ماجرای هک اسنپ‌فود چه بود؟ / اسنپ مسئول لو رفتن اطلاعات کاربران است

به گزارش وبانگاه به نقل از خبرگزاری تسنیم، ساعاتی قبل خبری مبنی بر هک اسنپ‌فود توسط یک گروه هکری منتشر شد که این خبر توسط خود اسنپ‌فود هم تایید شد.

درهمین خصوص یک گروه هکری با ارائه شواهدی به عنوان نمونه، ادعا داشته است که کل داده‌های اسنپ فود، شامل اطلاعات بیش از 20 میلیون کاربر و 880 میلیون سفارش را به دست آورده است.

این گروه می‌گوید اطلاعات بیش از 20 میلیون کاربر شامل نام کاربری، پسورد، ایمیل، نام و نام خانوادگی، شماره موبایل، تاریخ تولد و همچنین اطلاعات بیش از 880 میلیون سفارش محصول را استخراج کرده است.

تیم هکری اعلام کرده است که این اقدام را به اسنپ فود اطلاع نداده و مستقیما اطلاعات را برای فروش گذاشته است. اما دلیل این کار برمی‌گردد به تابستان امسال که همان گروه هکری تپسی را هک کرده بود و حالا عنوان کرده است که پس از ماجرای تپسی تصمیم گرفتیم با هیچ شرکتی در آینده مذاکره نکنیم!

چه اطلاعاتی از اسنپ‌فود هک شد؟

بامداد دهم دی گروه هکری IRLeaks با انتشار پستی در کانال تلگرامی خود از هک شدن داده‌های شرکت اسنپ‌فود خبر داد. این گروه هکری پیشتر در تابستان امسال اطلاعات تپسی را هک کرده بود. این گروه نمونه‌ای از اطلاعات هک شده را منتشر کرده و قیمت فروش آن را 30 هزار دلار اعلام کرده است. بنابر اعلام این گروه اطلاعات هک شده شامل موارد زیر است:

– اطلاعات بیش از 20 میلیون کاربر شامل: نام کاربری، پسورد، ایمیل، نام و نام خانوادگی، شماره موبایل، تاریخ تولد و …

– اطلاعات بیش از 51 میلیون آدرس کاربر شامل: موقعیت GPS، آدرس کامل، شماره تلفن و …

– اطلاعات بیش از 180 میلیون دستگاه همراه شامل: نوع و مدل دستگاه، پلتفرم، توکن، فروشگاه نصب برنامه و …

– اطلاعات بیش از 360 میلیون سفارش شامل: آی‌پی سفارش دهنده، آدرس دریافتی، تلفن دریافتی، شهر، مدت زمان دریافت، نام و نام خانوادگی، مشخصات فروشگاه یا رستوران، قیمت، محصول و …

– اطلاعات بیش از 35 هزار پیک شامل: نام، نام خانوادگی، شماره تماس، کد ملی، شهر و …

– اطلاعات بیش از 600 هزار پرداخت سفارش شامل: نام کامل صاحب کارت، نام کامل مشتری، شماره تماس، شماره کارت، نام بانک و …

– اطلاعات بیش از 160 میلیون سفر انجام شده توسط پیک شامل: نام کامل مبدا و مقصد، آدرس مبدا و مقصد، تلفن مبدا و مقصد، موقعیت جغرافیایی مبدا و مقصد، تاریخ و …

– اطلاعات بیش از 240 هزار Vendor شامل: نام کامل، آدرس، تلفن، ایمیل، موقعیت مکانی GPS، نام مدیریت مجموعه و …

– اطلاعات بیش از 880 میلیون سفارش محصول

در پی این اتفاق بسیاری از کاربران شبکه اجتماعی ایکس (توییتر سابق) در واکنش به این اتفاق پیش آمده واکنش‌هایی را نشان داده و اطلاعاتی را در این زمینه منتشر کردند.

بیانیه اسنپ‌فود: اطلاعات پرداخت بانکی افراد در امنیت کامل

اما در مقابل اسنپ‌فود در بیانیه‌ای اعلام کرد که همراه با پلیس فتا به دنبال شناسایی و رفع منبع آلودگی است. اسنپ‌فود همچنین اعلام کرده مسئولیت این اتفاق را می‌پذیرد و بررسی دقیقی در مورد دلایل وقوع آن انجام خواهد داد. این گروه همچنین اعلام کرده قصد مذاکره با هکر را دارد تا تلاش حداکثری خود را برای جلوگیری از انتشار اطلاعات کاربران انجام دهد.

صبح امروز حدود 10 ساعت پس از اعلام هکرها در مورد هک کردن اسنپ‌فود، این شرکت بیانیه اولیه‌ای منتشر کرد. اسنپ‌فود در این بیانیه مسوولیت اتفاق را پذیرفته و اعلام کرده اطلاعات بانکی و پرداخت کاربران در امنیت است.

بیانیه اولیه اسنپ‌فود در رابطه با هک این پلتفرم: تلاش می‌کنیم تا با مذاکره با هکر جلوی انتشار اطلاعات را بگیریم

متن کامل بیانیه اسنپ‌فود به شرح زیر است:

«پیرو هک و اقدام به فروش مستقیم بخشی از اطلاعات کاربران اسنپ‌فود به اطلاع می‌رسانیم که شرکت اسنپ‌فود در قدم اول در همکاری با پلیس فتا در حال شناسایی و رفع منبع آلودگی ناشی از اقدام این گروه هکری است.

شرکت اسنپ‌فود مسئولیت این اتفاق را می‌پذیرد و حتما بررسی دقیقی در مورد دلایل وقوع آن انجام خواهد داد.

گفتنی است این گروه هکری پیش از مذاکره با اسنپ‌فود اقدام به فروش اطلاعات کرده است و شرکت اسنپ‌فود حداکثر تلاش خود را برای جلوگیری از انتشار داده‌های کاربران، از طریق مذاکره با این گروه هکری، خواهد کرد.

لازم به ذکر است که کلیه اطلاعات پرداخت بانکی کاربران، اعم از اطلاعات مربوط به کد امنیتی کارت (CCV)، رمز عبور و تاریخ انقضا، در امنیت کامل قرار دارد و این اطلاعات مطابق مقررات بانک مرکزی در هیچ یک از پلتفرم‌ها ذخیره نمی‌شود.

متعاقبا اطلاعات تکمیلی در این مورد را منتشر خواهیم کرد.»

پلیس فتا در دفتر اسنپ‌فود مستقر شد

سرهنگ رامین پاشایی، معاون فرهنگی اجتماعی پلیس فتا گفت: باید به اطلاع هم‌وطنان عزیز و به خصوص کاربران این شرکت برسانم که در حال حاضر تیم فنی پلیس فتا در شرکت مذکور مستقر است و در حال انجام بررسی‌های فنی و تخصصی است.

پاشایی بیان کرد: بر اساس تحقیقات صورت گرفته شرکت اسنپ‌فود همچنان در حال ارایه خدمات به کاربران خود است.

معاون فرهنگی اجتماعی پلیس فتا فراجا تصریح کرد: با توجه به اینکه شرکت مذکور توسط کارشناسان این پلیس در سال جاری چندین نوبت مورد ارزیابی و توجیه فنی لازم قرار گرفته‌اند، در صورت مشاهده هرگونه اهمال و سهل‌انگاری موضوع برای پیگیری به مراجع قانونی منعکس خواهد شد.

سرهنگ پاشایی خاطرنشان کرد: به محض کسب اطلاعات دقیق‌تر و مشخص شدن ابعاد جدید از این دسترسی غیرمجاز، متعاقبا اطلاع‌رسانی به هموطنان انجام می‌شود.

تقویت زیرساخت‌ها؛ وظیفه هر کسب‌وکار

اسنپ، یکی از شرکت‌های بزرگ فناوری ایرانی است که در زمینه خدمات آنلاین فعالیت می‌کند. اما آیا این شرکت به صورت منصفانه و شفاف با رقبا، مشتریان و کاربران خود برخورد می‌کند؟ برخی از منتقدان معتقدند که اسنپ با استفاده از قدرت خود در بازار، رقبای خود را از رقابت حذف کرده و به یک شرکت انحصارگر تبدیل شده است. برای نمونه در مورد اسنپ‌فود که به تازگی اطلاعات بیش از 20 میلیون کاربر آن به بیرون درز کرده، این مجموعه با قراردهای انحصاری با رستوران‌ها و در عدم حضور یک رقیب، جولان می‌دهد، اما در موضوع هک به ذکر پذیرفتن مسوولیت واقعه بسنده کرده است! در صورتی که افشای خصوصی‌ترین اطلاعات زندگی مردم در فضای مجازی با پذیرفتن مسوولیت کافی نیست و انتظار بیشتری از این شرکت می‌رود.

این امر موجب کاهش کیفیت خدمات، افزایش قیمت‌ها و نارضایتی مشتریان شده است. اسنپ باید با رقبای خود به صورت سالم و قانونی رقابت کند و از ایجاد موانع برای ورود شرکت‌های جدید به بازار خودداری کند. اسنپ باید به عنوان یک شرکت مسئول و پیشرو، نه تنها به سود خود فکر کند، بلکه به منافع عمومی و توسعه خدمات آنلاین در ایران نیز توجه کند.

لازم است به این نکته اشاره شود که حفاظت از داده های کاربران جزء وظایف دولت محسوب نمی‌شود و هر کسب و کاری وظیفه اش این است که زیر ساخت‌های خود را تقویت کند و از داده‌های مشتریانش حفاظت کند. در حوزه حفاظت کسب و کار‌ها از داده‌های مشتریان پلیس فتا مسئولیت دارد و طبعا اینگونه است که هشدار‌هایی درباره رعایت امنیت کسب و کار‌ها ارائه می‌دهند.

شرکت‌ها در این قبال باید مسئولیت پذیر باشند و بدانند که داده‌های مشتریان به عنوان مهم‌ترین سرمایه آنان برای خودشان محسوب می‌شود. اما اتفاقات رخ داده در مدت اخیر و زنجیره عدم وجود امنیت در این زیرساخت‌ها نشان می‌دهد که امنیت در این حوزه وجود ندارد.

تامین امنیت حوزه کسب و کار‌ها به گونه‌ای نیست که  آمرانه باشد و بتواند آن را از بالا به روش دستوری کنترل کرد. اصولا امنیت اینگونه نیست و لایه‌های مختلفی دارد و اینکه بخواهیم مسئولیت را متوجه دولت کنیم اقدام منطقی نیست و خود اسنپ باید به آن توجه داشته باشد.

دولت و شورای عالی فضای مجازی سیاست‌های تشویقی به اندازه کافی دارند؛ اما  خوب است که حکمرانی به جای ارائه تشویقات، تنبیهاتی را هم برا‌ی این مجموعه‌ها در نظر بگیرد. یعنی اگر مجموعه‌ای بی دقتی کرد و اطلاعات حساب و کاربرانش را از دست داد و مقصر بود با جریمه‌هایی رو به رو شود که باعث شود پرداخت به موضوع امنیت از نظر اقتصادی برای این نرم افزار‌ها مهم باشد و در این حوزه‌ها نه با پرداخت مبالغ ناچیز، بلکه یک سرمایه‌گذاری قابل توجه داشته باشند و از داده‌های خود حفاظت کنند.

شاید صرف پذیرفتن مسئولیت برای این اقدامات به عنوان ابتدایی‌ترین کارها قرار بگیرد و کافی نباشد و اینکه بهتر است سرویس‌های خدماتی همچون اسنپ که به این ایرادها دچار می‌شوند، برنامه و طرح‌های اساسی برای بدست آوردن رضایت از دست رفته کاربران خود داشته و همچنین پاسخگوی شرایط و مشکلات بوجود آمده  باشند.

انتهای پیام/