همه خطرات هک شدن تپسی برای کاربران

سکوها و پلتفروم‌های اینترنتی مانند تپسی  چه وظایفی در قبال حریم خصوصی و امنیت کاربران دارند؟

در سال‌های اخیر پلتفرم‌­های اینترنتی در حوزه­‌های مختلف از جمله حمل و نقل ‌گسترش قابل ملاحظه‌­ای داشته­‌اند و مشابه سایر کشورها در ایران ‌ نیز مورد استقبال بخش عمده ­ای از هموطنان ‌قرار گرفته‌اند‌. البته عامل کلیدی موفقیت این پلتفرم‌­ها اعتماد عمومی و قابلیت حفاظت آنها از حریم خصوصی و اطلاعات کاربران است، طبیعی است که افراد در هنگام ثبت نام و استفاده از این گونه اپلیکیشن­‌، سکوها و خدمات‌شان با حسن ظن و اعتماد به رعایت اصول امنیتی و حفاظت از حریم خصوصی خود، اطلاعات شخصی مهمی را با آنها به اشتراک می­‌گذارند که به مرور زمان و با استفاده بیشتر از خدمات نیز این اطلاعات انباشتگی و غنای بیشتری پیدا می‌کند و مورد توجه هکرها قرار می گیرد.

حریم خصوصی قلمرو شخصی هر فردی محسوب می‌شود و او انتظار دارد دیگران به اطلاعات آن حوزه بدون اجازه وی دسترسی نداشته باشند. در اینجا نیز کاربران این سکوها انتظار رعایت حریم خصوصی و حفظ داده­‌های شخصی خود را دارند و مسئولیت حفظ حریم خصوصی کاربران و برقراری امنیت اطلاعات ذخیره شده در سرورها و بانک های اطلاعاتی و پیشگیری از دسترسی غیرمجاز به این اطلاعات و داده‌ها نیز عمدتاً برعهده مالک اپلیکیشن و سکو است و باید حداکثر تلاش خود را به منظور تضمین امنیت کاربران خود انجام دهند.

هک شدن تپسی و شرکت‌هایی از این دست چه پیامدهایی برای کاربران این شرکت‌ها دارد؟

اطلاعات سرقت شده از پلتفرم بزرگی مانند تپسی می‌تواند مورد سوءاستفاده گسترده سازمان‌­های جاسوسی،  هکرها، کلاهبرداران اینترنتی و حتی شرکت­‌های تبلیغاتی قرارگیرد و موجب تسهیل جرایم مهمی علیه اشخاص حقیقی یا حقوقی و حتی از دیدگاه امنیت ملی موجب آسیب به منافع ملی کشور از جمله وجهه جهانی آن شود بویژه زمانی که این‌گونه موارد بصورت مکرر صورت پذیرد. ‌کاربران به صورت خاص پس از لو رفتن اطلاعات‌شان به هدفی به مراتب سهل‌تر از قبل برای هکرها، مجرمین و کلاهبرداران سایبری تبدیل می‌شوند. به عنوان نمونه یک هکر با در اختیار داشتن شماره و اطلاعات دقیق افراد امکان ارسال پیام‌های سفارشی شده و هدفمند به صورت گسترده و خودکار در شبکه های اجتماعی یا پیام رسان‌ها را به دست می‌آورد و متاسفانه به این ترتیب ضریب موفقیت متخلفان برای ‌ فریب و سوءاستفاده از کاربران به شدت بالا می‌رود. بنابراین با توجه به حجم گسترده و تعدد موارد نشت عمومی اطلاعات از بانک های اطلاعاتی و سامانه های اینترنتی بخش خصوصی و عمومی و حتی دولتی لازم است، هشدارها و آگاه‌سازی عمومی به منظور پیشگیری از وقوع جرائم علیه هموطنان‌مان نیز استمرار و توسعه یابد.  

در این بین بی‌توجهی به امنیت کاربران یا سهل انگاری مدیران زمینه را برای هک شدن این شرکت‌ها فراهم می‌کند؟

زنجیره امنیت در فناوری اطلاعات و فضای سایبر از حلقه­‌های مختلفی تشکیل شده است که از زیر­ساخت و سخت ­افزار و ارتباطات، نرم­ افزارهای سیستمی و بانک اطلاعاتی تا وب ­اپلیکیشن و نرم افزار­های کاربردی و ارتباطات و تبادلات داده بین این موجودیت­‌ها را شامل می‌شود، عوامل انسانی نیز در طول این زنجیره از متخصصین نرم افزار و سخت افزار، طراح سیستم، برنامه‌ نویس، مدیران بخش‌‌ و لایه های مختلف سیستم و بانک های اطلاعاتی تا کاربران نهایی مانند مسافران و رانندگان تپسی حضور داشته و نقش کلیدی ایفا می‌کنند. وجود آسیب پذیری، سهل‌انگاری یا خطا در هر یک از این لایه‌ها می تواند موجب نفوذ و دسترسی غیرمجاز به اطلاعات را در سطوح متفاوتی ایجاد کند.

 در چنین رخداد و نشر اطلاعات گسترده‌ای عموما آسیب پذیری‌­های نرم ­افزاری و یا وجود نقص امنیتی مهمی در سیستم به ویژه ‌روی سرور­ها و بانک اطلاعاتی می‌تواند شرایط دسترسی هکرها به اطلاعات را فراهم کرده باشد. همچنین وجود یک آسیب پذیری روز صفر و یا درپشتی نصب شده توسط عوامل نفوذی می‌تواند زمینه­ ساز دسترسی گسترده غیرمجاز به سیستم و اطلاعات آن باشد. نکته مهم این است که عموماً واکشی اطلاعات در این حجم گسترده توسط هکرها نیازمند زمان موسع و تاریخچه‌ای از اقدامات و فعالیت های غیرمجاز است که در صورت وجود سازوکارهای مناسب امنیتی قبل از وقوع رخداد و یا در حین آن قابل تشخیص و هشداردهی است. وجود لایه­‌های امنیتی چندگانه و اجرای مدل­‌های دفاع در عمق و ایجاد مراکز عملیات امنیت در حمایت و حفاظت از کل سیستم و تشخیص بموقع آسیب پذیری ­ها و رخداد­های امنیتی در این رابطه نقش مهمی ایفا می‌کند و هرگونه سهل ­انگاری در این زمینه از سوی شرکت‌های دارنده پلتفرم و مسئولان امنیت داده‌های پلتفرم­‌ها می‌تواند زمینه­‌ساز بروز حوادث امنیتی ناگواری شود که منافع و حیات شرکت را به خطر بیندازد و کاربران آن را نیز در معرض خطرات عدیده قرار دهد. 

هکرهای از اطلاعات کاربران چه سوء استفاده‌های دیگری می‌کنند؟

داده‌ها و اطلاعات، مبنای اولیه و نطفه انجام حملات سایبری و زمینه ساز اقدامات گسترده هک و نفوذ است و ‌اطلاعات غیرمجاز نشت شده از پلتفرمی مانند تپسی در حجمی وسیع به صورت هدفمند کاربران را درمعرض حملات هکری و فریب قرار می‌­دهد و اجرای شگرد­های مهندسی اجتماعی را برای هکر­ها و کلاهبرداران تا حد زیادی ساده می­‌کند. بعلاوه بصورت بالقوه امکان انجام حملات بروت فورس و دسترسی غیرمجاز به اکانت ­های کاربری افراد را بر اساس این اطلاعات فراهم و تسهیل می‌کند.

چه افراد یا شرکت‌هایی ممکن است اطلاعات کاربران را از هکرها بخرند؟

طبیعی است که منافع حاصل از دسترسی به داده‌های انبوه کاربران برای بسیاری وسوسه انگیز است. لذا خرید اینگونه اطلاعات از سوی مجرمان به منظور سوء استفاده و در راستای اجرای حملات هکری ثانویه و کلاهبرداری از کاربران صورت می­‌گیرد. یکی دیگر از مشتریان بالقوه اینگونه داده‌ها و اطلاعات شرکت­‌های تبلیغاتی هستند. در هر­حال با توجه به اینکه دسترسی به داده‌های غیرمجاز در فصل یکم (جرائم علیه محرمانگی داده ها و سامانه های رایانه ای و مخابراتی) و ماده یک قانون جرایم رایانه‌­ای مصوب سال 1388 جرم ­انگاری شده است همگی این افرد بلافاصله پس از دسترسی غیر­مجاز به این اطلاعات برابر  قانون مجرم تلقی می‌شوند.

برای پیشگیری از تکرار چنین حوادثی شرکت‌های اینترنتی مانند تپسی چه نکاتی را باید رعایت کنند؟

متاسفانه امنیت اطلاعات بخشی عمدتاً مغفول مانده و در درجه دوم اهمیت سازمان‌ها و شرکت‌ها قرار دارد. توجه به امنیت در کنار توسعه یک سکو یا اپلیکیشن و تقویت اقدامات امنیتی همزمان با تنوع بخشی به خدمات و افزایش مخاطبان نیازمند درک اهمیت موضوع و همراهی و حمایت مادی و معنوی از سوی مدیران عالی و ذینفعان اصلی هر پلتفرم است. در صورت وجود این شرایط امکان تقویت لایه‌های امنیتی پلتفرم و تامین سرمایه انسانی متخصص، متعهد و با کیفیت، تجهیزات و نرم افزارهای امنیتی لازم همانند فایروال‌ها، سامانه‌های تشخیص و پیشگیری از نفوذ و مراکز عملیات امنیت در کنار کد نویسی امن و همچنین نظارت و مانیتورینگ مستمر به منظور یافتن آسیب پذیری‌ ها و تهدیدات در کل سیستم و رفع یا مدیریت آنها فراهم ساخت.

به منظور پیشگیری از تکرار چنین رخدادهایی استفاده از مشاوران امنیتی متبحر که به صورت متمرکز و مستمر اشکالات و نواقص سیستم‌های بزرگ، پیچیده و پرچالشی مانند تپسی که به واسطه تعدد کاربران و گستره و عمق نفوذ بسیار زیاد در سطح جامعه در معرض تهدید و خطرات دائم قرار دارند از اهمیت زیادی برخوردار است. توجه به آموزش کارکنان در تمامی زنجیره تامین و ارائه خدمت در موضوع امنیت و ایمنی سایبری و اطمینان از اتخاذ و رعایت ملاحظات امنیتی در کل بدنه و زنجیره امنیت یک سکوی نرم ­افزاری اهمیت بسیار زیادی دارد. رمزگذاری داده‌های و اطلاعات و اتخاذ سیاست‌ها و خط مشی امنیتی متناسب با جایگاه‌­ها و نقش‌های سازمانی و حساسیت آنها می‌تواند مانع بالفعل آسیب پذیری‌ و مخاطرات شود. همچنین پیاده سازی مدل‌های چند لایه امنیتی و رویکرد دفاع در عمق نیز بسیار موثر و پیشگیرانه خواهد بود. مدل­‌ها و استانداردهای تجربه شده و تائید شده بین‌المللی و الزامات امنیتی و اسناد بالادستی قابل توجهی از جمله سند افتا و سند نظام ملی پیشگیری و مقابله با حوادث رایانه ای نیز وجود دارد که در صورت بکارگیری و پیاده سازی مناسب می‌تواند بسیار کمک کننده باشد.