ماجرای هک اسنپفود چه بود؟
اقتصاد ایران: یک گروه هکری که در تابستان امسال تپسی را هک کرده بود، اکنون با ارائه شواهدی به عنوان نمونه، میگوید کل دادههای اسنپ فود، شامل اطلاعات بیش از ۲۰ میلیون کاربر و ۸۸۰ میلیون سفارش را به دست آورده و برای فروش گذاشته است.
درهمین خصوص یک گروه هکری با ارائه شواهدی به عنوان نمونه، ادعا داشته است که کل دادههای اسنپ فود، شامل اطلاعات بیش از ۲۰ میلیون کاربر و ۸۸۰ میلیون سفارش را به دست آورده است.
این گروه میگوید اطلاعات بیش از ۲۰ میلیون کاربر شامل نام کاربری، پسورد، ایمیل، نام و نام خانوادگی، شماره موبایل، تاریخ تولد و همچنین اطلاعات بیش از ۸۸۰ میلیون سفارش محصول را استخراج کرده است.
تیم هکری اعلام کرده است که این اقدام را به اسنپ فود اطلاع نداده و مستقیما اطلاعات را برای فروش گذاشته است. اما دلیل این کار برمیگردد به تابستان امسال که همان گروه هکری تپسی را هک کرده بود و حالا عنوان کرده است که پس از ماجرای تپسی تصمیم گرفتیم با هیچ شرکتی در آینده مذاکره نکنیم!
چه اطلاعاتی از اسنپفود هک شد؟
بامداد دهم دی گروه هکری IRLeaks با انتشار پستی در کانال تلگرامی خود از هک شدن دادههای شرکت اسنپفود خبر داد. این گروه هکری پیشتر در تابستان امسال اطلاعات تپسی را هک کرده بود. این گروه نمونهای از اطلاعات هک شده را منتشر کرده و قیمت فروش آن را ۳۰ هزار دلار اعلام کرده است. بنابر اعلام این گروه اطلاعات هک شده شامل موارد زیر است:
– اطلاعات بیش از ۲۰ میلیون کاربر شامل: نام کاربری، پسورد، ایمیل، نام و نام خانوادگی، شماره موبایل، تاریخ تولد و …
– اطلاعات بیش از ۵۱ میلیون آدرس کاربر شامل: موقعیت GPS، آدرس کامل، شماره تلفن و …
– اطلاعات بیش از ۱۸۰ میلیون دستگاه همراه شامل: نوع و مدل دستگاه، پلتفرم، توکن، فروشگاه نصب برنامه و …
– اطلاعات بیش از ۳۶۰ میلیون سفارش شامل: آیپی سفارش دهنده، آدرس دریافتی، تلفن دریافتی، شهر، مدت زمان دریافت، نام و نام خانوادگی، مشخصات فروشگاه یا رستوران، قیمت، محصول و …
– اطلاعات بیش از ۳۵ هزار پیک شامل: نام، نام خانوادگی، شماره تماس، کد ملی، شهر و …
– اطلاعات بیش از ۶۰۰ هزار پرداخت سفارش شامل: نام کامل صاحب کارت، نام کامل مشتری، شماره تماس، شماره کارت، نام بانک و …
– اطلاعات بیش از ۱۶۰ میلیون سفر انجام شده توسط پیک شامل: نام کامل مبدا و مقصد، آدرس مبدا و مقصد، تلفن مبدا و مقصد، موقعیت جغرافیایی مبدا و مقصد، تاریخ و …
– اطلاعات بیش از ۲۴۰ هزار Vendor شامل: نام کامل، آدرس، تلفن، ایمیل، موقعیت مکانی GPS، نام مدیریت مجموعه و …
– اطلاعات بیش از ۸۸۰ میلیون سفارش محصول
در پی این اتفاق بسیاری از کاربران شبکه اجتماعی ایکس (توییتر سابق) در واکنش به این اتفاق پیش آمده واکنشهایی را نشان داده و اطلاعاتی را در این زمینه منتشر کردند.
بیانیه اسنپفود: اطلاعات پرداخت بانکی افراد در امنیت کامل
اما در مقابل اسنپفود در بیانیهای اعلام کرد که همراه با پلیس فتا به دنبال شناسایی و رفع منبع آلودگی است. اسنپفود همچنین اعلام کرده مسئولیت این اتفاق را میپذیرد و بررسی دقیقی در مورد دلایل وقوع آن انجام خواهد داد. این گروه همچنین اعلام کرده قصد مذاکره با هکر را دارد تا تلاش حداکثری خود را برای جلوگیری از انتشار اطلاعات کاربران انجام دهد.
صبح امروز حدود ۱۰ ساعت پس از اعلام هکرها در مورد هک کردن اسنپفود، این شرکت بیانیه اولیهای منتشر کرد. اسنپفود در این بیانیه مسوولیت اتفاق را پذیرفته و اعلام کرده اطلاعات بانکی و پرداخت کاربران در امنیت است.
بیانیه اولیه اسنپفود در رابطه با هک این پلتفرم: تلاش میکنیم تا با مذاکره با هکر جلوی انتشار اطلاعات را بگیریم
متن کامل بیانیه اسنپفود به شرح زیر است:
«پیرو هک و اقدام به فروش مستقیم بخشی از اطلاعات کاربران اسنپفود به اطلاع میرسانیم که شرکت اسنپفود در قدم اول در همکاری با پلیس فتا در حال شناسایی و رفع منبع آلودگی ناشی از اقدام این گروه هکری است.
شرکت اسنپفود مسئولیت این اتفاق را میپذیرد و حتما بررسی دقیقی در مورد دلایل وقوع آن انجام خواهد داد.
گفتنی است این گروه هکری پیش از مذاکره با اسنپفود اقدام به فروش اطلاعات کرده است و شرکت اسنپفود حداکثر تلاش خود را برای جلوگیری از انتشار دادههای کاربران، از طریق مذاکره با این گروه هکری، خواهد کرد.
لازم به ذکر است که کلیه اطلاعات پرداخت بانکی کاربران، اعم از اطلاعات مربوط به کد امنیتی کارت (CCV)، رمز عبور و تاریخ انقضا، در امنیت کامل قرار دارد و این اطلاعات مطابق مقررات بانک مرکزی در هیچ یک از پلتفرمها ذخیره نمیشود.
متعاقبا اطلاعات تکمیلی در این مورد را منتشر خواهیم کرد.»
پلیس فتا در دفتر اسنپفود مستقر شد
سرهنگ رامین پاشایی، معاون فرهنگی اجتماعی پلیس فتا گفت: باید به اطلاع هموطنان عزیز و به خصوص کاربران این شرکت برسانم که در حال حاضر تیم فنی پلیس فتا در شرکت مذکور مستقر است و در حال انجام بررسیهای فنی و تخصصی است.
پاشایی بیان کرد: بر اساس تحقیقات صورت گرفته شرکت اسنپفود همچنان در حال ارایه خدمات به کاربران خود است.
معاون فرهنگی اجتماعی پلیس فتا فراجا تصریح کرد: با توجه به اینکه شرکت مذکور توسط کارشناسان این پلیس در سال جاری چندین نوبت مورد ارزیابی و توجیه فنی لازم قرار گرفتهاند، در صورت مشاهده هرگونه اهمال و سهلانگاری موضوع برای پیگیری به مراجع قانونی منعکس خواهد شد.
سرهنگ پاشایی خاطرنشان کرد: به محض کسب اطلاعات دقیقتر و مشخص شدن ابعاد جدید از این دسترسی غیرمجاز، متعاقبا اطلاعرسانی به هموطنان انجام میشود.
تقویت زیرساختها؛ وظیفه هر کسبوکار
اسنپ، یکی از شرکتهای بزرگ فناوری ایرانی است که در زمینه خدمات آنلاین فعالیت میکند. اما آیا این شرکت به صورت منصفانه و شفاف با رقبا، مشتریان و کاربران خود برخورد میکند؟ برخی از منتقدان معتقدند که اسنپ با استفاده از قدرت خود در بازار، رقبای خود را از رقابت حذف کرده و به یک شرکت انحصارگر تبدیل شده است. برای نمونه در مورد اسنپفود که به تازگی اطلاعات بیش از ۲۰ میلیون کاربر آن به بیرون درز کرده، این مجموعه با قراردهای انحصاری با رستورانها و در عدم حضور یک رقیب، جولان میدهد، اما در موضوع هک به ذکر پذیرفتن مسوولیت واقعه بسنده کرده است! در صورتی که افشای خصوصیترین اطلاعات زندگی مردم در فضای مجازی با پذیرفتن مسوولیت کافی نیست و انتظار بیشتری از این شرکت میرود.
این امر موجب کاهش کیفیت خدمات، افزایش قیمتها و نارضایتی مشتریان شده است. اسنپ باید با رقبای خود به صورت سالم و قانونی رقابت کند و از ایجاد موانع برای ورود شرکتهای جدید به بازار خودداری کند. اسنپ باید به عنوان یک شرکت مسئول و پیشرو، نه تنها به سود خود فکر کند، بلکه به منافع عمومی و توسعه خدمات آنلاین در ایران نیز توجه کند.
لازم است به این نکته اشاره شود که حفاظت از داده های کاربران جزء وظایف دولت محسوب نمیشود و هر کسب و کاری وظیفه اش این است که زیر ساختهای خود را تقویت کند و از دادههای مشتریانش حفاظت کند. در حوزه حفاظت کسب و کارها از دادههای مشتریان پلیس فتا مسئولیت دارد و طبعا اینگونه است که هشدارهایی درباره رعایت امنیت کسب و کارها ارائه میدهند.
شرکتها در این قبال باید مسئولیت پذیر باشند و بدانند که دادههای مشتریان به عنوان مهمترین سرمایه آنان برای خودشان محسوب میشود. اما اتفاقات رخ داده در مدت اخیر و زنجیره عدم وجود امنیت در این زیرساختها نشان میدهد که امنیت در این حوزه وجود ندارد.
تامین امنیت حوزه کسب و کارها به گونهای نیست که آمرانه باشد و بتواند آن را از بالا به روش دستوری کنترل کرد. اصولا امنیت اینگونه نیست و لایههای مختلفی دارد و اینکه بخواهیم مسئولیت را متوجه دولت کنیم اقدام منطقی نیست و خود اسنپ باید به آن توجه داشته باشد.
دولت و شورای عالی فضای مجازی سیاستهای تشویقی به اندازه کافی دارند؛ اما خوب است که حکمرانی به جای ارائه تشویقات، تنبیهاتی را هم برای این مجموعهها در نظر بگیرد. یعنی اگر مجموعهای بی دقتی کرد و اطلاعات حساب و کاربرانش را از دست داد و مقصر بود با جریمههایی رو به رو شود که باعث شود پرداخت به موضوع امنیت از نظر اقتصادی برای این نرم افزارها مهم باشد و در این حوزهها نه با پرداخت مبالغ ناچیز، بلکه یک سرمایهگذاری قابل توجه داشته باشند و از دادههای خود حفاظت کنند.
شاید صرف پذیرفتن مسئولیت برای این اقدامات به عنوان ابتداییترین کارها قرار بگیرد و کافی نباشد و اینکه بهتر است سرویسهای خدماتی همچون اسنپ که به این ایرادها دچار میشوند، برنامه و طرحهای اساسی برای بدست آوردن رضایت از دست رفته کاربران خود داشته و همچنین پاسخگوی شرایط و مشکلات بوجود آمده باشند.