اطلاعات کاربران در اختیار میزبانان بی مسئولیت! / مقصر کیست و قانون چه می گوید؟
اطلاعات کاربران در اختیار میزبانان بی مسئولیت! / مقصر کیست و قانون چه می گوید؟
اما این روزها با سونامی افشای اطلاعات از اپلیکیشن ها، شرکتها و گاه نهادهای بزرگی همچون بانک ها، ثبت احوال و. .. مواجه میشویم که نشان میدهد به دلیل ضعفهای شدید امنیتی در سامانههای اینترنتی شان قابل نفوذ هستند و اطلاعات شخصی و هویتی افراد و کاربران بی دفاع، به راحتی در اختیار عدهای سودجو قرار میگیرد که میتواند به سوء استفادههای مالی، کلاهبرداری و اخاذی منجر شود. حتی بعد از این که آمریکا به برخی از هنرمندان کشورمان به دلیل این که سربازی خود را در سپاه خدمت کردهاند روادید نداده بود این شائبه به وجود آمد که نکند این اطلاعات به واسطه یکی از همین هکها از سازمانهای مختلف، مثلا ثبت احوال نشت کرده باشد. حالا از اینها که بگذریم به نکته عجیب تری میرسیم که نشان میدهد در کنار بی خیالی برخی شرکتها در مقابل افشای اطلاعات کاربران، نه تنها شاهد عذرخواهی حداقلی آنها نیستیم بلکه حتی از فردی هم که به خوبی از اطلاعات هویتی و شخصی کاربران، کارکنان یا. .. مراقبت نکرده، بازخواست نمیشود. با این حال در ادامه سعی کرده ایم در کنار معرفی برخی از مواردی که اطلاعات کاربران به دست هکرها افتاده، به این سوال هم پاسخ دهیم که مقصر این همه سهل انگاری و افشای اطلاعات شرکت ها، کدام نهاد است و قانون برای این اتفاقات چه تمهیداتیاندیشیده است.
نشت اطلاعات ثبت احوال
یکی از خبرهایی که در روزهای اول سال 99 با آن روبه رو بودیم، نشت اطلاعات ثبت احوال بود. این اطلاعات از طریق باتی که در تلگرام فعال شده بود، در دسترس قرار گرفت و سخنگوی سازمان ثبت احوال اعلام کرد که نشت اطلاعات مربوط به پروندههای سلامت الکترونیک است که در اختیار وزارت بهداشت قرار دادیم و مربوط به این سازمان نیست.
118 روی سی دی
سالها پیش نیز مشخصات دارندگان شمارههای تلفن ثابت به عنوان 118 توسط سی دی فروشها و دست فروشها به فروش میرسید. در آن سی دی نرم افزاری وجود داشت که فرد با وارد کردن کد شهر و شماره تلفن یا نام افراد به نشانی، نام صاحب خط تلفن و شماره آن دسترسی پیدا میکرد.
فروش اطلاعات 42 میلیون کاربر تلگرام
«باب دیاچنکو»، پژوهشگر امنیت سایبری در روز 11 فروردین سال 1399 در وبسایت Comparitech اعلام کرد که دادههای دیتابیس شامل اطلاعات بیش از ۴۲ میلیون کاربر ایرانی تلگرام، مانند آی دی تلگرام، نام کاربری، شماره تماس و. .. از یک نسخه شخص ثالث (غیر رسمی) اپلیکیشن تلگرام لو رفته است. نکته تاسف بار این جاست که این اطلاعات به هیچ رمز ورود و دسترسی نیاز نداشته است.همان زمان تلگرام طلایی، هات گرام و امثال آن عامل این درز گسترده اطلاعات معرفی شدند.
نشت اطلاعات 30 میلیونی بانک ملت
اردیبهشت سال گذشته بود که خبر نشت و فروش اطلاعات 30 میلیون مشتری بانک ملت رسانهای شد و البته پیش از آن هم نیمه اول آذر سال 1398 پلیس فتا در ایمیلی به برخی از دارندگان حساب بانکی، از به خطر افتادن مشخصات میلیونها کارت بانکی خبر داد و از دارندگان کارتهای عضو شتاب درخواست کرد که با مراجعه به شعب بانکهای خود، کارت بانکی جدید دریافت کنند.
اپلیکیشنها و نرم افزارها
در کنار ادعاهای زیاد در شبکههای اجتماعی درباره لو رفتن اطلاعات مشتریان بیمه ایران، شرکت رجا، کارکنان هواپیمایی تابان، پروازهای هواپیمایی ماهان شامل محموله و وزن و مقصد پروازها و شرکتهای مختلف دیگر، اطلاعات کاربران نرم افزارها و اپلیکیشنهای زیادی همچون نرم افزار سیب اپ هم به دلیل کافی نبودن مراقبتهای لازم توسط هکرها به سرقت رفته و نام، شماره تماس، ایمیل و. .. آنها به سودجویانی در شبکههای اجتماعی فروخته شده است.
مقصر کیست؟
قطعا انگشت اتهام به سمت شرکتی است که اطلاعات از آن درز کرده، آن هم به این دلیل که طبق قانون مسئول حفظ و نگهداری دادههایی بوده که در اختیارش قرار گرفته است و باید شرایط سختافزاری و نرمافزاری لازم برای حفاظت از دادهها را فراهم میکرد. البته در این میان، چند نهاد هم مسئولیتهایی در پایش و بررسی وجود اشکالات امنیتی و حفرههای احتمالی در سایتها و نرم افزارها به عهده دارند که عملکرد دقیق آنها نیز میتواند از بروز این موارد پیشگیری کند.
قانون چه میگوید؟
بعد از افشای اطلاعات کاربران تلگرامی کشورمان مرکز ماهر وزارت ارتباطات بیانیهای نوشت که در بخشی از آن آمده: «بر اساس «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی» مصوب «شورای عالی فضای مجازی»، پیشگیری و مقابله با حوادث سایبری، تقسیم کار ملی شده است و حملات و نقصهای امنیتی زیرساختهای حیاتی کشور مانند حوزههای مالی و بانکی، انرژی، حمل و نقل، ثبت احوال و. .. به «مرکز راهبردی افتای ریاست جمهوری» سپرده شده است. بر اساس همین مصوبه، مقابله با حوادث و حملات در حوزه «شهروندان و کسب و کارهای خصوصی» (شامل دادههای مربوط به اپلیکیشنها و بانکهای داده غیردولتی) به «پلیس فتا» سپرده شده است.» البته حدود 10 روز پیش هم کلیات طرح قانون یکپارچه سازی دادهها و اطلاعات ملی به تصویب رسید که در بخشی از آن به حفظ و حراست از پایگاههای اطلاعاتی اشاره دارد و مسئول حفاظتی و امنیتی از اطلاعات کاربران را بر عهده مرکز ملی تبادل اطلاعات قرار داده است.
مجازاتش چیست؟
هر چند هنوز خبری از مجازات شرکتها یا سازمانهایی که به دلیل سهل انگاری باعث افشای اطلاعات هویتی یا کاربری افراد شدهاند، منتشر نشده اما بهروز جوانمرد استاد دانشگاه و وکیل دادگستری به باشگاه خبرنگاران گفته: «در صورتی که افشای اطلاعات در اثر نبود رعایت نظامات یا در اثر غفلت و مسامحه حفاظت آنها صورت گرفته باشد، مجازات فرد خاطی سه ماه تا شش ماه حبس جنحهای خواهد بود.»
راهکار چیست؟
شرکت فیس بوک وقتی اطلاعات کاربرانش منتشر میشود نه تنها سریع اطلاع رسانی، بلکه برای رفع مشکل به صورت ضرب الاجل اقدام میکند. اما متاسفانه به گفته برخی کارشناسان، این بخش در کشور ما مغفول مانده است و شرکتها مسئولیت پذیر نیستند.امید توکلی، کارشناس طراح و راهبر امنیت راهکارهای فناوری اطلاعات هم بر این باور است تا زمانی که نهادهای حاکمیتی متولی امنیت فضای مجازی از ابزارهای قانونی خود برای صیانت از حریم خصوصی مردم به درستی استفاده نکنند، این شرکتها همچنان بر افزایش سطح خدمات شامل تعداد سفرها و ثبت رکوردهای مختلف در رقابت با یکدیگر، متمرکز میشوند.
کمک از ناظران و ورود مدعی العموم
پور ابراهیمی، کارشناس امنیت نیز در گفتوگویی با ایران اعلام کرده است که وقتی نرم افزار یا سیستمی را ارائه میدهیم نباید نظارت بر امنیت آن بر عهده همان شرکت باشد و باید شرکتها نظارت بر امنیت را به ناظران خارج از شرکت بسپارند تا بتوانند نقاط ضعف را شناسایی کنند و اقدامهای لازم را انجام دهند. البته به نظر میرسد باید مدعی العموم هم وارد عمل شود و از شرکتها به دلیل رعایت نکردن حفظ حریم خصوصی و امنیت و خسارت وارد شده به کاربران شکایت کند.
2323