روش سئو: امنیت اطلاعات با گسترش روند دیجیتال شدن كاسته شده و هر روز حجم بیشتری از اطلاعات كاربران فاش می گردد. این روند در سال های اخیر نگران كننده تر شده است.
خبرگزاری مهر -گروه دانش و فناوری؛ شیوا سعیدی: چند هفته پیش تیتر این خبر همه را شگفت زده كرد: «اطلاعات ۵۰ میلیون كاربر فیسبوك افشا شد». هرچند این اولین باری نیست كه اطلاعات خصوصی افراد فاش می شود، اما حجم آن نگران كننده است. قبل از این هم اخبار مربوط به فاش شدن اطلاعات كاربران خبرساز شده بود. بعنوان مثال در اوایل سال جاری رسوایی كمبریج آنالایتیكا در صدر اخبار قرار گرفت. این شركت به وسیله اطلاعات كاربران فیسبوك استراتژی تبلیغاتی دونالد ترامپ را طراحی نموده بود.
به هرحال همزمان با پیشرفت فناوری و دیجیتالیزه شدن سیستم های ذخیره اطلاعات و گسترش استفاده از اینترنت در گجت های مختلف هر روز اخبار بیشتری درباره فاش شدن اطلاعات محرمانه كاربران منتشر می گردد. افشای اطلاعات كاربران در سال های اخیر وارد مرحله جدیدی شده است و دلایل مختلفی دارد.
دلایلی كه منجر به افشای اطلاعات كاربران می شود
افشای اطلاعات در لغت به معنای انتشار عمدی یا غیرعمدی اطلاعات خصوصی و عمومی در محیطی غیر ایمن است. دلایل مختلفی به افشای اطلاعات منجر می شوند مانند هك اطلاعات توسط هكرهای زیرزمینی و افشای اطلاعات توسط فعالان سیاسی یا دولت های محلی یا حتی استفاده از تجهیزات رایانشی یا شبكه های ذخیره اطلاعات. در این میان نباید نقش باگ های داخلی و بدافزارها را هم نادیده گرفت.روزانه حجم عظیمی از داده های تولیدی توسط شركتهای عرضه دهنده شبكه های اجتماعی و پیام رسان، مدیریت و تحلیل می گردد و نتایج حاصل از تحلیل روی این داده های كلان (بیگ دیتا)، متقاضی بسیاری داشته و از بنگاههای تجاری (كه برای بهره مندی در تبلیغات هوشمند به این اطلاعات نیاز دارند) تا سازمانهای امنیتی و حاكمیتی (برای رصد وضعیت ملتها در نقاط مختلف دنیا)، متقاضی این داده ها هستند. حتی در این بین شركتهای تحلیلی بسیاری، كلان داده ها را منبع اصلی درآمد خود قرار داده و با عرضه گزارشهای هدفمند، می توانند نتیجه انتخابات مختلف را تغییر دهند. در این میان نباید از سوء استفاده شركتهای تبلیغاتی و بازاریابی غافل ماند.
فضای مجازی روز به روز ناامن تر
با روند رو به رشد ناامنی در فضای مجازی، امسال میلادی انبوهی از اخبار مربوط به افشای اطلاعات كاربران منتشر گردید.
با روند رو به رشد ناامنی در فضای مجازی، امسال میلادی انبوهی از اخبار مربوط به افشای اطلاعات كاربران منتشر شدپس از فاش شدن خبر مربوط به افشای اطلاعات ۵۰ میلیون كاربر فیسبوك، گزارش های دیگر نشان داد احیانا حساب كاربری اینستاگرام این افراد هم هك شده است. همینطور اگر یكی از این افراد با استفاده از اطلاعات حساب كاربری فیسبوك خود وارد اینستاگرام یا هر وب سایت دیگری شده بود، احیانا هكرها به اطلاعات حساب او دسترسی پیدا كرده بودند.
در آخرین نمونه این اخبار مشخص شد، هكرها پیام های خصوصی ۸۱ هزار كاربر فیسبوك را منتشر نموده اند. آنها در یك آگهی تبلیغاتی اعلام نمودند دسترسی به حساب های كاربری را با قیمت ۱۰ سنت می فروشند.
همچنین وب سایتی به نام Krebs on Security اعلام كرد، نرم افزار جاسوسی mSpy اطلاعات میلیون ها كاربر خویش را فاش كرده است. جالب آنكه اطلاعات كاربران این نرم افزار به راحتی قابل دسترسی است و حجم وسیعی را شامل می گردد همچون نام، آدرس ایمیل، پیام های فیسبوك و واتس اپ.
اما این ها تنها موارد نیستند. چندی قبل، محققان دانشگاه آكسفورد هم اخطار دادند جمع آوری و اشتراك گذاری اطلاعات كاربران به وسیله اپلیكیشن های موبایل از كنترل خارج شده است. آنها متوجه شدند ۹۰ درصد اپلیكیشن های مجانی در پلی استور اطلاعات كاربران را با آلفابت (شركت مادر گوگل) به اشتراك می گذارد. بیشتر از ۴۰ درصد این اپلیكیشن ها اطلاعات كاربران را به كسب و كارهای متعلق به فیسبوك منتقل می كنند.
همچنین گزارشی دیگر نشان داده اپلیكیشن هایی مانند Dr.Unarchiver و Dr.Cleaner كه توسط شركت Trens Micro عرضه شده اند، تاریخچه مرورگر كاربر را جمع آوری و آپلود می كنند. این برنامه ها همینطور اطلاعات اپلیكیشن های دیگر نصب شده در دستگاه را جمع آوری می كنند.
افشای اطلاعات با اهداف مختل تا به آنجا پیش رفته كه یك شركت هواپیمایی هنگ كنگی به نام Cathay Pasific هم اعلام نمود اطلاعات ۹.۴ میلیون نفر از مشتریانش فاش شده است. در این نشت اطلاعات اسامی، ملیت، تاریخ تولد، شماره تلفن، ایمیل، آدرس، شماره پاسپورت، شماره كارت شناسایی و تاریخچه سفر مشتریان فاش شده بود.
شاید یكی از تكان دهنده ترین اخبار هم مربوط به وجود اطلاعات ۳۵ میلیون رای دهنده آمریكایی در وب تاریك بود. این اطلاعات یك ماه پیش از شروع انتخابات مجلس نمایندگان برای فروش در یك فروم آنلاین عرضه شده بود. البته كارشناسان ادعا می كنند عرضه اطلاعات به معنای افشای اطلاعات نیست. این سوابق احیانا از شركت هایی سرقت شده كه از اطلاعات رای دهندگان جهت استفاده در برنامه های انتخاباتی ایالت ها استفاده می نمایند.
هشدار محققان نسبت به شكافهای امنیتی اپلیكیشن ها
این درحالی است كه شبكه های اجتماعی هم پلت فرم امنی برای اطلاعات به حساب نمی آیند. محققان امنیتی به دفعات شكاف های امنیتی را در این زمینه كشف كرده اند. یكی از آن موارد مربوط به سوءاستفاده از ویس میل واتس اپ است. هكرها با استفاده از شماره تلفن كاربر تلاش می كنند اپلیكیشن استاندارد واتس اپ را در موبایل خود نصب كنند. در مرحله بعد واتس اپ با ارسال یك پیامك حاوی كد تائید ۶ رقمی به موبایل كاربر عملیات را احراز هویت می كند. بنابراین هكرها تلاش می كنند زمانی كه كاربر موبایل خویش را رصد نمی كنند( شب هنگام) این عملیات را انجام دهند. درمرحله بعد واتس اپ به كاربر اجازه می دهد بین ارسال دوباره كد۶ رقمی و تماس صوتی خودكار یكی را انتخاب نماید. از آنجائیكه كاربر موبایل خویش را رصد نمی كند، پیام به ویس میل او ارسال می گردد. در این مرحله هكرها با استفاده از شكاف امنیتی در شبكه شركت های مخابراتی این ویس میل ها را دریافت می كنند.
تلگرام هم در امان نیست
حتی تلگرام هم از این روند مستثنی نیست. یك محقق امنیتی كشف كرده نسخه های قبلی اپلیكیشن دسكتاپ تلگرام هنگام حین برقراری تماس صوتی، IP آدرس های عمومی و خصوصی (نشانی پروتكل اینترنت) را فاش كرده است. دلیل این امر چارچوب كاری همتا به همتای تلگرام بوده است.
لو رفتن موقعیت مكان در آیفون
یكی دیگر از نمونه های جالب اطلاعات مربوط به اپل است. بررسی های امنیتی نشان داده است تعدادی از برنامه های محبوب آیفون بی سروصدا اطلاعات موقعیت مكانی ده ها میلیون كاربر این گوشی را به اشتراك می گذارند. خیلی از این برنامه ها علاوه بر شناسایی موقعیت دقیق مكانی كاربران خود اطلاعات حساس دیگری را هم جمع آوری می كنند كه دسترسی به آنها توسط شركت هاس ثالث می تواند امنیت افراد را به خطر بیندازد.
از سوی دیگر صاحب خدمات ایمیل یاهو هم اعلام نموده ایمیل های تجاری مشتریان خویش را بررسی می كند و در اختیار شركت های تبلیغاتی قرار می دهد. یاهو بیشتر از یك دهه قبل رصد ایمیلی كاربران خویش را شروع كرده است. این شركت از الگوریتم های مختلف برای بررسی ایمیل های تجاری در این باكس كاربر استفاده می نماید.
مشكلات تقلبی كامپیوتر راهی برای دسترسی به اطلاعات كاربران
این درحالی است كه شیوه های سرقت اطلاعات كاربران در سال های اخیر بسیار متنوع شده است. یكی از روش های كلاهبرداری از كاربران مشكلات تقلبی كامپیوتر ها است. بر اساس گزارش Action Fraud، (سازمان گزارش دهی جرائم سایبری در انگلیس) كلاهبرداران انگلیسی با عرضه خدمات مربوط به حل مشكلات تقلبی كامپیوتر، بیشتر از ۲۱ میلیون پوند از ۲۲ هزار نفر كلاهبرداری كرده اند.
این نوع كلاهبرداری با یك تماس تلفنی، ایمیل یا یك پیام پاپ آپ در كامپیوتر فرد آغاز می گردد. این پیام به كاربر اخطار می دهد اختلالی در كامپیوتر یا ارتباط اینترنتی او وجود دارد كه باید حل شود. در مرحله بعد كلاهبرداران از كاربر تقاضای مبلغی می كنند تا مشكل را حل كنند. در موارد دیگر آنها قربانیانشان را فریب می دهند تا نرم افزاری روی دستگاهشان نصب كنند. با این وسیله كلاهبرداران به اطلاعات شخصی و مالی كاربر دسترسی می یابند در همین راستا این سازمان برنامه ای برای آموزش مردم درباره «كلاهبرداری خدمات نرم افزار كامپیوتر ای» را عرضه می كند.
مروری بر تاریخچه سرقت اطلاعات
اما افشای اطلاعات از چه زمانی اوج گرفت؟ واقعیت آن است كه افشای اطلاعات لزوما فقط به شكل دیجیتالی نیست اما به صورت حتم اوج گیری عصر دیجیتال، سبب افزایش رویدادهای مربوط به افشای اطلاعات شده است. كارشناسان و وب سایت های مختلف در این باره نظرات متفاوتی دارند اما با عنایت به رویدادهای مهم می توان گفت افشای اطلاعات در فضای دیجیتال از ۲۰۰۵ میلادی شروع شد. درهمین راستا یك سازمان غیرانتفاعی در آمریكا به نام Privacy Rights Clearinghouse آماری از میزان اطلاعات فاش شده و تعداد رویدادهای افشای اطلاعات اعلام نمود.
طبق اطلاعات وب سایت این سازمان از ۲۰۰۵ میلادی تابحال ۱۱ میلیارد و ۲۳۷ میلیون و ۵۳۵ هزار و ۵۴۱ داده فاش شده است. همینطور در این بازه زمانی ۸۸۵۳ رویداد مربوط به افشای اطلاعات به صورت عمومی اعلام شده اند.
یكی از بزرگترین نمونه های افشای اطلاعات در تاریخ، به شركتExperianتعلق دارد. اكسپرین یكی از ۳ سازمان اصلی گزارش دهی اعتباری در آمریكا است كه در سال ۲۰۱۲ میلادی شركتی به نام Court Ventures را خرید. این شركت اطلاعات مربوط به سوابق عمومی را جمع آوری می كرد. از جانب دیگر در زمان ادغام Court Ventures هم قراردادی با شركتی به نام US Info Search داشت تا اطلاعات را در اختیار این شركت قرار دهد. Court Ventures اطلاعات را به شركت های طرف سوم همچون یك موسسه خدمات كلاهبرداری ویتنامی می فروخت و به آنها اجازه می داد تا اطلاعات خصوصی مشتریان آمریكایی همچون آمار مالی و شماره های تامین اجتماعی را بررسی كنند. در خیلی از موارد از این اطلاعات برای سرقت هویت استفاده می شد.
بزرگترین رخدادهای افشای اطلاعات كاربران
نام شركت
تاریخ افشای اطلاعات
میزان اطلاعات فاش شده
شیوه فاش شدن اطلاعات
فیس بوك
۲۰۱۸
۵۰ میلیون كاربر
هك/ امنیت ضعیف
گوگل پلاس
۲۰۱۸
۵۰۰هزار كاربر
امنیت ضعیف
ادوب سیستمز
۲۰۱۳
۱۵۲ میلیون كاربر
هك
نرم افزار جاسوسیmSpy
۲۰۱۸
تعداد نامشخص
ضعف امنیتی
اوبر
۲۰۱۷
۵۷ میلیون كاربر
هك
اپل
۲۰۱۲
۱۲ میلیون كاربر
انتشار تصادفی اطلاعات
تلگرام
۲۰۱۸
تعداد نامشخص
ضعف امنیتی
پیتزا هات
۲۰۱۷
تعداد نامشخص ضعف امنیتی
وب سایت های بازی كامپیوتری چینی( Duowan، ۷K۷K، ۱۷۸.com)
۲۰۱۱
۱۰ میلیون كاربر
هك
مركز یكپارچه اطلاعات دفاعی كره جنوبی
۲۰۱۷
۲۳۵ گیگابایت
هك
ای بی
۲۰۱۴
۱۴۵ میلیون كاربر
هك
Equifax
۲۰۱۷
۱۴۳ میلیون كاربر
امنیت ضعیف
اورنوت
۲۰۱۳
۵۰ میلیون كاربر
هك
اكسپرین
۲۰۱۲
۱۴۵ میلیون كاربر
سوءاستفاده از اطلاعات
جی میل
۲۰۱۴
۵ میلیون كاربر
هك
شركت هواپیماییCathay Pasific ۲۰۱۸
۹.۴ میلیون كاربر
ضعف امنیتی
هوم دیپوت
۲۰۱۴
۵۶ میلیون كاربر
هك
بانك جی پی مورگان چیس
۲۰۱۴
۷۶ میلیون كاربر
هك
هك عظیم كسب وكارهای آمریكایی همچون بورس نزدك
۲۰۱۲
۱۶۰ میلیون كاربر
هك
سونی آنلاین اینترنتینمنت
۲۰۱۱
۲۴۶۰۰۰۰۰۰ كاربر
هك
سونی پلی استیشن نتورك
۲۰۱۱
۷۷ میلیون كاربر
هك
توئیتر
۲۰۱۳
۲۵۰ هزار كاربر
هك
اوبر
۲۰۱۴
۵ هزار كاربر
امنیت ضعیف
آندرآرمور
۲۰۱۸
۱۵۰ میلوین كاربر
هك
یاهو
۲۰۱۳
۳ میلیارد كاربر
هك
كاهش ارزش سهام و محبوبیت
چنین رویدادهایی ریسك برای دزدی هویت یا نتایج وخیم تر همراه دارند. بعد از اعلام این رویدادها كاربران مجبور می شوند تمام اطلاعات و پسوردهای خویش را تغییر دهند.
از سوی دیگر چنین رویدادهایی بعد از علنی شدن هیاهوی زیادی بوجود می آورد و به صورت معمول شركت تلاش می كند از خسارات بیشتر جلوگیری كند. بعنوان مثال، افشای اطلاعات مشتریان خرده فروشی تارگت در ۲۰۱۳ میلادی به كاهش سودآوری شركت منجر گردید. در انتها ۲۰۱۵ میلادی تارگت با انتشار گزارشی اعلام نمود هزینه های در رابطه با افشای اطلاعات مشتریان آن بالغ بر ۲۹۰ میلیون دلار بوده است.
به نوشته رویترز افشای اطلاعات ۳میلیارد كاربر یاهو كه در ۲۰۱۳ میلادی صورت گرفت اما در ۲۰۱۶ میلادی فاش شد، هم یكی از پرهزینه ترین رویدادهای این چنینی در تاریخ بوده است. این رویداد سبب شد شركت وریزون قیمت پیشنهادی برای خرید یاهو را یك میلیارد دلار كم كند.
البته به سختی می توان خسارت های مالی مستقیم و غیر مستقیم مربوط به افشای اطلاعات كاربران را به دست آورد. یكی از طریق های معمول در این زمینه ارزیابی واكنش بازار به چنین رویدادی است.
در نمونه افشای اطلاعات كاربران فیسبوك با استفاده از شركت كمبریج آنالایتیكا، این امر نه تنها به سقوط ارزش سهام شركت و ورشكستگی آن منجر گردید، در ایالات متحده آمریكا از میزان محبوبیت دونالد ترامپ هم كاسته شد. از جانب دیگر مارك زاكربرگ مجبور شد برای شهادت دراین باره در برابر كنگره ظاهر شود. تمام این رویدادها به كاهش محبوبیت و تعداد كاربران فیسبوك منجر گردیده است.
قوانینی كه حفاظت از اطلاعات را الزامی می كنند
به نوشته دیجیتال ورلد، با افزایش تعداد رویدادهای افشای اطلاعات، كشورها و مناطق مختلف قوانین متفاوتی را برای حفاظت از اطلاعات عرضه كرده اند. قوانینی مانند HIPAA (استانداردهای امنیتی برای حفاظت از سوابق بهداشتی افراد) یا استاندارد امنیت اطلاعات PCI در آمریكا ابداع شده اند تا راهنمایی برای شركت ها و سازمان ها برای كنترل انواع خاصی از اطلاعات حساس مشتریان ابداع كنند. این قوانین چارچوبی برای امنیت، ذخیره سازی و روش های استفاده از اطلاعات حساس را فراهم می كنند. اما این قوانین در تمام صنایع وجود ندارند و لزوما از افشای اطلاعات جلوگیری نمی كنند.
طبق قانونGDPR شركتها در صورت افشای اطلاعات كاربران۲۰ میلیون یورو جریمه می شوند از جانب دیگر اتحادیه اروپا هم چندی قبل قانونGDPR را در جهت حفاظت از اطلاعات كاربران وضع كرد. به باعث این قانون شركت هایی كه اطلاعات كاربران را فاش كنند، مشمول جریمه ای معادل ۲۰ میلیون یورو یا ۴ درصد از گردش مالی سالانه جهانی خود می شوند.
همچنین ایالت كالیفرنیا در آمریكا هم با وضع قانونی جدید، انتخاب پسوردهای ضعیف برای دستگاه های الكترونیكی مانند كامپیوتر و موبایل توسط شركت تولید كننده ممنوع می باشد. در انگلیس هم قانونگذاران به دنبال تصویب دستورالعملی برای شركت های تولید كننده گجت های اینترنت اشیا هستند تا از انتخاب پسوردهای ضعیف برای آنها جلوگیری شود.
مخترع وب هم دست به كار شد
از سوی دیگر دست اندركاران صنعت فناوری هم راهكارهای مختلفی عرضه می كنند. اكنون بعد از گذشت ۲۸ سال از تولد وب و گسترش اینترنت، «برنرز لی»، مخترع وب، طرح متن باز جدیدی به نام سولید را راه اندازی كرده كه هدف از پیگیری آن جلوگیری از جمع آوری انبوهی از اطلاعات خصوصی كاربران و انتقال این اطلاعات به شركت های ثالث است.
او درباره این طرح می گوید: وب به موتوری برای نابرابری و تقسیم هم مبدل شده و نیروهای قدرتمند از آن برای پیشبرد دستور كار خود بهره می گیرند. ما امروز به نقطه حساسی رسیده ایم و تغییرات جدی ضروری می باشد.
به گفته وی با اجرای طرح سولید مدل فعلی انتقال دیتای خصوصی كاربران به شركت های بزرگ فناوری تغییر می كند تا منافع آنها تامین گردد و اشخاص بتوانند بر روی داده های خود كماكان كنترل كنند. در قالب این طرح برخی تغییرات فنی به صورت ماژولار و چند بخشی بر روی فناوری های پركاربرد وب مانند HTTP، REST، HTML اعمال می گردد كه استفاده از وب به صورت فعلی را مختل نمی كنند، اما كنترل داده های فردی و حفظ حریم شخصی را تسهیل می كنند.
آینده دزدی های اینترنتی
یكی از دلایل فراگیرشدن افشای اطلاعات در سال های بعد از ۲۰۰۵ میلادی افزایش حجم اطلاعات است كه به مجرمان سایبری فرصت های بیشتری می دهد تا حجم بیشتری از اطلاعات را در یك حمله سرقت كنند.
درهمین راستا وب سایت ها و شركت های مختلف آمارهای مختلفی از آینده روند افشای اطلاعات منتشر می كنند. بر اساس گزارش CSC كه در ۲۰۱۲ میلادی انتشار یافته، تا ۲۰۲۰ میلادی بیشتر از یك سوم اطلاعات در خدمت ابر نگهداری می گردد.
از سوی دیگر وب سایت Statistica هم در تحقیقی وضعیت واقعی امنیت اطلاعات در سراسر جهان از ۲۰۱۰ تا ۲۰۱۵ میلادی را نشان داده است. از ۲۰۱۵ میلادی تابحال ۲۵ درصد اطلاعات جهان نیازمند اقدامات امنیتی بیشتری هستند اما همچنان به صورت غیر ایمن نگهداری می شوند. طبق تحقیق این وب سایت آماری پیش بینی می شود، این شاخص در ۲۰۲۵ میلادی به ۴۵ درصد می رسد.
این در حالی است كه هم اكنون با گسترش اینترنت اشیا و هوش مصنوعی، اطلاعات كاربران نه تنها در وب سایت ها و مخازن اطلاعاتی شركت ها، بلكه در گجت های ساده خانگی هم ذخیره می گردد. از آنجائیكه در خیلی از این گجت ها اقدامات امنیتی در نظر گرفته نشده، كارشناسان متعددی درباره سرقت از آنها اخطار داده اند.
تمام این روندها از آن حكایت می كند كه حریم خصوصی برای افراد در حال از بین رفتن است و در صورتیكه اقدامات امنیتی بیشتری انجام نشود، هر روز شاهد رویدادهای بیشتر افشای اطلاعات كاربران خواهیم بود.