پرونده هک «علی بابا» به پلیس فتا ارجاع شد

به گزارش پیوست، نیم شب گذشته و همزمان با این اتفاق علاوه بر اکانت رسمی توییتر علی‌بابا، «مسعود طباطبایی» مدیرعامل این شرکت در توییتی ضمن عذرخواهی از کاربران گفته بود که هکرها به برخی از اطلاعات کاربران و سورس‌کدها این سرویس دسترسی پیدا کرده‌اند. او تاکید کرده بود که تیم امنیت علی بابا اقدامات لازم را انجام داده و با توجه به سرنخ‌هایی که در دست داشته‌اند این موضوع در حال پیگیری از طریق نهادهای قضایی و امنیتی است. طباطبایی اطمینان داده بود که  اقدامات لازم برای جلوگیری از تکرار این اتفاق صورت گرفته و آنها با قدرت بیشتر در جهت حفاظت از حریم خصوصی کاربران پیش خواهند رفت.

هنوز مشخص نیست اطلاعات کاربران درز پیدا کرده که به دست هکرها رسیده شامل چه اطلاعاتی است. همزمان با اطلاع‌رسانی علی‌بابا در مورد هک این سرویس، بسیاری از کاربران نسبت به اینکه چه اتفاقی برای اطلاعات ثبت شده‌شان در این سرویس رخ داده ابراز نگرانی کرده‌اند. حالا این سوال مطرح است که آیا نتایج بررسی این پرونده توسط پلیس فتا قرار است به صورت شفاف اطلاع رسانی شود؟ یا کاربرانی که به دنبال این اتفاق آسیب دیده‌اند از چه طریقی می‌توانند شکایت خود را مطرح کنند؟

هرچند تا کنون هیچ یک از مدیران علی بابا نسبت به این سوالات پاسخی ارائه نکرده‌اند؛ اما «مجید حسینی‌نژاد» بنیان‌گذار علی‌بابا در توییتر خود و در پاسخ به یکی از کاربران در مورد اینکه نسبت به لو رفتن اطلاعات شخصی‌ و خانوادگی‌اش از جمله اطلاعات شماره‌ کارتش در این سرویس ابراز نگرانی کرده بود نوشته است: «مشخصا ما هیچ اطلاعاتی از کارت بانکی نگه نمی‌داریم.»

از سوی دیگر در همین زمینه «رضا باقری اصل» دبیر شورای اجرایی فناوری اطلاعات کشور، در پاسخ به سوالاتی در مورد اینکه در مورد چنین جرم‌هایی در کشور جرم‌انگاری شده است یا خیر در توییتر نوشته است: «در قانون جرایم رایانه‌ای برای عمد در عمل مجرمانه مجازات تعیین شده، جز در ماده ۵ که بی احتیاطی، بی مبالاتی یا عدم رعایت تدابیر امنیتی مامورین دولتی در خصوص داده های سری هم جرم انگاری شده. اما در مورد علی بابا کسی که هک کرده مشمول مجازات مواد ۱ و ۱۱ است.» او تاکید کرده که بی‌احتیاطی و عدم رعایت تدابیر امنیتی از طرف شرکت‌های خصوصی هنوز جرم‌انگاری نشده است. براساس توضیحات او این جرم‌انگاری باید توسط قانون حفاظت  صیانت از داده‌های شخصی جرم‌انگاری شود که هنوز این قانون در اختیار دولت برای بررسی و تصویب است.

در ماده یک قانون جرائم رایانه‌ای آمده است که هرکس به طور غیرمجاز به داده‌ها یا سیستم‌های رایانه‌ای با مخابراتی که به وسیله تدابیر امنیتی حفاظت شده است دسترسی یابد، به حبس از ۹۱ روز تا یکسال یا جزای نقدی از پنج تا بیست میلیون ریال یا هر دو مجازات محکوم خواهد شد.

در ماده ۱۱ قانون جرائم رایانه‌ای هم نوشته شده  که هر کس به قصد به خطر انداختن امنیت یا آسایش عمومی اعمال مذکور در مواد ۸، ۹ و ۱۰ این قانون را علیه سیستم‌های رایانه‌ای و مخابراتی که برای ارائه خدمات ضروری به کار می‌روند، از قبیل خدمات درمانی، آب، برق، گاز، مخابرات، حمل‌ونقل و بانکداری مرتکب شود، به حبس از سه تا ۱۰ سال محکوم خواهد شد.

تاکنون گزارشی از  پرداخت خسارت به کاربرانی که اطلاعات آنها از طریق هک درز پیدا کرده منتشر نشده است و بسیاری از خبرهای مربوط به هک بدون شفاف‌سازی از طرف شرکت‌ها به فراموشی سپرده شده است. برای نمونه اسفند ماه سال گذشته نیز خبر حمله اینترنتی از نوع DDoS به برخی کسب‌وکارهای اینترنتی خبر ساز شده بود. براساس پیگیری‌های پیوست مشخص شد که این حملات بیش از یک ماه علیه شرکت‌هایی مانند علی بابا شروع و به شرکت‌های دیگری مانند زرین‌پال،‌الی گشت،‌ مستر بلیط،‌ نت‌بانک سامان،‌ایسام و غیره رسیده بود. در آن زمان مصطفی امیری،‌ مدیرعامل و هم‌بنیانگذار سرویس زرین‌پال در گفت‌وگو با پیوست اعلام کرده بود که منشاء این حملات از خارج و داخل کشور بوده است و هکرها از آنها درخواست دریافت بیت‌کوین را داشته‌اند. هنوز و با گذشت یکسال از این حملات و با وجود وعده مرکز ماهر جزییات این حمله و اینکه آیا اطلاعاتی از کاربران در اختیار هکرها قرار گرفته است یا خیر منتشر نشده است.

*در شماره ۶۷ ماهنامه پیوست در پرونده‌ای  اهمیت حفاظت از داده در کسب‌وکارهای آنلاین را بررسی کرده‌ایم که می‌توانید مطالب این پرونده را از اینجا بخوانید.