|

مسئله نشت اطلاعات و درس‌هايي برای استارتاپ‌ها

يک محقق امنيتي به اسم باب دياچنکو در آخر هفته گذشته مطلبي را در وبلاگش منتشر کرد که در ايران سروصدا به‌پا کرد و واکنش‌هاي متنوعي هم در پي داشت و کار تا عذرخواهي رسمي مديرعامل شرکت تپسي پيش رفت. موضوع مقاله دياچنکو مربوط به يک بانک اطلاعاتي (Database) با دسترسي عمومي روي اينترنت بود که حدود هفت‌ ميليون واحد اطلاعاتي را شامل مي‌شد که مربوط به راننده‌هاي يک شرکت تاکسي اينترنتي بود. اين اطلاعات شامل نام و نام‌خانوادگي، شماره ملي يا شناسنامه، تلفن و مبالغ کميسيون پرداخت‌شده بود؛‌ تقريبا ۶۰۰ هزار واحد اطلاعاتي مربوط به سال ۱۳۹۵ و بقيه مربوط به سال ۱۳۹۶.
اولين واکنش‌ها به تأييد کليت مسئله از سوي وزير ارتباطات و سپس نفي مرتبط‌بودن آن به سرويس‌هاي اسنپ از طرف اين شرکت مربوط بود، اما چندساعت بعد شرکت تپسي با پذيرفتن ارتباط مقاله به داده‌هاي اين شرکت، در بيانیه‌اي اعلام کرد که بالاترين اولويت حفظ اطلاعات کاربران است، سيستم‌هاي پيشرفته شرکت جلوي نفوذ بيشتر را گرفته‌اند و اين شرکت با وجود تحريم‌ها همچنان در حال فعاليت است. اين بيانيه با واکنش‌هاي کنايه‌آميزي از سوي کاربران توييتر مواجه شد تا جايي که در نهايت مسئولي ديگر از تپسي بدون سنگرگرفتن در پشت تحريم‌ها و ادعاهاي بيانيه قبلي، در يک توييت مسئوليت را به طور کامل پذيرفت و نوشت که اين شرکت تلاش مي‌کند این مسئله تکرار نشود.
آنچه بايد آموخت:
آنچه رخ داد، درس‌هايي براي استارتاپ‌ها و قانون‌گذاران ما دارد. مسئله اول اين است که هيچ نفوذي به شرکت انجام نشده و هيچ سيستم امنيتي‌ای درگير مسئله نبوده است. ظاهرا يک کارمند داخلي تپسي، به هر دليلي - شايد گزارش‌گيري - يک نسخه از ديتابيس مربوط به سال‌هاي ۹۵ و ۹۶ را بدون هيچ پروتکل امنيتي روي سروري متصل به اينترنت کپي کرده و بعد از استفاده، آن را به حال خود رها کرده است! جست‌وجوگرهاي ديتابيس‌هاي ناامن روي اينترنت مانند «شودان» و «باينري‌اج» بعد از مدتي اين ديتابيس را پيدا کرده و آن را در نتايج جست‌وجوي «ديتابيس‌هاي بدون پسورد کشور ايران» به آقاي باب دياچنکو نشان داده‌اند و او هم مطلبش را بر اساس اطلاعات درون ديتابيس نوشته است. يک پروتکل ساده داخل شرکتي مشابه اينکه «هر کسي که به ديتايي نياز داشته باشد بايد از فلان روند مربوطه پيروي کند» مي‌توانست به طور کامل جلوي اين مسئله را بگيرد. مشکل ديگر ماجرا، واکنش زودهنگام و غيرحرفه‌اي تپسي به مسئله بود. ما هنوز در اول راه توسعه شرکت‌هاي استارتاپي هستيم و دور از ذهن نيست که براي چنين شرايطي آمادگي کافي نداشته باشيم، اما لازم است بدانيم که نشت اطلاعات دير يا زود در شرکت‌هاي اطراف ما اتفاق خواهد افتاد. لازم است براي چنين شرايطي پروتکل مشخصي داشته باشيم و با پذيرفتن اشکالات، بدون مخفي‌شدن پشت ادعاهاي بزرگ و از طريق شفافيت، اعتماد کاربران به خودمان را حفظ کنيم. اين مسئله بايد در کنار قوانيني اتفاق بيفتد که شرکت‌ها را ملزم به داشتن پروسه‌هاي حفظ اطلاعات مي‌کند؛ مثلا يک قانون خوب مي‌تواند تضمين کند که در صورت نشت اطلاعات يک کاربر در يک سيستم،‌ آن سيستم موظف است مسئله را به کاربر اطلاع دهد و در غير اين صورت جريمه‌هاي سنگيني متوجه شرکت خواهد بود. اين «جريمه در صورت عدم افشاي درز اطلاعات»‌ يکي از شناخته‌شده‌ترين مکانيسم‌ها براي اجبار شرکت‌ها به رعايت امنيت اطلاعات کاربران است. در سطحي بالاتر قوانينی مثل GDPR شرکت‌ها را ملزم مي‌کنند که به تک‌تک کاربران اجازه دريافت کامل اطلاعات خودشان و حذف اطلاعاتشان از سرور را بدهند.
در دنياي جديد، اطلاعات - هويتي و ... - ارزشمندترين دارايي‌هاي افراد و شرکت‌ها هستند. اصلا عجيب نيست که يک نفر با داشتن شماره شناسنامه، شماره تلفن، آدرس،‌ کد ملي،‌ نام پدر و مادر، محل تولد و ... بتواند در بسياري از سيستم‌ها خودش را جاي من جا بزند يا در صورت لورفتن پسورد من در يک سيستم، لازم است بدانم که کلمه عبورم اکنون در اختيار ديگران هم هست تا بتوانم آن را در هرجايي که لازم است تغيير دهم. در گذشته نشت‌هاي بسيار بزرگ‌تر اطلاعات اتفاق افتاده‌اند و در آينده هم تکرار خواهند شد. به‌خصوص حالا با فشار دولت‌ها براي احراز هويت افراد براي فعاليت‌هاي آنلاين، اين مسئله حادتر هم خواهد شد. در اين شرايط لازم است با تفويض کنترل روي اطلاعات شخصي به کاربران، با ايجاد پروسه‌هاي شفاف و قانوني براي دسترسي به اطلاعات - چه از داخل سازمان و چه خارج از آن - با گزارش‌هاي دوره‌اي در مورد اين دسترسي‌ها و دلايل آن و با داشتن پروسه‌هاي تعريف‌شده در مواجهه با اين‌گونه اتفاقات، جلوي ضررهاي طولاني‌مدت به اطلاعات کاربران و اعتبار شرکت‌ها گرفته شود.

يک محقق امنيتي به اسم باب دياچنکو در آخر هفته گذشته مطلبي را در وبلاگش منتشر کرد که در ايران سروصدا به‌پا کرد و واکنش‌هاي متنوعي هم در پي داشت و کار تا عذرخواهي رسمي مديرعامل شرکت تپسي پيش رفت. موضوع مقاله دياچنکو مربوط به يک بانک اطلاعاتي (Database) با دسترسي عمومي روي اينترنت بود که حدود هفت‌ ميليون واحد اطلاعاتي را شامل مي‌شد که مربوط به راننده‌هاي يک شرکت تاکسي اينترنتي بود. اين اطلاعات شامل نام و نام‌خانوادگي، شماره ملي يا شناسنامه، تلفن و مبالغ کميسيون پرداخت‌شده بود؛‌ تقريبا ۶۰۰ هزار واحد اطلاعاتي مربوط به سال ۱۳۹۵ و بقيه مربوط به سال ۱۳۹۶.
اولين واکنش‌ها به تأييد کليت مسئله از سوي وزير ارتباطات و سپس نفي مرتبط‌بودن آن به سرويس‌هاي اسنپ از طرف اين شرکت مربوط بود، اما چندساعت بعد شرکت تپسي با پذيرفتن ارتباط مقاله به داده‌هاي اين شرکت، در بيانیه‌اي اعلام کرد که بالاترين اولويت حفظ اطلاعات کاربران است، سيستم‌هاي پيشرفته شرکت جلوي نفوذ بيشتر را گرفته‌اند و اين شرکت با وجود تحريم‌ها همچنان در حال فعاليت است. اين بيانيه با واکنش‌هاي کنايه‌آميزي از سوي کاربران توييتر مواجه شد تا جايي که در نهايت مسئولي ديگر از تپسي بدون سنگرگرفتن در پشت تحريم‌ها و ادعاهاي بيانيه قبلي، در يک توييت مسئوليت را به طور کامل پذيرفت و نوشت که اين شرکت تلاش مي‌کند این مسئله تکرار نشود.
آنچه بايد آموخت:
آنچه رخ داد، درس‌هايي براي استارتاپ‌ها و قانون‌گذاران ما دارد. مسئله اول اين است که هيچ نفوذي به شرکت انجام نشده و هيچ سيستم امنيتي‌ای درگير مسئله نبوده است. ظاهرا يک کارمند داخلي تپسي، به هر دليلي - شايد گزارش‌گيري - يک نسخه از ديتابيس مربوط به سال‌هاي ۹۵ و ۹۶ را بدون هيچ پروتکل امنيتي روي سروري متصل به اينترنت کپي کرده و بعد از استفاده، آن را به حال خود رها کرده است! جست‌وجوگرهاي ديتابيس‌هاي ناامن روي اينترنت مانند «شودان» و «باينري‌اج» بعد از مدتي اين ديتابيس را پيدا کرده و آن را در نتايج جست‌وجوي «ديتابيس‌هاي بدون پسورد کشور ايران» به آقاي باب دياچنکو نشان داده‌اند و او هم مطلبش را بر اساس اطلاعات درون ديتابيس نوشته است. يک پروتکل ساده داخل شرکتي مشابه اينکه «هر کسي که به ديتايي نياز داشته باشد بايد از فلان روند مربوطه پيروي کند» مي‌توانست به طور کامل جلوي اين مسئله را بگيرد. مشکل ديگر ماجرا، واکنش زودهنگام و غيرحرفه‌اي تپسي به مسئله بود. ما هنوز در اول راه توسعه شرکت‌هاي استارتاپي هستيم و دور از ذهن نيست که براي چنين شرايطي آمادگي کافي نداشته باشيم، اما لازم است بدانيم که نشت اطلاعات دير يا زود در شرکت‌هاي اطراف ما اتفاق خواهد افتاد. لازم است براي چنين شرايطي پروتکل مشخصي داشته باشيم و با پذيرفتن اشکالات، بدون مخفي‌شدن پشت ادعاهاي بزرگ و از طريق شفافيت، اعتماد کاربران به خودمان را حفظ کنيم. اين مسئله بايد در کنار قوانيني اتفاق بيفتد که شرکت‌ها را ملزم به داشتن پروسه‌هاي حفظ اطلاعات مي‌کند؛ مثلا يک قانون خوب مي‌تواند تضمين کند که در صورت نشت اطلاعات يک کاربر در يک سيستم،‌ آن سيستم موظف است مسئله را به کاربر اطلاع دهد و در غير اين صورت جريمه‌هاي سنگيني متوجه شرکت خواهد بود. اين «جريمه در صورت عدم افشاي درز اطلاعات»‌ يکي از شناخته‌شده‌ترين مکانيسم‌ها براي اجبار شرکت‌ها به رعايت امنيت اطلاعات کاربران است. در سطحي بالاتر قوانينی مثل GDPR شرکت‌ها را ملزم مي‌کنند که به تک‌تک کاربران اجازه دريافت کامل اطلاعات خودشان و حذف اطلاعاتشان از سرور را بدهند.
در دنياي جديد، اطلاعات - هويتي و ... - ارزشمندترين دارايي‌هاي افراد و شرکت‌ها هستند. اصلا عجيب نيست که يک نفر با داشتن شماره شناسنامه، شماره تلفن، آدرس،‌ کد ملي،‌ نام پدر و مادر، محل تولد و ... بتواند در بسياري از سيستم‌ها خودش را جاي من جا بزند يا در صورت لورفتن پسورد من در يک سيستم، لازم است بدانم که کلمه عبورم اکنون در اختيار ديگران هم هست تا بتوانم آن را در هرجايي که لازم است تغيير دهم. در گذشته نشت‌هاي بسيار بزرگ‌تر اطلاعات اتفاق افتاده‌اند و در آينده هم تکرار خواهند شد. به‌خصوص حالا با فشار دولت‌ها براي احراز هويت افراد براي فعاليت‌هاي آنلاين، اين مسئله حادتر هم خواهد شد. در اين شرايط لازم است با تفويض کنترل روي اطلاعات شخصي به کاربران، با ايجاد پروسه‌هاي شفاف و قانوني براي دسترسي به اطلاعات - چه از داخل سازمان و چه خارج از آن - با گزارش‌هاي دوره‌اي در مورد اين دسترسي‌ها و دلايل آن و با داشتن پروسه‌هاي تعريف‌شده در مواجهه با اين‌گونه اتفاقات، جلوي ضررهاي طولاني‌مدت به اطلاعات کاربران و اعتبار شرکت‌ها گرفته شود.

 

اخبار مرتبط سایر رسانه ها