به گزارش همشهری آنلاین، مدیرعامل این شرکت سرانجام در شبکه اجتماعی ایکس(توییتر سابق) با تأیید این هک و سرقت اطلاعات کاربران اعلام کرد که حاضر به پرداخت باج به هکرها نشدهاند و در این رابطه از مردم عذرخواهی کرد.این در حالی است که در کشورهای دیگر قوانین بسیار سختی برای حفاظت از اطلاعات کاربران درنظر گرفته شده و غولهای فناوری با جریمههای سنگین در این رابطه مواجه میشوند.بهصورت رسمی این شرکت اعلام نکرده که چه حجم و نوعی از اطلاعات کاربران توسط هکرها به سرقت رفته است.
عاملان این سرقت اما مدعی سرقت میزان زیادی از اطلاعات ایرانیها با جزئیات کامل شدهاند.هکرها در پستی تلگرامی، نمونهای از اطلاعات هکشده را منتشر کردهاند و آنها را به قیمت ۳۵ هزار دلار برای فروش گذاشتهاند.هکرها ادعا میکنند که به این حجم از اطلاعات دسترسی پیدا کردهاند: اطلاعات بیش از ۲۷ میلیون مسافر شامل نام، نامخانوادگی، شماره همراه، شهر، اطلاعات بیش از ۶ میلیون راننده شامل نام، نامخانوادگی، کد ملی، کد شهر و شماره همراه، اطلاعات بیش از ۱۳۶ میلیون سفر شامل آیدی مسافر، آدرس کامل مبدأ و مقصد، آدرس کوتاه مبدأ و مقصد و مشخصات جغرافیایی (GPS Locations) مبدأ و مقصد، سورس کد محصولات شرکت تپسی مانند اپلیکیشنهای موبایل، اطلاعات دستگاه همراه مسافر و راننده. این شرکت بهعنوان تنها استارتآپ ایرانی که وارد بورس شده میگوید: بهکمک پلیس در تلاش برای شناسایی گروه مهاجم و جلوگیری از فروش اطلاعات است.
چند هک همزمان
همین گروه، مدعی هک دیتابیس شرکتهای بیمهای کشور با ۱۱۵ میلیون رکورد اطلاعات شده و نمونهای از آن را هم منتشر کرده است. این نمونه شامل نام و نام خانوادگی، تاریخ تولد، نام پدر، شماره تلفن/موبایل، شماره شناسنامه و کد ملی کاربران ایرانی است.علاوه بر این خبرهایی درباره هک ۲ صرافی رمزارز ایرانی هم منتشر شده که گفته میشود شامل ۱۷۰هزار رکورد از اطلاعات کاربران ایرانی است. ماه گذشته هم اطلاعات کاربران یک سایت ارائهدهنده خدمات مسافرتی در اینترنت منتشر شد. این وبسایت حاوی اطلاعات۲ میلیون کاربر ازجمله نام و نام خانوادگی، شماره موبایل، کد ملی و شماره پاسپورت کاربران بوده که در شبکههای اجتماعی منتشر شد.
نیاز فوری کشور به قانون حفاظت از داده و حریم خصوصی
ایران مدتهاست که در انتظار قانونی ویژه، برای حفاظت از اطلاعات کاربران است. در دیماه سال ۱۴۰۱ پس از حدود ۱۸ سال از تدوین نخستین لایحه حریم خصوصی در کمیسیون لوایح دولت، وزارت ارتباطات و فناوری اطلاعات، پیشنویس این لایحه را با عنوان لایحه «قانون حمایت و حفاظت از دادههای شخصی» نهایی کرد.
در خردادماه امسال، رضا باقری اصل، معاون وزیر ارتباطات در امور مجلس اعلام کرد؛ کارگروه اقتصاد دیجیتال هم، لایحه حمایت و حفاظت از دادههای شخصی را تصویب کرده و بهزودی برای تصویب نهایی به هیأت دولت ارجاع میشود. او ویژگی این لایحه را نظاممند کردن دادهها، حفظ حریم خصوصی کاربران و حفاظت از دادهها در سکوهای اینترنتی عنوان کرد و گفت: این لایحه به نفع حمایت بیشتر از مردم و کسبوکارهای این حوزه تدوین و تکمیل شده است.
اگرچه طی نزدیک به ۲ دهه لوایحی تصویب شده، اما هیچ وقت با وجود فتوای مقام معظم رهبری تبدیل به قانون نشده است. اکنون این لایحه مهم و حساس در انتظار تصویب در هیأت دولت و ارسال به مجلس است. تبدیل شدن این لایحه میتواند سختگیریها برای دفاع از اطلاعات کاربران ایرانی که بهصورت امانت در اختیار شرکتها قرار میگیرد را بیشتر کند.
۲دهه تلاش برای قانونگذاری
اگرچه لایحه حریم خصوصی در خرداد ۱۳۸۳ در کمیسیون لوایح دولت تصویب شد، اما تغییر دولت یک سال پس از تصویب و سرعت پیشرفت تکنولوژیهای ارتباطی این لایحه را به محاق برد. مهرماه ۱۳۸۴ درحالیکه مدت کوتاهی از شکلگیری دولت جدید سپری شده بود، این لایحه از سوی نمایندگان مجلس رد شد، اما سرعت فناوریهای ارتباطی و فراگیری آن، یکبار دیگر اهمیت این لایحه را به سیاستگذاران تحمیل کرد. آغاز دهه ۹۰ را شاید بتوان آغاز بلوغ نسبی کسبوکارهای اینترنتی در ایران فرض کرد.
فراگیری اینترنت و تبادل دادهها روی این بستر، لزوم حفظ دادهها و اهمیت محرمانگی دادههای شخصی را دو چندان کرد. از نیمه دهه ۹۰ کسبوکارهای اینترنتی توسعه یافته بودند و حال هر کدام از آنها دادههایی از کاربرانشان را در اختیار داشتند اما برای حفظ محرمانگی آنها یا نحوه نگهداریشان، هیچ مصوبهای وجود نداشت؛ از همین رو اگر دادههای مردم نیز بهدلیل نشت اطلاعات یا هک از بین میرفت و منتشر میشد، امکان شکایت از آنها وجود نداشت؛ همچنان که دادههای تلفن همراه مردم به سادگی به فروش رسید. دی۹۶ وزارت ارتباطات با همکاری تعدادی از پژوهشگران، تدوین پیشنویس لایحه «صیانت و حفاظت از دادههای شخصی» را آغاز و سپس در ششم مرداد ۹۷ از آن رونمایی کرد. این لایحه منتشر و از صاحبنظران درخواست شد که نظرات خود را درباره آن بیان کنند. انتظار میرود لایحه اخیر هم در معرض نقد متخصصان قرار بگیرد. درحالیکه این لایحه ۷۸ مادهای هم به نتیجه نرسید، در همان ایام، اتحادیه اروپا مقررات عمومی حفاظت از داده یا همان GDPR را تصویب کرد.
توجه به جواز پیمان
محمد جعفرنعناکار،مدیر کل حقوقی سابق سازمان فناوری اطلاعات در گفتوگو با همشهری میگویدکه عموما پلتفرمها باید یک جواز پیمان (license agreement) داشته باشند. او با اشاره به ماده۵ قانون تجارت الکترونیکی معتقد است که این ماده درواقع به نوعی همان جواز پیمان محسوب میشود.بهگفته او «اگر کاربری میخواهد در یک پلتفرم، وبسرویس یا وبسایت فعالیت کند و در عین حال نگران افشای دادههاست، باید به جواز پیمان پلتفرم رجوع کند تا ببیند اشارهای به محرمانگی شده یا نه؟» نعناکار با اشاره به اینکه اگر به این موضوع پرداخته نشده، حتیالمقدور کاربر نباید از خدمات آنها استفاده کند، توصیه میکند که «اگر کاربر قصد استفاده از خدمات چنین پلتفرمی را دارد ، حتما جنبههای ایمنی را رعایت کند.»
جریمههای سنگین برای افشای اطلاعات کاربران
اتحادیه اروپا چند سالی است که GPDR یا مقررات عمومی حفاظت از داده اتحادیه اروپا را اجرایی کرده است که شامل احکام و الزاماتی مرتبط با پردازش اطلاعات شخصی قابل تشخیص در اتحادیه اروپا میشود و همه کسبوکارهایی که با این منطقه اقتصادی مراوده کاری دارند، باید به این مقررات پایبند باشند. بدینترتیب، فرایندهای کسبوکار که اطلاعات شخصی را اداره میکنند باید مبتنی بر «حفاظت اطلاعات از طریق طراحی و بهطور پیشفرض» باشند؛ یعنی اطلاعات شخصی باید با استفاده از مستعارسازی یا بینامسازی ذخیره و حداکثر محرمانگی بهطور پیشفرض درنظر گرفته شود.
با تصویب همین قانون، شرکت آمازون با اتهام افشای اطلاعات کاربران و نقض حریم خصوصی با جریمه رکوردشکن ۸۷۷ میلیون دلار یعنی چیزی معادل ۴۲ تریلیون تومان مواجه شد. رکورد جریمه برای افشای اطلاعات کاربران البته در اختیار شرکت «دیدی گلوبال» در چین است. دولت چین این شرکت را پس از هک پلتفرمش بهخاطر افشای اطلاعات چینیها به پرداخت ۱۱۹۰ میلیون دلار جریمه کرد. شرکت اکوئیفاکس هم در سال ۲۰۱۹ بهدنبال هک و افشای اطلاعات شخصی کاربرانش مجبور به پرداخت ۵۷۵ میلیون دلار جریمه شد.