بازار داغ خرید و فرو ش اطلاعات کاربران در اینترنت؛ از مبین نت تا هواپیمایی ماهان

۵ اردیبهشت ۱۳۹۹

خواندن در ۴ دقیقه

دومینو افشای اطلاعات شهروندان ایرانی دامنه‌دار شده است.

اطلاعات ۶۰۰ هزار حساب کاربری شرکت حمل‌و‌نقل ریلی کشور (رجا) تنها گوشه‌ای از اطلاعات کاربران و شهروندان ایرانی است که در اینترنت در حال خرید و فروش هستند.

«ابوالقاسم صادقی» درباره صحت و سقم هک و افشای اطلاعات به رسانه‌ها گفته است که مرکز ماهر در حال بررسی راستی‌آزمایی در این خصوص است.

در سال ۱۳۹۶، وزارت ارتباطات شروع به تدوین «لایحه صیانت و حفاظت از داده های شخصی» کرد.

مونا زمانی، شهروند خبرنگار، شیراز

دومینو افشای اطلاعات شهروندان ایرانی دامنه‌دار شده است. پس از نشت اطلاعات «آژانس مسافرتی علی‌بابا»، سازمان ثبت احوال کشور، فروشگاه آنلاین «سیب‌اپ» و «بانک صادرات»، حالا در فضای مجازی لیست بلند بالایی از نشت اطلاعات منتشر شده که همگان را سر در گم و نگران کرده است.

اطلاعات ۶۰۰ هزار حساب کاربری شرکت حمل‌و‌نقل ریلی کشور (رجا)، دو هزار و۳۰۰ نامه اداری و سند مربوط به «شرکت هواپیمایی هما»، پنج‌هزار نامه و سند مربوط به «شرکت هواپیمایی ماهان»، اطلاعات ۷۰۰ هزار حساب کاربری «شرکت مبین‌نت»، ۴۰۰ هزار کاربر شرکت مخابرات، ۹۰ هزار عضو «موسسه آموزش زبان آفرینش»، ۹۵۰ هزار کاربر «پژوهشگاه علوم و فناوری اطلاعات ایران» (ایرانداک) و اطلاعات کامل سازمان امور دانشجویان وزارت علوم (مربوط به اطلاعات دانشجویان خارج از کشور) تنها گوشه‌ای از اطلاعات کاربران و شهروندان ایرانی است که در اینترنت در حال خرید و فروش هستند.

اگرچه در آغاز بسیاری می‌گفتند که ممکن است برخی از این اطلاعات جعلی باشند اما براساس مستندات ارایه شده از سوی هکرها، مشخص شد که امنیت این پلتفرم‌ها تا به حدی بسیار پایین بوده که نیازی به عملیاتی پیچیده برای به‌دست آوردن این دیتاها از سوی هکرها نبوده و هر شخصی با اندکی جست‌وجو می‌توانسته است به این اطلاعات دسترسی پیدا کند.

هکرها از ساده‌ترین روش‌های ممکن برای رسیدن به این اطلاعات استفاده کرده‌اند که نشان می‌دهد گردانندگان این وب‌سایت‌ها هیچ‌گونه ارزشی برای مشتریان و کاربران خود قائل نیستند.

با این حال، برخی نیز چنین نشت‌های اطلاعاتی را دروغ خوانده‌اند؛ مانند پژوهشگاه علوم و فناوری اطلاعات (ایرانداک) که در بیانیه‌ای اعلام کرده هیچ نشانه‌ای از هک یا نشت اطلاعات از سامانه‌های فعلی این پژوهشگاه مشاهده نشده است. در صورتی که نمونه داده‌های ارایه شده از سوی هکرها برای فروش، چیز دیگری را ثابت می‌کند.

اما در طرف دیگر این جریان، معاون امنیت «سازمان فناوری اطلاعات ایران» (ماهر)، «ابوالقاسم صادقی» درباره صحت و سقم هک و افشای اطلاعات به رسانه‌ها گفته است که مرکز ماهر در حال بررسی راستی‌آزمایی در این خصوص است.

او دلیل این اتفاقات را سهل‌انگاری صاحبان بانک‌های اطلاعاتی دانسته و گفته است که اقدام به هک از طریق ابزارهای تکنیکال و پیشرفته‌ای انجام نشده بلکه اطلاعات فاش شده به دلیل بی‌مبالاتی مالکان داده بوده است.

براساس گفته‌های صادقی، به دلیل نبود قوانین و قواعد برای حفظ حریم خصوصی در فضای سایبری، نهادهایی مانند مرکز ماهر نمی‌توانند به راحتی فعالیت موثر داشته باشند. او گفته است: «لایحه حریم خصوصی در فضای سایبر که مدت‌ها است توسط سازمان فناوری اطلاعات تهیه شده، در انتظار تصویب در کمیسیون تخصصی دولت است. به همین دلیل، تنها کاری که می‌توانیم انجام دهیم، اطلاع‌رسانی گم‌نام‌سازی شده در خصوص نقص‌های امنیتی به صورت علنی و عمومی برای هوشیارسازی همه جامعه است. از سوی دیگر، برای خود مجموعه‌ها نیز اطلاع‌رسانی هدفمند انجام می‌دهیم.» البته مشخص نیست منظور اقای صادقی از اطلاع‌رسانی گم‌نام‌سازی شده چیست.

پیش از این نیز نشت اطلاعاتی در فروردین ماه ۱۳۹۹ رخ داده بود و مرکز ماهر با صدور بیانیه ای برای دستگاه های دولتی و حاکمیتی و صاحبان کسب وکارها، از آن ها خواست ضعف های بانک های اطلاعاتی خود را از بین ببرند.

این مرکز هشدار داد: «در صورت رصد ضعف های امنیتی و برطرف نشدن آن ها ظرف ۴۸ ساعت، این مجموعه ها به مراجع قضایی معرفی خواهند شد.»

البته به نظر می‌رسد این اتفاق نیفتاده است.

از سوی دیگر، هم‌چنان بحث بر سر این ‌که چه نهادی مسوول این اتفاقات است، وجود دارد. بحث‌ها میان «مدیریت راهبردی افتا»، وابسته به نهاد ریاست جمهوری و مرکز ماهر که زیرمجموعه سازمان فناوری اطلاعات وزارت ارتباطات و فناوری اطلاعات است، هنوز به نتیجه‌ای نرسیده‌اند. چرا که هنوز خبری از ورود نهاد قضایی به این داستان به گوش نمی‌رسد.

در قوانین جمهور اسلامی، در حوزه سرقت اطلاعات شخصی، تنها می توان به ماده یک «قانون جرایم رایانه ای» اشاره کرد که مجازات سرقت اطلاعاتی یا دسترسی غیرمجاز را به ماده ۷۲۹ «قانون مجازات های اسلامی» ارجاع داده است. در این ماده قانونی برای فردی که به صورت غیرمجاز به اطلاعات مجموعه ها دسترسی پیدا کند، مجازات حبس از ۹۰ روز تا یک سال یا جریمه نقدی از ۵۰۰ هزار تا دو میلیون تومان تعیین شده است.

در واقع، هنوز هیچ قانونی در کشور وجود ندارد که بر اساس آن، مجموعه های مختلف در برابر حفاظت از اطلاعات شخصی کاربران خود مسوول باشند و در صورت کوتاهی در این زمینه بازخواست شوند.

در سال ۱۳۹۶، وزارت ارتباطات شروع به تدوین «لایحه صیانت و حفاظت از داده های شخصی» کرد. در مرداد ۱۳۹۷ هم از آن رونمایی شد که هنوز به تصویب هیات دولت نرسیده و برای تصویب و تبدیل به قانون، به مجلس شورای اسلامی ارایه نشده است.

در نتیجه این اقدامات که هیچ‌کدام به یک نتیجه مشخص و واحد نرسیده‌اند، نهادها، سازمان‌ها و شرکت‌های مسوول اطلاعات، اهمیتی به اطلاعات کاربران و مشتریان خود نمی‌دهند. چرا که قانونی از افشای اطلاعات شهروندان حمایت نمی‌کند.
این در حالی است که افشای اطلاعات می‌تواند ضررها و آسیب‌های بسیاری به کاربران بزند؛ به‌طور مثال، دسترسی به شماره‌های تماس، کد ملی یا آدرس آن‌ها می تواند باعث ایجاد مزاحمت از سوی شرکت‌های تبلیغاتی یا کلاه‌برداری‌هایی شود که گاهی جبران‌ناپذیرند.

وقتی جمهوری اسلامی برای جان مردم و شهروندانش هیچ ارزشی قائل نیست، نمی‌توان امیدوار بود که در زمینه جلوگیری از افشای اطلاعات آن‌ها یا مجازات مسوولان بی‌توجهی که کار آن‌ها منجر به افشای اطلاعات مردم شده است، قدمی بردارد.

مطالب مرتبط:

اسکای‌روم، آیینه وضعیت حریم خصوصی و امنیت اطلاعات در کشور ایران

هشدار به کاربران اینترنت خانگی: روترهای بی‌سیم در تیررس هکرها

بازداشت هکرهای پنج هزار حساب بانکی در فارس

رژه سپاه سایبری ادامه دارد؛ کاویان میلانی، سوژه جدید هکرهای حکومتی