ره آورد نور

دلایل افشاء اطلاعات کاربران

افشاء اطّلاعات، در لغت به معنای انتشار عمدی یا غیرعمدی اطلاعات خصوصی و عمومی در محیطی غیر ایمن است. دلایل مختلفی به افشاء اطّلاعات منجر می شوند؛ مانند: هک اطّلاعات توسط هکرهای زیرزمینی، افشاء اطّلاعات توسط فعّالان سیاسی یا دولت های محلّی یا حتّی استفاده از تجهیزات رایانشی یا شبکه های ذخیره اطّلاعات. در این میان، نباید نقش باگ‌های داخلی و بدافزارها را نیز نادیده گرفت.

روزانه حجم عظیمی از داده های تولیدی توسط شرکت های ارائه‌دهنده شبکه‌های اجتماعی و پیامرسان، مدیریت و تحلیل می‌شود و نتایج حاصل از تحلیل روی این داده‌های کلان (بیگ دیتا)، متقاضی بسیاری داشته و از بنگاه‌های تجاری که برای بهره‌مندی در تبلیغات هوشمند به این اطّلاعات نیاز دارند، تا سازمان‌های امنیتی و حاکمیتی برای رصد وضعیت ملّت‌ها در نقاط مختلف دنیا، متقاضی این داده‌ها هستند؛ حتّی در این بین، شرکت‌های تحلیلی بسیاری، کلان‌داده‌ها را منبع اصلی درآمد خود قرار داده و با ارائه گزارش‌های هدفمند، می‌توانند نتیجه انتخابات مختلف را تغییر دهند. در این بین، نباید از سوء استفاده شرکت‌های تبلیغاتی و بازاریابی غافل ماند.

ناامنی روزافزون فضای مجازی

با روند رو به رشد ناامنی در فضای مجازی، در سال جاری میلادی، انبوهی از اخبار مربوط به افشاء اطّلاعات کاربران منتشر شد. پس از فاش شدن خبر مربوط به افشاء اطّلاعات ۵۰ میلیون کاربر فیسبوک، گزارش‌های دیگر نشان داد احتمالاً حساب کاربری اینستاگرام این افراد نیز هک شده است. همچنین، اگر یکی از این افراد از طریق اطّلاعات حساب کاربری فیسبوک خود وارد اینستاگرام یا هر وبسایت دیگری شده بود، احتمالاً هکرها به اطّلاعات حساب او دسترسی پیدا کرده بودند.

در آخرین نمونه این اخبار، مشخّص شد که هکرها پیام‌های خصوصی ۸۱ هزار کاربر فیسبوک را منتشر کرده‌اند. آنها در یک آگهی تبلیغاتی اعلام نمودند دسترسی به حساب‌های کاربری را با قیمت ۱۰ سنت می‌فروشند.

همچنین، وبسایتی به نام Krebs on Security اعلام کرد که نرم افزار جاسوسی mSpy ، اطّلاعات میلیون‌ها کاربر خود را فاش کرده است. جالب آنکه اطّلاعات کاربران این نرم‌افزار، به‌راحتی قابل دسترسی است و حجم وسیعی را شامل می شود؛ از جمله نام، نشانی ایمیل، پیام‌های فیسبوک و واتساپ.

چندی پیش، محقّقان دانشگاه آکسفورد نیز هشدار دادند جمع‌آوری و اشتراک‌گذاری اطّلاعات کاربران به وسیله اپلیکیشن‌های موبایل، از کنترل خارج شده است. آنها متوجّه شدند ۹۰ درصد اپلیکیشن های رایگان در پلی‌استور، اطّلاعات کاربران را با آلفابت (شرکت مادر گوگل) به اشتراک می‌گذارد. بیش از ۴۰ درصد این اپلیکیشن ها، اطّلاعات کاربران را به کسب‌وکارهای متعلّق به فیسبوک منتقل می‌کنند.

همچنین، گزارشی دیگر نشان داده اپلیکیشن هایی مانند Dr.Unarchiver و Dr.Cleaner که توسط شرکت Trens Micro عرضه شده‌اند، تاریخچه مرورگر کاربر را جمع‌آوری و آپلود می‌کنند. این برنامه ها همچنین، اطّلاعات اپلیکیشن های دیگر نصب‌شده در دستگاه را جمع‌آوری می‌نمایند.

افشاء اطّلاعات با اهداف مختل تا به آنجا پیش رفته که یک شرکت هواپیمایی هنگ‌کنگی به نام Cathay Pasific نیز اعلام کرد اطّلاعات ۹.۴ میلیون نفر از مشتریانش فاش شده است. در این نشتِ اطّلاعات، اسامی، ملّیت، تاریخ تولد، شماره تلفن، ایمیل، نشانی، شماره پاسپورت، شماره کارت شناسایی و تاریخچه سفر مشتریان فاش شده بود.

شاید یکی از تکان‌دهنده‌ترین اخبار نیز مربوط به وجود اطلاعات ۳۵ میلیون رأی‌دهنده امریکایی در وب تاریک بود. این اطّلاعات، یک ماه قبل از شروع انتخابات مجلس نمایندگان، برای فروش در یک فروم آنلاین عرضه شده بود. البته کارشناسان ادعاء می کنند عرضه اطّلاعات، به معنای افشاء اطّلاعات نیست. این سوابق، احتمالاً از شرکت‌هایی سرقت شده که از اطّلاعات رأی دهندگان برای استفاده در برنامه های انتخاباتی ایالت‌ها استفاده می‌کنند.

شبکه های اجتماعی نیز پلتفرم امنی برای اطّلاعات به حساب نمی‌آیند. محقّقان امنیتی، به دفعات شکاف های امنیتی را در این زمینه کشف کرده‌اند. یکی از آن موارد، به سوءاستفاده از ویس‌میل واتساپ مربوط می شود. هکرها با استفاده از شماره تلفن کاربر سعی می کنند اپلیکیشن استاندارد واتساپ را در موبایل خود نصب کنند. در مرحله بعد، واتساپ با ارسال یک پیامک حاوی کد تأیید ۶ رقمی به موبایل کاربر، عملیات را احراز هویت می کند. به همین دلیل، هکرها سعی می کنند زمانی که کاربر موبایل خود را رصد نمی کنند (شب‌هنگام) این عملیات را انجام دهند. در مرحله بعد، واتساپ به کاربر اجازه می‌دهد که بین ارسال دوباره کد ۶ رقمی و تماس صوتی خودکار، یکی را انتخاب کند. از آنجا که کاربر موبایل خود را رصد نمی‌کند، پیام به ویس‌میل او ارسال می‌شود. در این مرحله، هکرها با استفاده از شکاف امنیتی در شبکه شرکت‌های مخابراتی، این ویس میل‌ها را دریافت می کنند.

حتّی تلگرام نیز از این روند مستثناء نیست. یک محقّق امنیتی کشف کرده که نسخه‌های قبلی اپلیکیشن دسکتاپ تلگرام، هنگام حین برقراری تماس صوتی، IP آدرس‌های عمومی و خصوصی (نشانی پروتکل اینترنت) را فاش کرده است. دلیل این امر، چارچوب کاری همتابه‌همتای تلگرام بوده است.

یکی دیگر از نمونه‌های جالب، اطّلاعات مربوط به اپل است. بررسی های امنیتی نشان می دهد تعدادی از برنامه های محبوب آیفون، بی‌سروصدا اطّلاعات موقعیت مکانی ده‌ها میلیون کاربر این گوشی را به اشتراک می‌گذارند. بسیاری از این برنامه‌ها، علاوه بر شناسایی موقعیت دقیق مکانی کاربران خود، اطّلاعات حساس دیگری را نیز جمع‌آوری می‌کنند که دسترسی به آنها، توسط شرکت‌های ثالث می تواند امنیت افراد را به خطر بیندازد.

از سوی دیگر، صاحب خدمات ایمیل یاهو نیز اعلام کرده ایمیل‌های تجاری مشتریان خود را بررسی می کند و در اختیار شرکت های تبلیغاتی قرار می دهد. یاهو بیش از یک دهه قبل، رصد ایمیلی کاربران خود را آغاز کرده است. این شرکت، از الگوریتم‌های مختلف برای بررسی ایمیل‌های تجاری در این باکس کاربر استفاده می کند.

راهی دیگر برای دسترسی به اطّلاعات کاربران

شیوه‌های سرقت اطّلاعات کاربران در سال‌های اخیر بسیار متنوع شده است. یکی از روش‌های کلاهبرداری از کاربران، مشکلات تقلّبی رایانه‌هاست. طبق گزارش Action Fraud، (سازمان گزارش‌دهی جرایم سایبری در انگلیس) کلاهبرداران انگلیسی با ارائه خدمات مربوط به حلّ مشکلات تقلّبی رایانه، بیش از ۲۱ میلیون پوند از ۲۲ هزار نفر کلاهبرداری کرده‌اند.

این نوع کلاهبرداری با یک تماس تلفنی، ایمیل یا یک پیام پاپآپ در رایانه فرد آغاز می‌شود. این پیام به کاربر هشدار می‌دهد اختلالی در رایانه یا ارتباط اینترنتی او وجود دارد که باید حلّ شود. در مرحله بعد، کلاهبرداران از کاربر تقاضای مبلغی می‌کنند تا مشکل را حلّ کنند. در موارد دیگر، آنها قربانیان خود را فریب می‌دهند تا نرم‌افزاری روی دستگاهشان نصب کنند. با این وسیله، کلاهبرداران به اطّلاعات شخصی و مالی کاربر دسترسی می‌یابند. در همین راستا، این سازمان برنامه‌ای برای آموزش مردم درباره «کلاهبرداری خدمات نرم‌افزار رایانه‌ای» را ارائه می کند.

تاریخچه سرقت اطلاعات

افشای اطلاعات، لزوماً فقط به شکل دیجیتالی نیست؛ امّا به طور حتم، اوج‌گیری عصر دیجیتال، سبب افزایش رویدادهای مربوط به افشاء اطّلاعات شده است. کارشناسان و وبسایت‌های مختلف، در این باره نظریات متفاوتی دارند؛ امّا با توجّه به رویدادهای مهمّ، می توان گفت افشاء اطّلاعات در فضای دیجیتال، از ۲۰۰۵ میلادی آغاز شد. در همین راستا، یک سازمان غیرانتفاعی در امریکا به نام Privacy Rights Clearinghouse آماری از میزان اطلاعاتِ فاش‌شده و تعداد رویدادهای افشاء اطّلاعات اعلام کرد.

طبق اطّلاعات وبسایت این سازمان، از ۲۰۰۵ میلادی تاکنون ۱۱ میلیارد و ۲۳۷ میلیون و ۵۳۵ هزار و ۵۴۱ داده فاش شده است. همچنین، در این بازه زمانی، ۸۸۵۳ رویداد مربوط به افشاء اطّلاعات به طور عمومی اعلام شده‌اند.

یکی از بزرگترین نمونه‌های افشاء اطّلاعات در تاریخ، به شرکت Experian تعلّق دارد. اکسپرین، یکی از سه سازمان اصلی گزارش‌دهی اعتباری در امریکاست که در سال ۲۰۱۲ میلادی، شرکتی به نام Court Ventures را خرید. این شرکت، اطّلاعات مربوط به سوابق عمومی را جمع‌آوری می‌کرد. از سوی دیگر، در زمان ادغام Court Ventures نیز قراردادی با شرکتی به نام US Info Search داشت تا اطّلاعات را در اختیار این شرکت قرار دهد. Court Ventures اطّلاعات را به شرکت‌های طرف سوم، از جمله یک مؤسسه خدمات کلاهبرداری ویتنامی می فروخت و به آنها اجازه می داد تا اطّلاعات خصوصی مشتریان امریکایی، از جمله آمار مالی و شماره‌های تأمین اجتماعی را بررسی کنند. در بسیاری از موارد، از این اطّلاعات برای سرقت هویت استفاده می‌شد.

بزرگترین رخدادهای افشاء اطلاعات کاربران

کاهش ارزش سهام و محبوبیت

چنین رویدادهایی، ریسک برای دزدی هویت یا پیامدهای وخیم‌تر همراه دارند. پس از اعلام این رویدادها، کاربران مجبور می‌شوند تمام اطّلاعات و پسوردهای خود را تغییر دهند. از سوی دیگر، چنین رویدادهایی پس از علنی‌شدن، هیاهوی بسیاری ایجاد می‌کند و به طور معمول، شرکت سعی می کند از خسارات بیشتر جلوگیری کند؛ به عنوان مثال، افشاء اطّلاعات مشتریان خرده‌فروشی تارگت در ۲۰۱۳ میلادی، به کاهش سودآوری شرکت منجر شد. در پایان ۲۰۱۵ میلادی، تارگت با انتشار گزارشی اعلام کرد هزینه‌های مرتبط با افشاء اطلاعات مشتریان آن، بالغ بر ۲۹۰ میلیون دلار بوده است.

به نوشته رویترز، افشاء اطّلاعات ۳ میلیارد کاربر یاهو که در ۲۰۱۳ میلادی اتّفاق افتاد، در ۲۰۱۶ میلادی فاش شد که یکی از پرهزینه‌ترین رویدادهای این‌چنینی در تاریخ بوده است. این رویداد، سبب شد شرکت وریزون قیمت پیشنهادی برای خرید یاهو را یک میلیارد دلار کاهش دهد.

البته به سختی می توان خسارت های مالی مستقیم و غیرمستقیم مربوط به افشاء اطّلاعات کاربران را به دست آورد. یکی از راه های معمول در این زمینه، ارزیابی واکنش بازار به چنین رویدادی است.

در نمونه افشای اطّلاعات کاربران فیسبوک از طریق شرکت کمبریج آنالایتیکا، این امر، نه تنها به سقوط ارزش سهام شرکت و ورشکستگی آن منجر شد، در ایالات متحده امریکا از میزان محبوبیت دونالد ترامپ نیز کاسته شد. از سوی دیگر، مارک زاکربرگ مجبور شد برای شهادت در این باره، در برابر کنگره ظاهر شود. تمام این رویدادها، به کاهش محبوبیت و تعداد کاربران فیسبوک منجر شده است.

قوانین مربوط به اجباری شدن حفاظت از اطلاعات

به نوشته دیجیتال ورلد، با افزایش تعداد رویدادهای افشاء اطّلاعات، کشورها و مناطق مختلف قوانین متفاوتی را برای حفاظت از اطّلاعات ارائه کرده‌اند. قوانینی مانند HIPAA (استانداردهای امنیتی برای حفاظت از سوابق بهداشتی افراد) یا PCI (استاندارد امنیت اطّلاعات) در امریکا ابداع شده‌اند تا راهنمایی برای شرکت‌ها و سازمان‌ها برای کنترل انواع خاصّی از اطّلاعات حساس مشتریان ابداع کنند. این قوانین، چارچوبی برای امنیت، ذخیره‌سازی و روش‌های استفاده از اطّلاعات حسّاس را فراهم می‌نمایند؛ امّا این قوانین در تمام صنایع وجود ندارند و لزوماً از افشاء اطّلاعات جلوگیری نمی کنند.

طبق قانون GDPR، شرکت ها در صورت افشای اطلاعات کاربران، ۲۰ میلیون یورو جریمه می شوند. از سوی دیگر، اتحادیه اروپا نیز چندی پیش، قانون GDPR را در راستای حفاظت از اطّلاعات کاربران وضع کرد. به موجب این قانون، شرکت‌هایی که اطّلاعات کاربران را فاش کنند، مشمول جریمه‌ای معادل ۲۰ میلیون یورو یا ۴ درصد از گردش مالی سالانه جهانی خود می‌شوند.

همچنین، ایالت کالیفرنیا در امریکا نیز با وضع قانونی جدید، انتخاب پسوردهای ضعیف برای دستگاه‌های الکترونیکی مانند رایانه و موبایل توسط شرکت تولیدکننده ممنوع است. در انگلیس نیز قانونگذاران در پی تصویب دستورعملی برای شرکت های تولیدکننده گجت‌های اینترنت اشیاء هستند تا از انتخاب پسوردهای ضعیف برای آنها جلوگیری شود.

امنیت فضای مجازی؛ حال و آینده

پس از گذشت ۲۸ سال از تولّد وب و گسترش اینترنت، «برنرز لی»، مخترع وب، طرح متن‌باز جدیدی به نام سولید را راه‌اندازی کرده که هدف از پیگیری آن، جلوگیری از جمع‌آوری انبوهی از اطّلاعات خصوصی کاربران و انتقال این اطّلاعات به شرکت‌های ثالث است.

او درباره این طرح می گوید: وب به موتوری برای نابرابری و تقسیم هم مبدّل شده و نیروهای قدرتمند از آن برای پیشبرد دستور کار خود بهره می گیرند. ما امروز به نقطه حسّاسی رسیده‌ایم و تغییرات جدّی ضروری است.

به گفته وی، با اجراء طرح سولید، مدل فعلی انتقال داده‌های خصوصی کاربران به شرکت‌های بزرگ فنّاوری تغییر می‌کند تا منافع آنها تأمین شود و اشخاص بتوانند بر روی داده‌های خود همچنان کنترل داشته باشند. در قالب این طرح، برخی تغییرات فنّی به صورت ماژولار و چندبخشی بر روی فنّاوری‌های پُرکاربرد وب مانند: HTML، REST و HTTP اعمال می شود که استفاده از وب به صورت فعلی را مختل نمی‌کنند؛ امّا کنترل داده‌های فردی و حفظ حریم شخصی را سهولت می‌بخشند.

یکی از دلایل فراگیرشدن افشاء اطّلاعات در سال های پس از ۲۰۰۵ میلادی، افزایش حجم اطّلاعات است که به مجرمان سایبری فرصت های بیشتری می دهد تا حجم بیشتری از اطّلاعات را در یک حمله سرقت کنند. در همین راستا، وبسایت‌ها و شرکت‌های مختلف، آمارهای مختلفی از آینده روند افشاء اطّلاعات منتشر می کنند. طبق گزارش CSC که در ۲۰۱۲ میلادی منتشر شده، تا ۲۰۲۰ میلادی بیش از یک‌سوم اطّلاعات در خدمت ابر نگهداری می‌شود.

از سوی دیگر، وبسایت Statistica نیز در تحقیقی وضعیت واقعی امنیت اطّلاعات در سراسر جهان از ۲۰۱۰ تا ۲۰۱۵ میلادی را نشان می دهد. از ۲۰۱۵ میلادی تاکنون، ۲۵ درصد اطّلاعات جهان نیازمند اقدامات امنیتی بیشتری هستند؛ امّا همچنان به طور غیر ایمن نگهداری می‌شوند. طبق تحقیق این وبسایتِ آماری، پیش‌بینی می شود که این شاخص در ۲۰۲۵ میلادی، به ۴۵ درصد می رسد.

هم‌اکنون با گسترش اینترنت اشیاء و هوش مصنوعی، اطّلاعات کاربران، نه تنها در وبسایت‌ها و مخازن اطّلاعاتی شرکت‌ها، بلکه در گجت‌های ساده خانگی نیز ذخیره می‌شود. از آنجا که در بسیاری از این گجت‌ها، اقدامات امنیتی در نظر گرفته نشده، کارشناسان متعدّدی درباره سرقت از آنها هشدار داده‌اند. تمام این روندها، حاکی از آن است که حریم خصوصی برای افراد در حال از بین رفتن است و در صورتی که اقدامات امنیتی بیشتری انجام نشود، هر روز شاهد رویدادهای بیشتر افشای اطّلاعات کاربران خواهیم بود.

پی نوشت:

* خبرگزاری مهر، شیوا سعیدی قوی‌اندام، کد خبر: 4431052.