چرا باید بیشتر نگران هک داد‌ه‌های شخصی‌مان باشیم؟ تکه‌هایی از یک کل منسجم

چرا باید از هک شدن داده‌هایم نگران باشم؟ من که اطلاعات مهمی در پلتفرم‌ها ثبت نکرده‌ام. شماره تلفن و سفارش غذای من به چه کار هکرها می‌آید؟ برای چه کسی مهم است من چه زمانی از محل کارم به رستوران مرکز شهر اسنپ یا تپسی گرفته‌ام؟ این‌ها حرف‌هایی است که برخی از افراد با شنیدن اخبار هک و لو رفتن داده‌ها می‌زنند.

با اینکه با انتشار اخبار هک و نقض اطلاعات هیچ‌گاه حس خوشایندی به کاربران دست نمی‌دهد اما بسیاری از مردم هنوز تصور درستی از ابعاد نگران‌کننده اطلاعات فروخته‌شده‌شان در اینترنت ندارند. بیایید به این سوال پاسخ بدهیم که داده‌های ما به چه درد هکرها می‌خورد؟

داده‌های شخصی چطور تکه‌های پازل را تکمیل می‌کنند؟

یک باند سازمان یافته سارق را تصور کنید. داده‌های شما نشان می‌دهد هر پنجشنبه حوالی ساعت ۱۰ تا ۱۲ شب از یک رستوران مشخص پیتزا سفارش داده‌اید و این روند در اکثر شب‌های یک سال اخیر تکرار شده است. سفارش‌های نشت‌شده آدرس منزل‌تان نیز نشان می‌دهد تا به حال هیچکس از این آدرس غذا سفارش نداده است و احتمالا تنها زندگی می‌کنید. باند زورگیر کافی است در همان ساعات پنجشنبه شب به بهانه تحویل پیتزا به منزل‌تان بیاید و به وسایل‌تان دستبرد بزند.

موضوع ممکن است از این هم فراتر برود. با اطلاع از سطح بالای قیمت کالاهای خریداری‌شده توسط شما، تبهکاران می‌فهمند وضع مالی خوبی دارید. همچنین هر روز در یک ساعت مشخص با استفاده از تاکسی اینترنتی به مهد کودک فرزندتان که در یکی از مناطق ثروتمندنشین شهر است می‌روید تا او را به خانه می‌آورید. این‌ها برای آدم‌ربایان اطلاعات جذابی است.

همچنین کلاهبرداری‌های تلفنی می‌تواند در کمین باشد. با داشتن اطلاعات خرید و سال تولد شما به بهانه ثبت اشتباه قیمت کالا با شما تماس می‌گیرند و می‌خواهند اطلاعات و رمز پویای کارت‌تان را در اختیارشان قرار دهید. افراد کم سن و سال و نسبتا مسن، هدف‌های خوبی برای این نوع کلاهبرداری‌ها هستند. شاید عجیب به نظر برسد که چرا شخصی باید رمز پویا خود را در اختیار یک فرد غریبه قرار دهد اما زمانی که فرد پشت تلفن اطلاعات شخصی کاربر را با جزئیات بازگو می‌کند، افراد به اشتباه به وی اعتماد می‌کنند و حساب‌شان خالی می‌شود.

صرافی‌های رمزارز یکی از جاهایی هستند که شما اطلاعات مهم‌تری از جمله کارت ملی خود را در اختیارشان قرار می‌دهید. اکثر صرافی‌ها برای احراز هویت پیشرفته از شما می‌خواهند، کارت ملی خود را در کنار صورت‌تان قرار دهید و عکس بفرستید. کلاهبرداران می‌توانند با دریافت اطلاعات فرد از دیتابیس پلتفرم‌هایی که اطلاعات هویتی شما را در اختیار قرار دارند و استفاده از کپی کارت ملی یا گذرنامه شما، به راحتی جعل هویت کنند تا اعمالی مانند پول‌شویی و اخاذی با هویت‌های جعل‌شده انجام دهند.

داده کم‌اهمیتی وجود ندارد

محمدامین کریمان، متخصص امنیت و مدیرعامل پلتفرم باگ بانتی راورو است که باور دارد حداقل کاری که می‌شود انجام دهد آگاهی‌بخشی است کریمان سعی می‌کند الفبای امنیت را با توضیح مفهوم PII شرح دهد: مفهوم PII مخفف Personal Identifiable Information
به معنی اطلاعات هویتی کاربر است که طیف گسترده‌ای از اطلاعات را در بر می‌گیرد. اطلاعاتی مانند کارت ملی، اطلاعات شغلی، اطلاعات شخصی (آدرس خانه، عکس پروفایل) اطلاعات سلامتی (گروه خونی، رنگ چشم، قد) و همه این‌ها ذیل PII طبقه‌بندی می‌شوند. این را برای این می‌گویم که باید بدانیم تمامی این اطلاعات در کنار هم می‌توانند باعث آسیب به ما شوند، حتی داده‌های کم‌اهمیت‌تر.

او ادامه می‌دهد: به فرض در موردی مثل تپسی بخشی از داده‌های شما هک می‌شود که شامل کد ملی، آدرس منزل، شماره تلفن و … است. این را در کنار داده‌ای که چند سال پیش از ایرانسل و بانک ملت منتشر شده است بگذارید. در آن موارد، شماره حساب، آدرس، شماره تلفن و داده‌های هویتی شما نشت پیدا کرده است. وقتی چند نشت از چند سامانه مختلف اتفاق می‌افتد کم‌کم تکه‌های پازل اطلاعات شخصی شما کنار هم شکل می‌گیرد.
شما برخی از این اطلاعات را نمی‌توانید تغییر بدهید. شماره ملی شما همیشه ثابت است مگر اینکه سیستم جدیدی جایگزین شود. آن چیزی که نگران‌کننده است این است که قطعات پازل در نشت‌های مختلف تکمیل می‌شود هویت دیجیتال شما به طور کامل عیان می‌شود.

مدیرعامل راورو در مورد دردسرهایی که کاربر را تهدید می‌کند می‌گوید: موارد بسیار زیادی داریم که اطلاعات کارت ملی، پاسپورت یا پروفایل شخص منتشر شده است. هکر می‌تواند با هویت شما اقدام به خرید کند. این‌ها جزو مواردی است که دردسر حقوقی برای کاربر ایجاد می‌کند. در دسته‌بندی دیگر خطرات می‌توان به حملات فیشینگ اشاره کرد یا حملات مهندسی اجتماعی. هکر با داده‌ای که از کاربر دارد مطمئن می‌شود که شما از آیفون استفاده می‌کنید یا مثلا مرورگر شما را می‌فهمد. به این ترتیب می‌تواند لینک فیشینگی که ارسال می‌کند را با استفاده از این دیتا شخصی‌سازی کند، در نتیجه درصد موفقیتش بالا می‌رود.

چه کاری از دست کاربر برمی‌آید؟

با وجود اینکه کاری از کاربران نهایی برای جلوگیری از نشت داده‌هایشان بر نمی‌آید اما توجه به یک سری نکات بعد از اینکه داده‌ها نشت پیدا کرد می‌تواند کمی شرایط را بهتر کند.

مجتبی مددخانی، مدیر انفورماتیک هلدینگ طرفه‌نگار در این رابطه می‌گوید: بسته به داده‌ای که نشت پیدا کرده، سازمان مربوطه باید نکات امنیتی را اعلام کند. مثلا در مورد هک داده‌های کاربران تپسی andoroid adv ID کاربران در دیتابیس این شرکت ذخیره شده بود که کاربران به راحتی می‌توانند آن را تغییر دهند.

اشاره وی به کدهایی است که گوگل در سیستم عامل اندروید و اپل در سیستم عامل iOS به نام IDFA به هر دستگاه اختصاص می‌دهد تا به توسعه‌دهنده‌های اپلیکیشن کمک کند بدون اینکه حریم خصوصی کاربر نقض شود، رفتار او را دنبال کنند؛ این کد کاربردهایی مانند نمایش تبلیغات شخصی‌سازی‌شده دارد.

اما زمانی که یک هکر به این کدها به همراه دیگر اطلاعات شخصی کاربر دسترسی پیدا کند، می‌تواند با تطابق این داده‌ها از آنها سواستفاده کند. هم کاربران اندروید و هم آیفون به راحتی می‌توانند این کد را در گوشی خود ریست کنند.

محمدامین کریمان نیز به مواردی اشاره می‌کند که شاید بدیهی به نظر برسد اما بسیاری از کاربران رعایت نمی‌کنند: عموم مردم از گذرواژه‌های یکسان برای حساب کاربری خود استفاده می‌کنند. ممکن است پسورد شما در یکی از مجموعه‌ها لو برود. هکر از پسورد شما در حساب‌های دیگرتان هم استفاده می‌کند.

این متخصص امنیت توصیه‌ دیگری می‌کند: اگر سایتی از شما مدرک هویتی مثل عکس یا تصویر پاسپورت یا کارت ملی خواست حتما روی عکس واترمارک بزنید و بنویسید این تصویر برای احراز هویت در آن استفاده می‌شود. اگر روزی این عکس منتشر شود شما می‌توانید از روی واترمارک بفهمید برای چه سایتی بوده و اقدام به پیگیری قضایی کنند.

به باور کریمان بخش دیگری از اقداماتی که باید برای ارتقای امنیت در کشور صورت بگیرد به مطالبه‌گری مربوط می‌شود که چندان آسان نیست. کریمان توضیح می‌دهد: قسمت بعدی که شاید به صورت مستقیم فنی نباشد آگاهی و مطالبه‌گری از نماینده‌های مجلس، مسئولان مربوطه و شرکت‌هاست. باید از آنها پرسید شرکت‌ها و مجموعه‌ها بابت امنیت داده‌های کاربران خود چه کار می‌کنند. در بخش قانون‌گذاری هم باید بخواهیم اگر مجموعه‌ای در محافظت از اطلاعات هویتی کاربرهای خود کوتاهی کرده است خسارت و جریمه‌ای پرداخت بکنند. البته این موارد از جنس فرهنگ‌سازی است و زمان می‌برد. همچنین کاربران باید از مجموعه‌ها درخواست کنند قابلیت حذف اطلاعات خود را در اختیارشان بگذارند.

او اضافه می‌کند: مورد دیگر اینکه کاربران باید بتوانند به پلتفرم درخواست بدهد تا سامانه‌ بگوید چه داده‌ای از کاربر ذخیره کرده است. تصور اکثر مردم این است وقتی مثلا از اسنپ‌فود استفاده می‌کنند فقط سفارش‌هایشان ثبت شده است در صورتی که وفتی دیتای ذخیره و پردازش‌شده سمت اسنپ‌فود را نگاه می‌کنید می‌بینید اطلاعات خیلی بیشتری ثبت می‌شود.