران و حفظ آنها در بازار میشود.
