وقتی تبعات نشت اطلاعات به گذر زمان سپرده می‌شود

نوآوران آنلاین- اولین اخبار مربوط‌به انتشار و نشت اطلاعات کاربران، به نام کاربری و شماره کاربران تلگرام برمی‌گردد که اعلام شد به دلیل استفاده از نسخه‌های غیررسمی تلگرام رخ داده است. پس از آن اعلام شد یکی از فروشگاه‌های آنلاین فروش اپلیکیشن‌، دچار مشکل مشابه شده و اطلاعات پنج میلیون از کاربرانش فاش شده و در آخرین نشت اطلاعات، خبر قرار گرفتن اطلاعات ثبت احوال در یک روبات تلگرامی منتشر شد. روز گذشته هم خبری از فروش اطلاعات فروشگاه‌ آنلاین اندرویدی ایرانی به گوش رسید.

البته پس از نگرانی‌های کاربران درباره انتشار اطلاعاتشان، مرکز ماهر زیرمجموعه سازمان فناوری اطلاعات، اعلام کرد با رصد جهت کشف بانک‌های اطلاعاتی حفاظت‌نشده، به صاحبان آن‌ها هشدار داده خواهد شد و در صورتی که ظرف مدت ۴۸ ساعت، همچنان مشکل به قوت خود باقی باشد، به‌منظور حفظ داده‌ها و حفاظت از حریم خصوص شهروندان، به مراجع قضایی معرفی می‌شود.

در این زمینه میلاد نوری -کارشناس فناوری اطلاعات- با بیان اینکه درزمینه جلوگیری از نشت اطلاعات کاربران و حمایت از اطلاعات کاربران در کشور ما قانونی جهت پیشگیری و پیگیری وجود ندارد، گفت: وقتی دیتابیس یک اپراتور فاش می‌شود، با یک تکذیبیه داستانش تمام می‌شود، وقتی دیتابیس پذیرنده‌های یک بانک فاش می‌شود هم می‌گویند بررسی می‌کنیم و گزارش می‌دهیم اما با گذشت دو سال هنوز نه گزارشی دادند و نه عذرخواهی کردند، وقتی دیتابیس سایت فروش بلیت فاش می‌شود، می‌گویند مسئولیتش را پذیرفتیم بدون اینکه به کاربران اخطار دهند چه دیتایی منتشر شده و چه کار باید بکنند.

وی ادامه داد: اتفاقات امنیتی این‌چنینی ممکن است در سطح گوگل و فیس‌بوک هم رخ ‌دهد و موضوع جدید و عجیبی نیست، اما آنها کاربران را آگاه می‌کنند و اطلاع می‌دهند که اطلاعات شما در معرض خطر است تا اگر نیاز به تغییر رمز عبور یا اقدام خاصی است، این کار را انجام دهند و یا اگر اطلاعات حساسی فاش شده، فکر دیگری کنند. این شرکت‌ها سعی می‌کنند با توضیح جزییات به کاربران این اطمینان خاطر را بدهند که دیگر این اتفاق تکرار نمی‌شود و حتی قانون با پیگیری، جلوی آن‌ها می‌ایستد.

قانون برای نشت اطلاعات تبعاتی ایجاد نمی‌کند

این کارشناس فناوری اطلاعات با بیان اینکه به نظر می‌رسد در ایران اینکه دیتابیس یک سیستم منتشر شود، اهمیتی ندارد، افزود: هیچ‌کدام از کسب‌وکارهایی که تاکنون پایگاه داده‌شان فاش شده به دادگاه نرسیدند، زیرا قانونی نداریم که تبعاتی برای آن‌ها ایجاد کند. به همین دلیل شرکت‌ها هم ترجیح می‌دهند این اتفاقات مشمول گذر زمان شود تا کاربران هم موضوع را به فراموشی بسپارند و این خیلی خطرناک است.

نوری با اشاره به نشت اطلاعات کاربران ایرانی در یک سال گذشته که بیشتر از سوی افراد خارجی اتفاق افتاده است، گفت: این موضوع نشان می‌دهد خارجی‌ها بازار خوبی پیدا کردند، در ایران قانونی وجود ندارد و خیلی از شرکت‌ها هم امنیت را رعایت نمی‌کنند. سارقان اطلاعات گاهی قبل از انتشار این اطلاعات، از کسب‌وکارها درخواست باج کرده و این باج را از طریق بیت‌کوین و دیگر ارزهایی که ردی از آن‌ها نمی‌گذارد، دریافت می‌کنند.

وی ادامه داد: انتشار اطلاعات اپلیکیشن تاکسی‌یاب به این خاطر بود که روی دیتابیس اطلاعاتش رمزی نگذاشته بودند، در حالی که این موضوع از ابتدایی‌ترین اصول امنیت است. یا اکانتی منتسب‌ به اپلیکیشنی که اطلاعات کابرانش فاش شده توییت می‌کند که اطلاعات خاصی منتشر نشده و صرفا شماره تلفن بوده است. این نشان می‌دهد این شرکت‌ها نه کارشناس امنیتی دارند و نه به مساله امنیت ‌اهمیت می‌دهند، در حالی که این موضوع تبعات زیادی دارد.

صیانت از داده‌های شخصی راه به جایی نبرده است

این کارشناس فناوری اطلاعات درباره لایحه صیانت از داده‌های شخصی که هنوز به تصویب نرسیده است، گفت: این موضوع سال‌ها مسکوت مانده است. سه سال پیش در زمان وزارت محمود واعظی، در جلسه‌ای در سازمان فناوری اطلاعات که با حضور مسعود پزشکیان، نایب‌رئیس مجلس برگزار شد، گوشزد کردیم که از طریق قانون‌گذاری به این موضوع بپردازند. چندی پیش در جلسه سازمان نظام صنفی رایانه‌ای با حضور جواد جاویدنیا، معاون دادستانی کل کشور، هم این موضوع را مطرح کردیم. درواقع این موضوع اکنون به اطلاع قوای مجریه، مقننه و قضاییه رسیده اما هنوز در این زمینه کاری از پیش نرفته است.

نوری با اشاره به اصرار برخی از مسئولان به این‌که اطلاعات کاربران نباید از کشور خارج شود، گفت: ما مشکل قانون‌گذاری داریم و یکی از دلایلی که افراد به اپلیکیشن‌های ایرانی اعتماد نمی‌کنند، همین است. اطلاعات کاربران اگر بخواهد در ایران باشد، باید قانونی وجود داشته باشد که از این اطلاعات و مالک آن‌ها حمایت کند. درحال حاضر اگر چت کاربران در یکی از اپلیکیشن‌های ایرانی هم لو برود، حتی درصورتی‌که هویت اپلیکیشن مشخص باشد و مسئولیت هم بپذیرد، باز هم قانونی وجود ندارد که با این اتفاق برخورد شود.

وی همچنین خاطرنشان کرد: مدتی پیش پیام‌رسان سروش را برای فروش گذاشتند و دیتایی که تا چند وقت پیش در اختیار یک نهاد بوده، اکنون می‌تواند با خرید این پیام‌رسان توسط یک شخص، در اختیارش قرار گیرد. نشت اطلاعات هر یک از اپلیکیشن‌ها ممکن است پس از مدتی فراموش شود، اما درنهایت به اعتماد عمومی ضربه می‌زند و باعث می‌شود حتی اگر یک اپلیکیشن ایرانی وظایف امنیتی خود را هم به‌درستی انجام دهد، به‌دلیل نبود اعتماد کاربران آسیب ببیند. بحث حریم شخصی با دلجویی رفع نمی‌شود، بلکه نیازمند قانون است و باید تبعاتی داشته باشد.

دریافت اطلاعات ایرانی‌ها از دیتابیس ثبت احوال

این کارشناس فناوری اطلاعات درباره موضوع نشت اطلاعات ثبت احوال بیان کرد: نشت اطلاعاتی که چند وقت اخیر اتفاق افتاده، اکثرا به‌دلیل ضعف امنیتی روی نرم‌افزار و یا سرورها بوده اما در مورد ثبت احوال موضوع کمی متفاوت است. ثبت احوال یک سری وب‌سرویس دارد که آنها را از پیش تعریف کرده و در اختیار شرکت‌ها و نهادهای دولتی و سازمان‌ها می‌گذارد که بتوانند نیازهایشان را رفع کنند. مثلا زمانی‌که یک بانک هنگام افتتاح حساب نیاز دارد با دریافت کد ملی، مشخصات شما را ببیند و این یک فرآیند روتین است.

نوری ادامه داد: ثبت احوال برای رفع یک سری نیازها در شرایط گسترش کرونا در کشور، این وب‌سرویس را در اختیار وزارت بهداشت قرار داده، اما پروتکل‌های امنیتی رعایت نشده و مشخص نیست این وب‌سرویس و اطلاعاتش به دست چه کسانی افتاده است که یک روبات تلگرامی برای در اختیار قرار دادن اطلاعات طراحی کردند. آن‌ها همان‌طور که این اطلاعات در اختیار افرادی است که از این بات استفاده می‌کنند، می‌توانند با یک روبات نرم‌افزاری کل اطلاعات 80 کاربر ایرانی را استخراج کرده باشند.

وی با بیان اینکه این اطلاعات ثبت احوال هم اطلاعات حساسی است، گفت: این اطلاعات هم شامل اسم و فامیل و کد ملی است و همین اطلاعات را می‌توان در کنار سایر اطلاعاتی که از سرویس‌های دیگر نشت پیدا کرده قرار داد و به دیتابیس بزرگی دست پیدا کرد که اگر در اختیار افراد کلاهبردار و فیشر و هکر قرار بگیرد، می‌تواند خطرات زیادی ایجاد کند و باعث کلاهبرداری‌های بیشتری شود.