در نبود اکوسیستم امنیت و راهکارهای حفظ اطلاعات کاربران
قطار لو رفتن اطلاعات به رایتل رسید
مرکز ماهر درز اطلاعات رایتل را تایید کرده است. گزارشها نشان میدهد اطلاعات لو رفته متعلق به ۴ سال پیش بوده و توسط عامل انسانی رخ داده است. در هر حال رایتل مسوول حفاظت از دادههای مشترکان است و باید برخورد مسوولانهای از خود نشان دهد. طبق ضوابط پروانه برخورد جدی خواهیم کرد. حتی قبل از اینکه خود رایتل اساسا واکنشی به این موضوع نشان دهد بحث به مجلس هم کشیده شد و مجتبی رضاخواه یک نماینده مجلس از پیشنهاد تشکیل کمیسیون ویژه فناوری اطلاعات، فضای مجازی و اقتصاد دیجیتال برای نظارت بر وزارت ارتباطات خبر داد و در توییتر نوشت: «اخباری منتشر شده که اطلاعات ۵/ ۵ میلیون مشترک اپراتور رایتل هک و برای فروش منتشر شده! پاسخگویی وزیر و ارائه راهکار عدم تکرار مشکل را پیگیری میکنیم.» در نهایت خود رایتل هم با انتشار اطلاعیهای دیرهنگام تنها لو رفتن سه رکورد از ۹ رکورد منتشر شده را تلویحا تایید کرد و البته با تاکید بر اینکه این اطلاعات قدیمی است.
در این بیانیه آمده است: مشترکین رایتل بزرگترین سرمایه ما هستند و همچنین حفظ محرمانگی و حریم خصوصی مشترکین از اصول اولیه و قطعی رایتل است و اخبار منتشره درخصوص درخواست فرد باجگیر از رایتل کذب محض است. در تاریخ ۱۲ خرداد ماه سال جاری این اپراتور از طریق رسانهها در جریان ادعای فردی مبنی بر در اختیار داشتن اطلاعات ۵/ ۵ میلیون از مشترکان خود قرار گرفت. رایتل در ادامه نوشت: فرد مذکور مدعی شد از رایتل خواستار ۵ بیت کوین شده تا از انتشار دیتا خودداری کرده و آن را در اختیار رایتل قرار دهد و پس از ممانعت رایتل از پرداخت، برای فروش دیتا از طریق اینترنت به مبلغ یک هزار دلار اقدام کرده است که رایتل این مذاکره و درخواست را قویا تکذیب میکند.
این اپراتور اعلام میکند تاکنون هیچ مستندی به جز ۹ رکورد منتشر شده مبنی بر دزدیده شدن اطلاعات ۵/ ۵ میلیون مشترک این اپراتور به دست نیامده است که نتیجه بررسی این ۹ رکورد نشان میدهد ۶ رکورد بسیار قدیمی بوده (سال ۹۴ و پیش از آن) و عملا این مشترکین دیگر در شبکه رایتل فعال نیستند. از تعداد دیتای اعلامی سه رکورد فعال است که نشان میدهد اطلاعات مورد بحث بسیار قدیمی است. در بررسیهای صورت گرفته مشخص شده است احتمال سرقت اطلاعات برخط این اپراتور وجود ندارد و رایتل از پروتکلهای افتا و ماهر استفاده میکند و این پروتکلها در حال حاضر تشدید شده است.
رایتل در انتهای بیانیه خود به نشر اطلاعات این اپراتور در سال ۹۴ اشاره کرد؛ موضوعی که پیش از این اعلام نشده بود. در بیانیه رایتل آمده است: حدس اصلی رایتل درخصوص نشر اطلاعات توسط منشأ انسانی است که در سال ۹۴ و پیش از آن رخ داده است. در این راستا از رسانهها درخواست داریم تا روشن شدن موضوع از هرگونه شایعهپراکنی خودداری کرده و اخبار را از طریق درگاههای رایتل پیگیری کنند. با توجه به رسالت شرکت خدمات ارتباطی رایتل به منظور رعایت حقوق مشترکین و اخلاقمداری اقدامات لازم قضایی جهت برخورد با عاملین این موضوع با جدیت دنبال میشود.
داستان تکراری لو رفتن اطلاعات
بازار لو رفتن اطلاعات کاربران ایرانی در پلتفرمهای مختلف طی چند ماه اخیر خیلی داغ دنبال شده است. اواسط فروردین امسال محققان امنیت کامپیوتری از لو رفتن اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام شامل یوزرنیم و شماره تلفن توسط یک نسخه غیررسمی تلگرام خبر دادند. یک سخنگوی اپلیکیشن تلگرام هم تایید کرد این اطلاعات از یک نسخه غیررسمی این برنامه به سرقت رفتهاند. بررسیهای بعدی نشان داد این اطلاعات توسط یک سامانه ایرانی به نام «شکار» منتشر شده بود که دامنه آن توسط شرکت رسپینا میزبانی میشد. یک روز پس از این ماجرا نیز اطلاعات ۵ میلیون کاربر پلتفرم سیب اپ برای فروش در وبسایت Raidforums قرار گرفت. سیب اپ ضمن پذیرفتن این ماجرا و عذرخواهی، بیانیهای را در همین زمینه منتشر کرد.
اما این پایان ماجرا نبود. دو روز پس از این اتفاق، روز ۱۵ فروردین، یک گروه مدعی شد که اطلاعات ثبت احوال ۸۰ میلیون ایرانی را در اختیار دارد. این گروه ناشناس از طریق یک بات تلگرامی به کاربران اجازه میداد با وارد کردن شماره ملی بتوانند اطلاعاتی از جمله: نام، نام خانوادگی، نام پدر، جنسیت، تاریخ تولد و در قید حیات بودن را مشاهده کنند. سازندگان این بات مدعی شدند اطلاعات را مستقیما از سرورهای سازمان ثبت احوال کشور دریافت میکنند و نکته جالبتر اینکه این گروه درخصوص این حفره امنیتی به سازمان افتا هشدار دادهاند اما با پاسخ «هیچ کاری نمیتوانید بکنید» مواجه شدهاند.
سازمان ثبت احوال در واکنش به این اتفاق اعلام کرد نشت اطلاعات از طریق این سازمان رخ نداده و مقصر اصلی وزارت بهداشت است. داستان نشت اطلاعات کاربران ایرانی از طریق پلتفرمهای آنلاین تا جایی ادامه پیدا کرد که مرکز ماهر با انتشار یک بیانیه به پلتفرمهای آنلاین ایرانی اعلام کرد تمامی بانکهای اطلاعاتی ایرانی را رصد خواهد کرد و با پلتفرمهایی که در حفظ اطلاعات کاربران خود سهلانگاری کرده باشند برخورد میکند. «به منظور جبران خسارت آن دسته از مشترکین گرامی که احتمال میرود، اطلاعات آنان منتشر شود، تمهیداتی در نظر گرفته شدهاست که متعاقبا از طریق کانالهای رسمی اعلام شود.»
مسوولیت شرکتها در حفظ اطلاعات کاربران
بحث پیرامون لو رفتن اطلاعات کاربران از سال گذشته و با رشد تعداد کاربران سرویسهای اینترنتی جدیتر شده است. با رشد استارتآپها و سرویسهای اینترنتی که کاربران میلیونی دارند حالا مشخص شده موضوع پروتکلهای امنیتی و ایجاد روالهای امن برای حفظ و حفاظت از اطلاعات کاربران برای بسیاری از شرکتها در اولویت قرار نداشته است. علیرضا فرزین یک متخصص امنیت اطلاعات به «دنیای اقتصاد» میگوید: لو رفتن اطلاعات رایتل یکی از تازهترین نمونهها از سلسله اتفاقاتی است که نشان میدهد موضوع امنیت اطلاعات کاربران در رتبههای بسیار پایینتری نسبت به اولویتهای تجاری شرکتها قرار میگیرد و یکی از دلایل اصلی آن هم نبود سازوکارهای تنبیهی لازم از سوی رگولاتور برای ترغیب شرکتها به ایجاد تمهیدات امنیتی لازم است.
فرزین تاکید میکند: وقتی نمونههای لو رفتن اطلاعات قبلی پیگیری نمیشود و از آن درسآموزی نمیشود طبیعی است شرکتهای فعلی هم حاضر به ایجاد هزینه لازم برای ایجاد سازوکار امنیتی برای حفظ اطلاعات مشترکان نشوند چراکه در بدترین شرایط هم قرار نیست جریمه یا اشکال خاصی برای شرکت مذکور در نظر گرفته شود. فرزین برطرف کردن ایرادهای امنیت اطلاعات کاربران بهصورت ساختاری را راه حل میان مدت و درازمدت برای این موضوع میداند و میگوید: اکوسیستم امنیت اطلاعات در کشور ما ایجاد نشده است. شرکتهای قوی و متخصص در این زمینه نداریم و روالهای مشخص حفظ دادهها در سازمانها و شرکتهایمان تعریف و پیادهسازی نشده است. هر شرکتی از یکی، دو متخصص امنیت استفاده میکند اما موضوع حفظ امنیت دادهها به خصوص در سطح میلیونی ورای دو، سه کارشناس است. امنیت اطلاعات بحثی نیازمند دانش به روز است و باید به سمت ایجاد شرکتهای فعال و متخصص در این عرصه برویم که کنار یک شرکت یا سازمان قرار گیرند. اما تا زمانی که اولویت حفظ اطلاعات کاربران یک اجبار نباشد و شرکتها بابت لو رفتن اطلاعات کاربران مرتکب جریمه و خسارت قابل توجه نشوند طبیعتا تلاشی هم برای این موضوع انجام نمیدهند چراکه تصورشان این است در آینده هم در صورت بروز اتفاق موضوع مشمول مرور زمان خواهد شد.
نکات مهم:
حسین فلاحجوشقانی، رئیس سازمان تنظیم مقررات در توییتر نوشت: اطلاعات لو رفته متعلق به ۴ سال پیش بوده و توسط عامل انسانی رخ داده است. در هر حال رایتل مسوول حفاظت از دادههای مشترکان است و باید برخورد مسوولانهای از خود نشان دهد. طبق ضوابط پروانه، برخورد جدی خواهیم کرد.
در نهایت خود رایتل هم با انتشار اطلاعیهای دیرهنگام تنها لو رفتن سه رکورد از ۹ رکورد منتشر شده را تلویحا تایید کرد، البته با تاکید بر اینکه این اطلاعات قدیمی است.
رایتل همچنین اعلام کرد: اخبار منتشره درخصوص درخواست فرد باجگیر از رایتل کذب محض است.
علیرضا فرزین یک متخصص امنیت اطلاعات میگوید: لو رفتن اطلاعات رایتل نشان میدهد موضوع امنیت اطلاعات کاربران در رتبههای بسیار پایینتری نسبت به اولویتهای تجاری شرکتها قرار میگیرد و یکی از دلایل اصلی آن هم نبود سازوکارهای تنبیهی لازم از سوی رگولاتور برای ترغیب شرکتها به ایجاد تمهیدات امنیتی لازم است.