قطار لو رفتن اطلاعات به رایتل رسید

مرکز ماهر درز اطلاعات رایتل را تایید کرده است. گزارش‌ها نشان می‌دهد اطلاعات لو رفته متعلق به ۴ سال پیش بوده و توسط عامل انسانی رخ داده است. در هر حال رایتل مسوول حفاظت از داده‌های مشترکان است و باید برخورد مسوولانه‌ای از خود نشان دهد. طبق ضوابط پروانه برخورد جدی خواهیم کرد. حتی قبل از اینکه خود رایتل اساسا واکنشی به این موضوع نشان دهد بحث به مجلس هم کشیده شد و مجتبی رضاخواه یک نماینده مجلس از پیشنهاد تشکیل کمیسیون ویژه فناوری اطلاعات، فضای مجازی و اقتصاد دیجیتال برای نظارت بر وزارت ارتباطات خبر داد و در توییتر نوشت: «اخباری منتشر شده که اطلاعات ۵/ ۵ میلیون مشترک اپراتور رایتل هک و برای فروش منتشر شده! پاسخگویی وزیر و ارائه راهکار عدم تکرار مشکل را پیگیری می‌کنیم.» در نهایت خود رایتل هم با انتشار اطلاعیه‌ای دیرهنگام تنها لو رفتن سه رکورد از ۹ رکورد منتشر شده را تلویحا تایید کرد و البته با تاکید بر اینکه این اطلاعات قدیمی است.

در این بیانیه آمده است: ‌مشترکین رایتل بزرگ‌ترین سرمایه ما هستند و همچنین حفظ محرمانگی و حریم خصوصی مشترکین از اصول اولیه و قطعی رایتل است و اخبار منتشره درخصوص درخواست فرد باج‌گیر از رایتل کذب محض است. در تاریخ ۱۲ خرداد ماه سال جاری این اپراتور از طریق رسانه‌ها در جریان ادعای فردی مبنی بر در اختیار داشتن اطلاعات ۵/ ۵ میلیون از مشترکان خود قرار گرفت. رایتل در ادامه نوشت: فرد مذکور مدعی شد از رایتل خواستار ۵ بیت کوین شده تا از انتشار دیتا خودداری کرده و آن را در اختیار رایتل قرار دهد و پس از ممانعت رایتل از پرداخت، برای فروش دیتا از طریق اینترنت به مبلغ یک هزار دلار اقدام کرده است که رایتل این مذاکره و درخواست را قویا تکذیب می‌کند.

این اپراتور اعلام می‌کند تاکنون هیچ مستندی به جز ۹ رکورد منتشر شده مبنی بر دزدیده شدن اطلاعات ۵/ ۵ میلیون مشترک این اپراتور به دست نیامده است که نتیجه بررسی این ۹ رکورد نشان می‌دهد ۶ رکورد بسیار قدیمی بوده (سال ۹۴ و پیش از آن) و عملا این مشترکین دیگر در شبکه رایتل فعال نیستند. از تعداد دیتای اعلامی سه رکورد فعال است که نشان می‌دهد اطلاعات مورد بحث بسیار قدیمی است. در بررسی‌های صورت گرفته مشخص شده است احتمال سرقت اطلاعات برخط این اپراتور وجود ندارد و رایتل از پروتکل‌های افتا و ماهر استفاده می‌کند و این پروتکل‌ها در حال حاضر تشدید شده است.

رایتل در انتهای بیانیه خود به نشر اطلاعات این اپراتور در سال ۹۴ اشاره کرد؛ موضوعی که پیش از این اعلام نشده بود. در بیانیه رایتل آمده است: حدس اصلی رایتل درخصوص نشر اطلاعات توسط منشأ انسانی است که در سال ۹۴ و پیش از آن رخ داده است. در این راستا از رسانه‌ها درخواست داریم تا روشن شدن موضوع از هرگونه شایعه‌پراکنی خودداری کرده و اخبار را از طریق درگاه‌های رایتل پیگیری کنند. با توجه به رسالت شرکت خدمات ارتباطی رایتل به منظور رعایت حقوق مشترکین و اخلاق‌مداری اقدامات لازم قضایی جهت برخورد با عاملین این موضوع با جدیت دنبال می‌شود.

داستان تکراری لو رفتن اطلاعات

بازار لو رفتن اطلاعات کاربران ایرانی در پلت‌فرم‌های مختلف طی چند ماه اخیر خیلی داغ دنبال شده است. اواسط فروردین امسال محققان امنیت کامپیوتری از لو رفتن اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام شامل یوزرنیم و شماره تلفن توسط یک نسخه غیررسمی تلگرام خبر دادند. یک سخنگوی اپلیکیشن تلگرام هم تایید کرد این اطلاعات از یک نسخه غیررسمی این برنامه به سرقت رفته‌اند. بررسی‌های بعدی نشان داد این اطلاعات توسط یک سامانه ایرانی به نام «شکار» منتشر شده بود که دامنه آن توسط شرکت رسپینا میزبانی می‌شد. یک روز پس از این ماجرا نیز اطلاعات ۵ میلیون کاربر پلت‌فرم سیب اپ برای فروش در وب‌سایت Raidforums قرار گرفت. سیب اپ ضمن پذیرفتن این ماجرا و عذرخواهی، بیانیه‌ای را در همین زمینه منتشر کرد.

اما این پایان ماجرا نبود. دو روز پس از این اتفاق، روز ۱۵ فروردین، یک گروه مدعی شد که اطلاعات ثبت احوال ۸۰ میلیون ایرانی را در اختیار دارد. این گروه ناشناس از طریق یک بات تلگرامی به کاربران اجازه می‌داد با وارد کردن شماره ملی بتوانند اطلاعاتی از جمله: نام، نام خانوادگی، نام پدر، جنسیت، تاریخ تولد و در قید حیات بودن را مشاهده کنند. سازندگان این بات مدعی شدند اطلاعات را مستقیما از سرورهای سازمان ثبت احوال کشور دریافت می‌کنند و نکته جالب‌تر اینکه این گروه درخصوص این حفره امنیتی به سازمان افتا هشدار داده‌اند اما با پاسخ «هیچ کاری نمی‌توانید بکنید» مواجه شده‌اند.

سازمان ثبت احوال در واکنش به این اتفاق اعلام کرد نشت اطلاعات از طریق این سازمان رخ نداده و مقصر اصلی وزارت بهداشت است. داستان نشت اطلاعات کاربران ایرانی از طریق پلت‌فرم‌های آنلاین تا جایی ادامه پیدا کرد که مرکز ماهر با انتشار یک بیانیه به پلت‌فرم‌های آنلاین ایرانی اعلام کرد تمامی بانک‌های اطلاعاتی ایرانی را رصد خواهد کرد و با پلت‌فرم‌هایی که در حفظ اطلاعات کاربران خود سهل‌انگاری کرده باشند  برخورد می‌کند. «به منظور جبران خسارت آن دسته از مشترکین گرامی که احتمال می‌رود، اطلاعات آنان منتشر شود، تمهیداتی در نظر گرفته شده‌است که متعاقبا از طریق کانال‌های رسمی اعلام  شود.»

مسوولیت شرکت‌ها در حفظ اطلاعات کاربران

بحث پیرامون لو رفتن اطلاعات کاربران از سال گذشته و با رشد تعداد کاربران سرویس‌های اینترنتی جدی‌تر شده است. با رشد استارت‌آپ‌ها و سرویس‌های اینترنتی که کاربران میلیونی دارند حالا مشخص شده موضوع پروتکل‌های امنیتی و ایجاد روال‌های امن برای حفظ و حفاظت از اطلاعات کاربران برای بسیاری از شرکت‌ها در اولویت قرار نداشته است. علیرضا فرزین یک متخصص امنیت اطلاعات به «دنیای اقتصاد» می‌گوید: لو رفتن اطلاعات رایتل یکی از تازه‌ترین نمونه‌ها از سلسله اتفاقاتی است که نشان می‌دهد موضوع امنیت اطلاعات کاربران در رتبه‌های بسیار پایین‌تری نسبت به اولویت‌های تجاری شرکت‌ها قرار می‌گیرد و یکی از دلایل اصلی آن هم نبود سازوکارهای تنبیهی لازم از سوی رگولاتور برای ترغیب شرکت‌ها به ایجاد تمهیدات امنیتی لازم است.

فرزین تاکید می‌کند: وقتی نمونه‌های لو رفتن اطلاعات قبلی پیگیری نمی‌شود و از آن درس‌آموزی نمی‌شود طبیعی است شرکت‌های فعلی هم حاضر به ایجاد هزینه لازم برای ایجاد سازوکار امنیتی برای حفظ اطلاعات مشترکان نشوند چراکه در بدترین شرایط هم قرار نیست جریمه یا اشکال خاصی برای شرکت مذکور در نظر گرفته شود. فرزین برطرف کردن ایرادهای امنیت اطلاعات کاربران به‌صورت ساختاری را راه حل میان مدت و درازمدت برای این موضوع می‌داند و می‌گوید: اکوسیستم امنیت اطلاعات در کشور ما ایجاد نشده است. شرکت‌های قوی و متخصص در این زمینه نداریم و روال‌های مشخص حفظ داده‌ها در سازمان‌ها و شرکت‌هایمان تعریف و پیاده‌سازی نشده است. هر شرکتی از یکی، دو متخصص امنیت استفاده می‌کند اما موضوع حفظ امنیت داده‌ها به خصوص در سطح میلیونی ورای دو، سه کارشناس است. امنیت اطلاعات بحثی نیازمند دانش به روز است و باید به سمت ایجاد شرکت‌های فعال و متخصص در این عرصه برویم که کنار یک شرکت یا سازمان قرار گیرند. اما تا زمانی که اولویت حفظ اطلاعات کاربران یک اجبار نباشد و شرکت‌ها بابت لو رفتن اطلاعات کاربران مرتکب جریمه و خسارت قابل توجه نشوند طبیعتا تلاشی هم برای این موضوع انجام نمی‌دهند چراکه تصورشان این است در آینده هم در صورت بروز اتفاق موضوع مشمول مرور زمان خواهد شد.


نکات مهم:

   حسین فلاح‌جوشقانی، رئیس سازمان تنظیم مقررات در توییتر نوشت: اطلاعات لو رفته متعلق به ۴ سال پیش بوده و توسط عامل انسانی رخ داده است. در هر حال رایتل مسوول حفاظت از داده‌های مشترکان است و باید برخورد مسوولانه‌ای از خود نشان دهد. طبق ضوابط پروانه، برخورد جدی خواهیم کرد.

  در نهایت خود رایتل هم با انتشار اطلاعیه‌ای دیرهنگام تنها لو رفتن سه رکورد از ۹ رکورد منتشر شده را تلویحا تایید کرد، البته با تاکید بر اینکه این اطلاعات قدیمی است.

  رایتل همچنین اعلام کرد: اخبار منتشره درخصوص درخواست فرد باج‌گیر از رایتل کذب محض است.

 علیرضا فرزین یک متخصص امنیت اطلاعات می‌گوید: لو رفتن اطلاعات رایتل نشان می‌دهد موضوع امنیت اطلاعات کاربران در رتبه‌های بسیار پایین‌تری نسبت به اولویت‌های تجاری شرکت‌ها قرار می‌گیرد و یکی از دلایل اصلی آن هم نبود سازوکارهای تنبیهی لازم از سوی رگولاتور برای ترغیب شرکت‌ها به ایجاد تمهیدات امنیتی لازم است.