رسانهای شدن ماجرای هک یکی از شرکتهای تاکسی آنلاین و در ادامه آن چند شرکت بیمه، بار دیگر توجه افکار عمومی را به مساله آسیبهای حملات سایبری جلب کرد. این موضوع پس از آن جدیتر شد که شماری از برنامهنویسان با انتشار تحلیلهای فنی، به سوءاستفادههای احتمالی از این اطلاعات نشتیافته اشاره کردند و حتی جمعآوری بعضی از این دادهها توسط این شرکتها را غیرضروری دانستند. گلایه از کوتاهی شرکتها در تقویت امنیت سیستمهای اطلاعاتی تنها انتقاد مطرحشده در این بین نبود و حتی بازخورد پلیس فتا نسبت به افشای چنین حملاتی نیز نزد کاربران فضای مجازی حسابی واکنشبرانگیز شد. حالا با قرار گرفتن حجم قابلتوجهی از اطلاعات میلیونها کاربر ایرانی در فضای وب، کارشناسان نسبت به آسیبهای متعاقب چنین حملاتی برای کاربران هشدار داده و خواستار تدوین قوانینی برای حمایت حریم خصوصی، حفظ دادههای افراد در فضای مجازی و ملزم کردن شرکتها به رعایت برخی حداقلها شدند.
از مقاومت تا سکوت چند هفتهای
شنبه گذشته بود که کانالی تلگرامی منتسب به یک گروه هکری، مدعی هک تپسی شد. به فاصله کوتاهی پس از درج این پست، میلاد منشیپور، مدیرعامل تاکسی آنلاین تپسی، با انتشار پستی در حساب کاربری خود در «ایکس»، هک شدن سیستمهای اطلاعاتی این شرکت را تایید کرد. وی در پست خود نوشت: «طی روزهای گذشته متوجه دسترسی غیرمجازی به زیرساختهای شرکت تپسی و برداشت بخشی از اطلاعات شدیم. به محض کشف این موضوع، ضمن ثبت شکایت، پلیس را در جریان قرار دادیم و راه دسترسی هکرها را بستیم.» مدیرعامل تپسی در ادامه تاکید کرد: «ایمیلهای دریافتی از گروه مهاجم، از قصد آنها برای اخاذی و دریافت پول در ازای منتشر نکردن دادهها حکایت داشت و ما تصمیم گرفتیم که به این خواسته تن ندهیم. زیرا در مذاکره با آنها متوجه شدیم که ضمانتی برای عدمنشر اطلاعات و سوءاستفادههای آتی وجود ندارد و از طرفی، باجدهی به آنها به مشوقی برای تکرار این اقدامشان در قبال دیگر شرکتها منجر خواهد شد.» منشیپور در ادامه با پذیرش مسوولیت این اتفاق، از بروز آن ابراز تاسف کرد و از همکاری نزدیک این مجموعه با پلیس برای کشف ابعاد جدید این حمله خبر داد.
آنطور که هکرها مدعی شدند، در این حملات به اطلاعات بیش از ۲۷ میلیون مسافر تپسی شامل نام، نام خانوادگی، شماره همراه، شهر و بعضا ایمیل و همچنین اطلاعات بیش از ۶ میلیون راننده شامل نام، نام خانوادگی، کد ملی، شهر، شماره همراه دست یافتهاند. آنها تاکید کردند که حتی اطلاعات بیش از ۱۳۶ میلیون سفر مسافران این شرکت شامل آیدی مسافر، اطلاعات دستگاه همراه مسافر و راننده، آدرس کامل مبدأ و مقصد، آدرس کوتاه مبدأ و مقصد، مشخصات جغرافیایی (GPS Locations) مبدأ و مقصد را در اختیار دارند و در کنار این موارد توانستهاند سورس کد محصولات شرکت تپسی مانند اپلیکیشنهای موبایل را نیز به دست آورند. این افشاگری در کنار تجربه هک دیگری که در سال ۹۸ برای شرکت تپسی اتفاق افتاده بود، نام این شرکت را بر سر زبانها انداخت و از عملکرد این شرکت در حفاظت از دادههای کاربران انتقاد شد.
با اینحال به فاصله کوتاهی از این ماجرا مشخص شد که تپسی تنها شرکتی نبوده که از سوی هکرها مورد حمله واقع شده و همین گروه هکری چند هفته پیش از رسانهای کردن هک تپسی، اطلاعات ۱۸ شرکت بیمهای را برای فروش در فضای مجازی آگهی کرده بودند. طبق ادعای هکرها، دادههای کسب شده، ۱۱۵ میلیون رکورد اطلاعاتی شامل نام، نامخانوادگی، تاریخ تولد، نام پدر، شماره تلفن/ موبایل، شماره شناسنامه، کد ملی، کد ملی شرکت و... بوده و این گروه برای فروش این اطلاعات برای متقاضیان قیمت نیز تعیین و اعلام آمادگی کردهاند. با وجود این مشخص شده که تا زمان افشای این اطلاعات، بیمه مرکزی هیچ اظهارنظری در اینباره نکرده و موضوع را مسکوت گذاشته است. اگرچه بیمه مرکزی پس از رسانهای شدن این خبر، نشت اطلاعات را تکذیب کرد، اما عزل مدیرکل بیمه مرکزی و انتصاب مدیری جدید، باعث شد این احتمال در ذهن کاربران تقویت شود.
بازار اخبار هک اطلاعات شرکتها در هفته گذشته به حدی داغ بود که ماجرا به همینجا نیز ختم نشد و شایعات دیگری مبنی بر هک اطلاعات چند صرافی آنلاین رمزارز و حتی چند شرکت استارتآپی مطرح دیگر نیز به گوش رسید که بعضی از آنها در بیانیههایی رسمی این موضوع را تایید و بعضی دیگر به شکل غیررسمی این ادعا را رد کردند. آنطور که به نظر میرسد شاید مدیران برخی از استارتآپهای کوچکتر دیگر- که احتمالا خبر هک آنها نیز صحت داشت- حتی ترجیح دادند تا در جنجال ایجاد شده حول موضوع هک تپسی، به کل هیچ واکنشی به این احتمالات نشان ندهند.
افشای زیست مجازی کاربران
گذشته از آنکه تعداد شرکتهای هک شده در یک ماه اخیر چند مورد بوده است، تحلیل همین میزان اطلاعاتی که هکرها مدعی دستیابی به آن شده بودند، باعث شد تا سوالاتی پیرامون آسیبهای احتمالی سوءاستفاده از این دادهها مطرح شود.