دزدان دریای دیجیتال از جان ایرانی‌ها چه می‌خواهند؟

روزی که کاربران ایرانی در فهرست هکرهای اسنپ‌فود دنبال اطلاعاتی درباره خود از نام و نام خانوادگی و آدرس گرفته تا صورت حساب شام دیشبشان می‌گشتند نزدیک‌ترین رویارویی با درز اطلاعات شخصی را تجربه می‌کردند. حالا روزهای گذشته یک گروه هکری به نام Codebreakers ادعا کرده که به اطلاعات ۴۲ میلیون ایرانی در بانک سپه دسترسی پیدا کرده است. آنها یک راه پیش روی بانک سپه گذاشته‌اند: یا مذاکره می‌کنی یا اطلاعات را به فروش می‌گذاریم.

یکی از اولین چانه‌زنی‌ هکرها بر سر اطلاعات ایرانی‌ها به سال ۱۳۹۱ برمی‌گردد. داستانی که آن را یک مدیر ایرانی شرکت خدمات پرداخت الکترونیک شروع کرد. بعد از او هکرهای دیگری از راه رسیدند که با درخواست‌های مشابه، مدیران بانکی، بیمه‌ای و استارتاپی را لای منگنه قرار دادند.

احتمالا اولین هک در ایران به سال ۲۰۰۰ برمی‌گردد. البته این چیزی است که در آرشیو سایت Zone-H ثبت شده. جایی که هکرها برای کسب اعتبار دستاوردهای خود را گزارش می‌دهند. اگر نقطه شروع را فقط حمله به دامنه اینترنتی .ir قرار دهیم این وبسایت می‌گوید که اسفند ماه سال ۱۳۷۸ فرد یا گروهی از هکرها صفحات اصلی چند وب سایت دولتی را مورد حملات ظاهری قرار دادند.

درباره زمانی حرف می‌زنیم که دولت خاتمی تازه دو سال است بر سر کار آمده و اینترنت هنوز به شکل گسترده در اختیار کاربرها قرار نگرفته است. در قم در یک یا دو مرکز دفاتر خدمات اینترنتی برای طلاب ارائه می‌شد ولی مردم عادی (آن هم اغلب دانشجوها و محققان) فقط در معدود کافی‌نت‌های کلان‌شهرها از اینترنتی با سرعت ۲۸ تا ۵۶ کیلوبیت بر ثانیه می‌توانند استفاده می‌کنند.

این هکرها یک گروه بین‌المللی بودند که خیلی ساده فقط به صفحه اصلی وب‌سایت‌های مختلف از ایران تا برزیل و مکزیک حمله می‌کردند و به مرحله باج‌خواهی نمی‌رسیدند.

یکی از روزهای بهار سال ۱۳۹۱ مدیر یک شرکت نرم افزاری در تهران وبلاگ خود را با پست جدید به روز کرد که این پست تا مدت‌ها به خبر اول مملکت تبدیل شد. خسرو زارع‌فرید برای جلب توجه مدیران به ناامن بودن سیستم بانکی کشور اطلاعات حدود سه میلیون حساب بانکی را به همراه رمز عبورشان منتشر کرد. این همه اطلاعات را از کجا آورده بود؟

او مالک تنها شرکت خدمات پرداخت الکترونیک PSP  بود که دستگاه‌های خودپرداز کشور را تامین می‌کرد. زارع‌فرید ابتدا تیر ماه سال ۱۳۹۰ اطلاعات کامل هزار کارت بانکی را برای مدیران عامل بانک‌های مختلف ارسال و سپس درخواست ۵۰۰ میلیون تومان حق‌السکوت می‌کند که تقریبا معادل ۲۸ هزار دلار رسمی آمریکا می‌شد. بانک ملی و ملت به پیام این مدیر جوان جواب می‌دهند و اعلام آمادگی می‌کنند که با هم یک قرارداد ببندند اما وقتی بحث به پول می‌رسد دیگر جوابی به زارع‌فرید نمی‌دهند.

این هکر بعد از تلاش ارتش سایبری ایران برای پیدا کردن او از ایران فرار می‌کند.

وبلاگ اصلی او هنوز در دسترس است و پستی به زبان انگلیسی دارد که نوشته من هکر نیستم چرا که فقط شماره کارت و PIN کارت‌های بانکی مردم را منتشر کردم. آن زمان کسی تصوری از این نداشت که نشت اطلاعات می‌تواند چه تبعاتی داشته باشد و همه نگرانی‌ها با عوض کردن رمز کارت بانکی مردم ظاهرا به پایان رسید.

یکی از عجیب‌ترین شکل‌های خرید و فروش  اطلاعاتی که با نشت داده‌ها به دست آمده سال ۱۳۹۳ اتفاق افتاد. زمانی که اطلاعات حداقل  ۲۰ میلیون مشترک ایرانسل از طریق چند وبگاه با رقم‌های بسیار ارزان به فروش رسید. این اطلاعات شامل شماره تلفن، کد ملی، نام و نام خانوادگی، آدرس و کد پستی بود و این داده‌ها با قیمت‌هایی بین ۵ تا ۳۰ میلیون تومان در بازار سیاه دست به دست می‌چرخید. این اطلاعات شخصی چطور به بازار رسیده بود؟

وزیر ارتباطات وقت اینطور روایت کرده بود: «ایرانسل اطلاعات خود را در اختیار یکی از نهادها قرار داد و اطلاعات توسط یکی از کارمندان آن نهاد به بیرون درز کرد که همان زمان آن نهاد با آن کارمند برخورد کرد.»

ماجرا اینجا تمام نمی‌شود. دو سال بعد یک بات تلگرامی از راه رسید که دوباره همان اطلاعات لو رفته را پیدا کرد. این بار دیگر با دارک‌وب و فروم‌های هکری مواجه نبودیم بلکه یک جوان ۱۹ ساله دانشجوی رشته مهندسی کامپیوتر با مبالغی ارزان‌تر همان اطلاعات را از طریق این بات تلگرامی به فروش می‌رساند که البته حدود یک روز بعد بازداشت می‌شود.

ساعت ۱۷ یازدهم شهریور سال ۱۴۰۲ انتظار  هر اتفاقی را می‌شد داشت به جز اینکه باخبر شویم همه آن مبدا و مقصدهایی که روزی در تپسی زده بودیم حالا ارزش یک مبادله میلیاردی برای یک هکر پیدا کرده است.

میلاد منشی‌پور، مدیرعامل وقت تپسی، در توییتر خبر داد که هکرها در روزهای گذشته به بخشی از اطلاعات کاربران تپسی دسترسی پیدا کرده‌ و به‌دنبال اخاذی بودند. آنها از تپسی ۳۵ هزار دلار پول می‌خواستند و تهدید می‌کردند که به این حجم از اطلاعات دسترسی دارند: نام و نام خانوادگی و شماره موبایل و اطلاعات سکونت ۲۷ میلیون مسافر، ۶ میلیون راننده و از همه مهمتر ۱۳۶ میلیون سفر که در آن مشخصات مسافر و مبدا و مقصد آنها معلوم است. تصمیم شرکت تپسی این بود که به خواسته هکرها برای پرداخت باج تن ندهد.

قصد آنها از این کار اخاذی بوده و برای عدم نشر اطلاعات، درخواست پول کرده‌اند. ما تصمیم گرفتیم به این اخاذی تن ندهیم چرا که در مذاکره با آنها متوجه شدیم که نه‌تنها ضمانتی برای عدم نشر اطلاعات و سوءاستفاده‌های آتی وجود ندارد، بلکه تشویقی برای ادامه‌‌ این اقدام درمورد سایر شرکت‌ها نیز خواهد بود.

– میلاد منشی‌پور، مدیرعامل سابق تپسی

این گروه ساعتی بعد از انتشار خبر تپسی اعلام کردند که اطلاعات مشترکان ۱۹ شرکت بیمه‌ای را هک کرده‌اند و به قیمت ۸۱ هزار دلار می‌فروشند. سازمان مرکزی بیمه کلیت این موضوع را تایید کرد اما پای میز معامله با آنها ننشست.

چهار ماه بعد هکرهای تپسی در همان کانال تلگرامی خبر دادند که این بار به اطلاعات کاربران اسنپ‌فود دست پیدا کردند. آنها این بار ۳۰ هزار دلار برای این اطلاعات درخواست کرده بودند و داخل مشت‌شان این اطلاعات را داشتند: بیش از ۲۰ میلیون کاربر شامل نام کاربری، پسورد، ایمیل، نام و نام خانوادگی، شماره موبایل، تاریخ تولد و دیتای بیش از ۸۸۰ میلیون سفارش محصول. در نهایت هیچ دیتایی فروخته نشد که ظاهرا نشان از توافق میان طرفین برای عدم انتشار اطلاعات داشت.

بعد از اسن‍پ‌فود هم نوبت به اپلیکیشن اتاقک رسید. آنها ابتدا نمونه‌ای از اطلاعات مشتریان اتاقک منتشر کردند تا نشان دهند اعتبار دیتابیس‌شان تا چه اندازه است. استراتژی اتاقک این بار این بود که تصمیم به مذاکره گرفت و از فروش اطلاعات جلوگیری شد.

نه فقط ایران بلکه مرور تجربیات مشابه در دنیا نشان داده که هیچ سامانه‌ای نمی‌تواند ادعا کند که کاملا غیر قابل هک شدن است. حتی امن‌ترین سیستم‌ها ممکن است روزی یک نقطه ضعف پیدا کنند که راه را به روی نشت اطلاعات باز کنند. با این حال بعضی از محدودیت‌ها و البته سیاست‌گذاری‌ها در ایران این آسیب‌‌پذیری را بیشتر کرده است. برای مثال در کشور ما هنوز قانونی برای حفاظت از داده‌ها و اطلاعات وجود ندارد که شرکت‌ها را ملزم به پاسخگویی کند و این موضوع یکی از خلأهای بزرگ در حوزه امنیت سایبری کشور است.

از طرف دیگر فیلترینگ سطح امنیت کاربران و پلتفرم‌ها را کاهش داده و آسیب‌پذیری را بالا برده است. تحریم‌ها هم بر افزایش حملات سایبری و لو رفتن اطلاعات بی تاثیر نیستند. کارشناسان می‌گویند: «امنیت یک فرایند مداوم است و باید یک چرخه طراحی، ممیزی، پایش و… به طور مداوم انجام شود. در مورد کشور ما به دلیل تحریم ابزارها، استفاده از پروتکل‌‌های امنیتی رایگان و متن‌باز بین‌المللی، موضوع فیلترینگ و… امنیت به طور کلی پایین است.»

به همین خاطر هم در دو سال گذشته گروه‌های جدیدی از هکرها ظهور کرده‌اند که انرژی و مهارت خودشان را صرف پیدا کردن این نقاط ضعف در سیستم‌ها می‌گذارند و به جای باج و سواستفاده، مشکلات را گزارش می‌دهند. شرکت‌های مختلف گاه به شکل داوطلبانه برای بررسی امنیت سایبری پلتفرم‌های خود رویدادهای باگ بانتی برگزار کرده و با دعوت از هکرهای کلاه‌سفید از آنها می‌خواستند که به جست‌وجوی آسیب‌پذیری‌های احتمالی در اپلکیشن‌ها و سامانه‌های پلتفرم‌ها بپردازند. تلاش‌هایی که شاید به تنهایی کافی نباشد اما می‌تواند تا اندازه‌ای امنیت شبکه‌‌ها را در این رویدادها در معرض سنجش قرار دهد.