کارشناس IT: کاربران اسنپ‌فود هدف سارقان قرار می‌گیرند

این هکر‌ها در کانال تلگرامی خود اطلاعاتی که هک شده را منتشر کرده‌اند که شامل بیش از ۲۰ میلیون نام کاربری، پسورد، ایمیل، نام و نام خانوادگی، شماره موبایل، ۵۱ میلیون موقعیت مکانی، آدرس کامل، شماره تلفن، اطلاعات بیش از ۱۶۰ میلون سفر انجام شده توسط پیک، اطلاعات بیش از ۶۰۰ هزار پرداخت سفارش شامل نام مشتری، شماره کارت و … بود.

به گزارش خبرآنلاین، میلاد نوری، برنامه‌نویس و کارشناس IT از خطری که کاربران ایرانی را پس از هک اطلاعات آن‌ها در اسنپ‌فود تهدید می‌کند پرده برداشت.

هکر‌ها مذاکره نمی‌کنند؛ مستقیما اطلاعات را می‌فروشند

اسنپ فود نیز پس از انتشار این خبر بیانیه داد که در آن ذکر شده بود: «شرکت اسنپ‌فود مسئولیت این اتفاق را می‌پذیرد.» و همچنین گفته شده بود که با هکر‌ها مذاکره می‌کنند؛ از طرفی هکر‌ها اعلام کردند که هک را به اسنپ فود اطلاع نداده‌اند و مستقیما اطلاعات را برای فروش گذاشته‌اند. علت این موضوع را نیز تجربه مذاکره با تپسی بیان کرده‌اند و گفته‌اند: «پس از ماجرای تپسی تصمیم گرفتیم با هیچ شرکتی در آینده مذاکره نکنیم!» همچنین بنابر گزارشات آخرین نمونه اطلاعات نشت شده مربوط به تاریخ ۱۰ دسامبر ۲۰۲۳ است. این موضوع احتمالا می‌تواند حاکی از آن باشد که اطلاعات حدود ۲۰ روز پیش از اسنپ فود استخراج شده است.

این برنامه‌نویس و کارشناس IT با بیان اینکه گروه هکری که اسنپ فود را هک کرده ادعا کرده است که همان گروهی است که تپسی را هک کرده بود و تپسی تایید کرد که دیتایی که آن‌ها داده‌اند واقعی بوده است؛ گفت: «اسنپ فود هنوز به طور مستقیم تایید نکرده است که ادعای هکر‌ها صحیح است، ولی طبق سابقه‌ای که گروه هکر داشته به احتمال زیاد این ادعا نیز درست است. اگر ادعا درست باشد طبق دیتا نمونه‌ای که هکر‌ها برای اثبات خود منتشر می‌کنند، اطلاعات کاملی از کاربر‌ها شامل دستگاه کاربر، پرداخت آن‌ها و همینطور پذیرنده‌ها یعنی فروشگاهی که از آن خرید شده، اسناد پرداخت و اطلاعات سفارش و در واقع اطلاعات کاملی که در اسنپ فود درحال گردش بوده را شامل می‌شود.»

با نشت این شناسه کاربران دیگر ناشناس نیستند

او افزود: «قسمتی از اطلاعات کاربری، اطلاعات هویتی است که خطر‌های خودش را دارد و بار‌ها راجبش صحبت شده، اما اتفاق مهمی که در این هک و به طور مشابه در هک تپسی رخ داد این است که شناسه دستگاه کاربران نیز در آن وجود دارد. برای مثال شناسه‌ای وجود دارد به نام اندروید آی‌دی، از روی این شناسه و با تطابق آن با سایر اطلاعات در موبایل و تبلت اندرویدی می‌توان کاربر را رصد و فعالیت آن را شناسایی کرد؛ اگر شخص در سایت یا اپلیکیشنی به صورت ناشناس حضور پیدا کرده باشد و خبری را فقط خوانده باشد، اگر اندروید آیدی او در سایت ذخیره شده باشد اکنون با فاش شدن این اطلاعات و با تطابق آن با اطلاعات سایت دیگر، این کاربر دیگر ناشناس نیست.»

استفاده از اطلاعات کاربران به پیامک‌های تبلیغاتی ختم نمی‌شود

او با اشاره به این موضوع که در کنار هم قرار دادن اطلاعات عمق فاجعه را نشان می‌دهد؛ گفت: «الان ممکن است یک کاربر بگوید اطلاعات خرید من چه ارزش و اهمیتی دارد، اما زمانی که این اطلاعات در دست خلافکار و سواستفاده‌گر بیافتد آن‌ها استفاده خودشان را میکنند. برای مثال کسی که سفارشات زیادی داشته است با یک چیدمان راحت می‌توان متوجه شد که چه ساعاتی در محل کار خود، منزل و یا هرجای دیگری بوده است، بنابراین کسی که بخواهد سرقت کند خیلی راحت الگو رفت و آمدی فرد را از اسنپ فود و یا تپسی پیدا می‌کند. کنار هم قرار دادن اطلاعات است که متاسفانه می‌تواند به کلاهبرداری کمک کند.»

هیچ یک از اطلاعات حساس کاربران رمزنگاری نمی‌شود

او ادامه داد: «موضوعی که وجود دارد این است که همه جای دنیا قانون جلو این تخلفات را می‌گیرد، یک سری باید و نباید می‌گذارد و کسب و کار‌ها مجبورند برای اینکه روزی قانون با آن‌ها برخورد نکند آن‌ها را قبول کنند، خیلی از ما کاربران فکر می‌کنیم که در اسنپ و تپسی کارشناسان خبره‌ای وجود دارند و خب هستند، اما هیچ یک از آن‌ها برای دیتا و اطلاعات حساس کاربران رمزنگاری انجام نداده‌اند. یعنی اگر شما دیتا بیس را باز کنید اندروید آی‌دی کاربران را می‌بینید.»

او با بیان اینکه یک رمزنگاری ساده می‌توانست جلوی این فاجعه را بگیرد و یا حتی کمترش کند، گفت: «چرا این رمز نگاری صورت نگرفت؟ برای این که روزی که دیتا بیس علی بابا، ایرانسل، تپسی و ... بیرون آمد، هیچ قانون و نهادی با آن‌ها برخورد نکرد. همان اندورید آی‌دی که چند ماه پیش در تپسی فاش شد، همان اندورید آی‌دی، در اسنپ فود هم فاش شد و بدون رمزنگاری؛ یعنی حتی از هک تپسی هم درس گرفته نشده، شما تصور کنید که کسب وکار‌ها چقدر اطلاعات رمزنگاری نشده دارند.»

اگر اطلاعات شما لو رفته‌است این اقدامات را انجام دهید

این متخصص در پاسخ به این سوال که چه کاری از دست کاربران بر می‌آید؛ گفت: «راه حل آن قانون است و وقتی قانون نبوده متاسفانه کاربر کاری نمی‌تواند بکند، چرا که حجم زیادی از اطلاعاتش بیرون آمده است، اما یک سری چیز‌ها مانند "اد آیدی" را بعد از چنین اتفاقاتی کاربران می‌توانند ریست کنند، اما این هم چیزی است که خود اسنپ و تپسی و امثال آن بعد از هک باید اطلاع رسانی کنند و نمی‌کنند.»

او با اشاره به این موضوع که کاربران باید بدانند که از این به بعد اگر تلفنی داشتند که فرد اطلاعات دقیقی از آن‌ها داشت فریب نخورند، گفت: «شما فکر کنید کسی با شما تماس می‌گیرد که همه اطلاعات شما را دارد، خیلی راحت می‌تواند شما را فریب دهد، او می‌گوید بابت فلان سفارش فلان غذای شش روز پیش از رستوران فلان با شما تماس گرفته و می‌گوید شما برنده ۵۰۰ هزارتومان شده‌اید، این جا از دست کاربر کاری ساخته نیست، قانون باید وجود داشته باشد تا جلوی این اتفاقات را بگیرد، برخورد کند و زمان بگذرد تا این اطلاعات به مرور از بین برود.»

او ادامه داد: «گاهی ایمیل شما لو می‌رود و آدرس ایمیل خود را عوض می‌کنید، اما الان کارت ملی، شماره شناسنامه و اطلاعات شخصی فرد لو رفته؛ ما که نمی‌توانیم این اطلاعات را تغییر بدهیم، بنابراین خیلی زودتر باید جلوی آن‌را می‌گرفتند. باید خود کاربران بتوانند این اطلاعات را حذف کنند. شما در اکثر پلتفرم‌های خارجی می‌بینید که کاربر هر زمان که بخواهد میتواند اطلاعات خودش را پاک کند. این حذف اطلاعات باعث می‌شود که کاربری که دو سال پیش از پلتفرم استفاده داشته و امروز ندارد نیز در این نشت اطلاعات آسیب نبیند و اطلاعاتش فاش نشود. متاسفانه این کسب و کار‌ها با هدف مارکتینگی و نشان دادن تعداد کاربران زیاد، جلوی این حذف اطلاعات را می‌گیرند.»

نقطه ضعف، قانون و اجرای آن است

او در پاسخ به این سوال که ضعف اصلی از کجاست گفت: «ضعف اصلی قانون و اجرای آن است، برای مثال شما می‌بینید که پلیس فتا بیانیه داده و طرف تپسی را گرفته است و گفته است که جای هیچ نگرانی نیست. در صورتی که پلیس فتا باید اگر قانونی نیست بیاید، مرتبط‌ترین قانون را پیدا کند و با آن مثلا تپسی که دو بار مورد هک قرار گرفته را جریمه کند. تپسی از همان نقطه‌ای که قبلا هک شده بود بازهم هک شد و دلیل آن این بود که حتی یک ریال هم جریمه نشده بود.»

رفتار بعد از هک در ایران هیچ شباهتی با دیگر کشور‌ها ندارد

او گفت: «در کشور‌های دیگر به وفور میبینم و گا‌ها رسانه‌ها هم مدعی می‌شوند که در همه کشور‌ها هک وجود دارد، اما رفتار بعد از هک که در ایران انجام می‌شود خیلی شبیه به رفتار بعد هک کشور‌های دیگر نیست. اما موارد دیگری مانند مهاجرت بسیار گسترده نیروی متخصص وجود دارد، اکثر نیرو‌های متخصص یا مهاجرت کرده‌اند یا در داخل کشور به دلیل شرایط اقتصادی با شرکت‌های خارجی کار می‌کنند که درآمدشان به دلار باشد.»

او با بیان این موضوع که بعد از چند ماه و چند هفته که از هک تپسی می‌گذرد، هنوز تپسی در شبکه‌های اجتماعی و شبکه‌های رسمی خودش به کاربران اطلاع نداده که هک شده است و فقط در اکانت شخصی مدیرعامل اطلاع رسانی کوچکی شکل گرفته است، گفت: «شرکت بعد از این که هک می‌شود غیر از دادن بیانیه که می‌گوید مسئولیت را پذیرفته‌ایم باید کاربر را از دیتای منتشر شده و خطرات آن آگاه کند چراکه ممکن است خیلی از کاربران در نتیجه فاش شدن این اطلاعات خطراتی در کمین داشته باشند که خودشان می‌دانند و ما بی‌خبر باشیم. ممکن است هرکاربری نقطه آسیب پذیری خودش را بهتر بداند.»

او افزود: «برای مثال فیس بوک بعد از هک می‌گوید ما همه پسورد‌های شمارا عوض می‌کنیم، شما هم فلان اقدام را کنید و فلان کار را انجام دهید، شرکت‌های ایرانی به جای این‌ها فقط بیانیه می‌دهند و بیانیه دادن بیشتر حالت نمایشی پیدا کرده است. خب مسئولیت چه چیزی را پذیرفته‌اید وقتی تمام اطلاعات کاربر فاش شده است!»