پشت پرده سرقت اطلاعات رایتل چیست؟

به گزارش راهبرد معاصر؛ در روزهای اخیر خبر لو رفتن اطلاعات 5.5 میلیون کاربر رایتل در فضای مجازی و اقدام هکر این اطلاعات برای اخاذی از رایتل و به نتیجه نرسیدن و بعد هم پخش آن در فضای مجازی شوک برانگیز بود! خصوصاً برای کاربرانی که حالا مطمئن بودند پس از این باید بیشتر و بیشتر همه نکات امنیتی را در فضای مجازی مراعات کنند تا مبادا با اطلاعات به سرقت رفته از آنها در هنگام انجام یک تراکنش مالی یا هر فعالیت دیگری که به اطلاعات هویتی آنها مربوط باشد، هک شوند! چراکه درز اطلاعاتی از این دست ممکن است برای کاربران به لحاظ امنیتی مخاطراتی به همراه داشته باشد.

ماجرا چه بود؟ اصلاً چنین ادعایی از سوی فردی که خود را هکر این اطلاعات میداند تا چه حد صحت دارد و سوال بعدی اینکه آیا این اطلاعات می تواند خطرناک باشد و یا چه سودی به حال هکر دارد؟ آیا او می‌توان از آن کسب درآمد کند؟ اگر چنین است چرا تاکنون برای حفظ اطلاعات و بستن حفره‌هایی که دسترسی هکرها را به بانک اطلاعاتی باز می‌گذارد، کاری نشده است؟

سرقت تایید شده و تبعات آن برای کاربران

ماجرا از این قرار بود که اطلاعات 5.5 کاربر از رایتل سرقت شد و مرکز ماهر هم درز اطلاعات رایتل را تایید کرد. حسین فلاح‌جوشقانی، رئیس سازمان تنظیم مقررات در توییتی اعلام کرده است: «گزارش‌ها نشان می‌دهد اطلاعات لو رفته متعلق به ۴ سال پیش بوده و توسط عامل انسانی رخ داده است.» اما عمق فاجعه بیش از این حرف‌ها بود تا جاییکه بحث به مجلس کشیده شد و مجتبی رضاخواه، نماینده مجلس را به واکنش وا داشت و وی هم از پیشنهاد تشکیل کمیسیون ویژه فناوری اطلاعات، فضای مجازی و اقتصاد دیجیتال برای نظارت بر وزارت ارتباطات خبر می دهد؛ در پی این واکنش‌ها رایتل بالاخره خود را قانع می‌کند تا پاسخی بدهد و از لو رفتن تنها سه رکورد از 9 رکورد اطلاعاتی خبر می دهد اما مگر لو رفتن اطلاعات کمتر و بیشتر هم دارد؟ مسئله اینجاست که «اطلاعات کاربران لو رفته است!»

اما در میان هیاهویی که این بار تیر خطا را به سمت رایتلی‌ها نشانه گرفته توجه به این نکته امری حیاتی است که  ماجرای لو رفتن اطلاعات در فضای مجازی مربوط به امروز و دیروز نیست و بهتر اینکه بگوییم این سریالی تکراری در فضای مجازی برای کاربران ایرانی محسوب می‌شود. چنانچه پیش از این اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام شامل یوزرنیم [شناسه] و شماره تلفن توسط یک نسخه غیررسمی تلگرام لو رفت؛  ۱۵ فروردین هم یک گروه مدعی شد که اطلاعات ثبت احوال ۸۰ میلیون ایرانی  از جمله نام، نام خانوادگی، نام پدر، جنسیت، تاریخ تولد و در قید حیات بودن را در اختیار دارد! حالا این اطلاعات چطور می‌تواند برای کاربران مشکل ایجاد کند و چه راهبردی برای جلوگیری از تکرار چنین امری باید انجام شود سوالاتی است که راهبرد معاصر در گفتگو با «محسن رضایی صدرآبادی» دکترای اقتصاد فضای مجازی به تحلیل و ارزیابی و پاسخ به آن پرداخته است.

فقدان شبکه ملی اطلاعات

رضایی در خصوص لو رفتن اطلاعات کاربران رایتل اینچنین عنوان می‌کند:« باید به چند مسئله توجه کرد. اول اینکه تبعات این لو رفتن ضرر اصلیش به کاربرانی وارد می‌شود که اطلاعاتشان لو رفته و پخش شده است و در درجه دوم به آن شرکت‌ها موسسات و سازمانی که بدون توجه به بحث امنیت باعث شده اند این اطلاعات لو برود».

وی یکی از ریشه‌های این مشکل را به نبود شبکه ملی اطلاعات مربوط می‌داند و می‌افزاید:«متاسفانه مسئله اصلی در این شبکه این است  که ذخیره‌سازی و گردش اطلاعات و داده‌هایی که در فضای مجازی وجود دارد در دیتا سنترها و سرورهای داخلی  کشور باشد و بیگانگان  به آن دسترسی نداشته باشند! این یکی از نکات بسیار مهمی است که وقتی ما آن را در شبکه ملی اطلاعات انجام ندادیم هکر ها بتوانند به راحتی ازبانک‌های امنیتی استفاده کنند ؛ هر چند ما اگر این کار را هم انجام بدهیم تا زمانیکه موسسات و نهادها برای اطلاعات کاربرانشان ارزش قائل  نباشند و حفره‌های امنیتی را مسدود  نکنند که مانع ورود هکر ها شوند این مشکل حل نمی‌شود.»

تبعات لو رفتن اطلاعات کاربران

این دکترای اقتصاد فضای مجازی در پاسخ به اینکه برای حل این مشکل چه راهکاری وجود دارد، می‌گوید:« برای حل این مشکل در دنیا بحث قانون  حفاظت از اطلاعات و داده کاربران موسوم به GDPR  از سال‌های گذشته مورد توجه قرار گرفته که  موسسات و نهادها و بانک‌ها و تمام آنهایی که اطلاعات کاربرانشان را در فضای مجازی دریافت و ذخیره سازی می‌کنندمسئول هستند. چنانچه در صورت لو رفتن اطلاعات کاربران، کاربران می‌توانند از آن نهاد یا موسسه شکایت کرده و طبق این قانون  که قانون اتحادیه اروپا است و در کل کشورهای اروپایی و آمریکا تا حدودی دنبال می‌شود کاربران می‌توانند حق و حقوق خود را بگیرند و این باعث شده که تبعات لو رفتن اطلاعات اولا کاهش بیاید و خود  لو رفتن اطلاهات و توجه نهادها و سازمان‌ها به مسئله حفظ امنیت اطلاعات و داده‌های کاربران نیز افزایش پیدا کند.»

وی با تاکید  بر اینکه ما در کشور این قانون را نداریم، در خصوص تبعات لو رفتن اطلاعات عنوان می‌کند:« نخستین مشکل متوجه کاربران است و اینکه آن هکر چطور می‌تواند از این اطلاعات سوء استفاده کند؟ از اطلاعات  بانکی و مالی گرفته تا کد ملی و نام و نام خانوادگی و کد پستی و ... هر کدام در قسمتی می‌تواند برای امنیت اطلاعاتی کاربردر فضای مجازی مشکل ایجاد کند. در قضیه  لو رفتن اطلاعات کاربران رایتل یکی از مسائل همان آدرس، کد پستی، شماره تلفن ثابت و نام و نام خانوادگی کامل است که اصلا وجود این اطلاعات می‌تواند برای استفاده در سامانه های دیگر و هک کردن‌های آینده مورد استفاده  قرار گرفته و تبعات زیادی داشته باشد.»

شوآف وزیر جوان و کم کاری‌ها در شبکه ملی اطلاعاتی

رضایی معتقد است:«علت عمده این هک کردن‌ها همان کسب درآمد است که در درجه اول به آن شرکت و نهادی  که اطلاعات کاربرانش هک شده است؛ هکرها سعی می‌کنند با تهدید به لو رفتن اطلاعات از آنها اخاذی کنند  که آنها اگر شرکت‌های معتبر جهانی باشند یا به عبارتی ترس از جریمه شدن و اعمال  قانون GDPR  داشته باشند قطعا سعی می‌کنند با هکر ها  ارتباط گرفته و مشکل را پیش از علنی شدن حل کنند .»

وی می‌گوید: «متاسفانه در کشور ما و در موضوع هک اطلاعات رایتل آنطور که هکرها اعلام کرده بودند حالا یا راست یا دروغ، این  مسئله ابتدا با رایتل مطرح شده و خواستند به بیت کووین مبالغی را برایشان پرداخت کند اما رایتلی ها قبول نکردند اگر چه این صحبت ها تکذیب شده اما نکته قابل توجه  اینکه اولین راه  درآمدی هکر از خود آن شرکت است.»

رضایی در ادامه ابراز می‌کند: «در درجه دوم برخی اطلاعات و داده ها تحلیل اقتصادی و فرهنگی می‌دهد و این اطلاعات را می‌توانند  به نهادهایی  که قابلیت آنالیز این اطلاعات را دارند، بفروشند! راه سوم کسب درآمد رجوع به کاربران است و در سابقه وجود دارد که اینها اطلاعاتی را دریافت و با مراجعه به کاربر در قبال عدم لو رفتن از آنها اخاذی کرده اند.»

وی با اشاره به نوعی هک اطلاعات عنوان می‌کند: «در سال‌های گذشته یکسری از فایل ها که روی سیستم عامل ویندوز در برخی سیستم‌هایی که به فضای مجازی مرتبط بودند، می‌نشست و به محض دانلود آنها، سیستم عامل  از دسترس خارج و کد گذاری می‌شد و بعد پیامی می‌آمد که می‌گفت در قبال رمز گشایی پول پرداخت کنید! در قضیه رایتل هر سه تای این موارد قابل اجرا است.»

این دکترای اقتصاد فضای مجازی با اشاره به عدم قانونگذاری مناسب در این حوزه می‌گوید: « با توجه به تحولات مجلس جدید باید خواهش کنیم مجلس این قانون را تصویب  و پیگیری کند تا نهادها و شرکت ها هم به مسئله امنیت اطلاعات داده کاربران توجه ویژه ای داشته باشند تا جلوی حفره‌ها و بانک‌های اطلاعاتی را بگیرند و مانع لو رفتن  اطلاعات شوند.»

وی می‌گوید: « وزارت ارتباطات و فناوری ارتباطات  متصدی و متولی اصلی در قضیه شبکه ملی اطلاعات است لذا می‌بایست در لایه زیرساخت در فضای مجازی فعالیت کند و این هم یک مطالبه جدی است اما وزیر جوان  با شوآفی که انجام می‌دهند هنوز هیچ گامی در این مسیر بر نداشته اند و ما حالا شاهد نفوذ اطلاعات به خارج از مرز ها هم هستیم.»

بهره سخن

اطلاعات کاربری چندین میلیون ایرانی در فضای مجازی لو رفته است! و درآینده هم ممکن است این امر به شکل‌های مختلف و درجه‌های بالاتری ادامه داشته باشد امری که خود می‌تواند منجر به مخاطرات امنیتی بسیاری شده و حتی عده ای را با هک حساب‌های بانکی‌شان بدبخت کند! حالا چه باید کرد؟ در حالیکه وزارت ارتباطات و فناوری اطلاعات با عنوان متولی اصلی این امر کاری به تبعاتی که این لو رفتن‌های اطلاعاتی ممکن است برای امنیت عموم مردم یا حتی سازمان‌ها و نهادهای مهم در پی داشته باشد، ندارد و لذا دنبال قانون مهمی که سال‌هاست در کشورهای دیگر امنیت را در فضای مجازی ایجاد کرده، نمی رود. در کنار قانون موسوم به امنیت  حفاظت از اطلاعات و داده کاربران، راه اندازی شبکه ملی اطلاعات هم با بی توجهی مواجه شده است که اگر بود امروز به دنبال ارزیابی تبعات این درز اطلاعات و راه هایی برای جبران آن نبودیم؟