یک هک و ناترازی اعتماد کاربران

اسنپ‌فود اپلیکیشنی است که می‌توان گفت در موبایل‌های هوشمند بیشتر ساکنان کلان‌شهرها و شهرهای بزرگ نصب شده و از سوی چندده میلیون نفر کاربر مورد استفاده قرار می‌گیرد، در زمان ثبت‌نام در اسنپ‌فود و سایر اپلیکیشن‌ها اطلاعاتی از کاربران دریافت می‌شود که برای استفاده از آنها باید این اطلاعات با واقعیت تطبیق داشته باشند به بیان دیگر امکان استفاده از این اطلاعات، با هویت غیرواقعی و جعلی غیرممکن یا دشوار است. بیشتر کاربران از اینکه ممکن است اطلاعاتی که آنان در این پلتفرم بارگذاری کرده‌اند، مورد سوءاستفاده قرار گیرد، مطلع نیستند. گروه هکری IRL eaks مسئولیت این اقدام را بر عهده گرفته است. پیش از این نام این گروه را در هک اطلاعات کاربران تپسی شنیده بودیم. مدیرعامل تپسی پس از این واقعه از اخاذی ۳۵ میلیون‌دلاری این گروه پرده برداشته بود. امروز گروه مذکور برای اطلاعات به‌دست‌آمده مبلغ ۳۰ هزار دلاری را به اسنپ پیشنهاد داده است. به فهرست اطلاعاتی که در دسترس هکرها قرار گرفته است، نگاهی می‌اندازیم:

۱. اطلاعات کاربری ۲۰ میلیون نفر از افرادی که در اسنپ فود ثبت‌نام کردند، شامل نام کاربری، رایانامه، رمز کاربری، شماره تلفن همراه، یک یا چند نشانی، سابقه خریدهای انجام‌شده از اسنپ‌فود شامل غذا، نان، مواد اولیه خوراکی و اقلام سوپرمارکتی از ابتدای ثبت‌نام در اسنپ تاکنون.

۲. اطلاعات ۱۸۰ میلیون دستگاه تلفن هوشمند، تبلت و رایانه‌ای که کاربران از آن استفاده کرده‌اند، از قبیل برند، مدل توکن، شماره سریال و... .

۳. اطلاعات ۳۶۰ میلیون مرتبه سفارش مشتریان که شامل داده‌هایی مانند IP سفارش‌دهنده، آدرس محل دریافت، نوع سفارش، قیمت سفارش، رستوران، فروشگاه و... .

۴. اطلاعات مربوط به 35 هزار پیک اسنپ‌فود مانند نام و نام خانوادگی، شماره تماس، کد ملی، نشانی و سایر اطلاعات هویتی.

۵. اطلاعات ۶۰۰ هزار پرداخت مانند شماره کارت، نام صاحب‌ حساب، بانک مربوطه و... .

۶. اطلاعات ۲۴۰ هزار رستوران و فروشگاه شامل نشانی و مشخصات مدیر، تلفن فروشگاه، تلفن مدیر، ایمیل و... .

افشای این داده‌ها از جهات مختلفی می‌تواند موجب نگرانی باشد:

الف- نگرانی‌های کاربران: ۲۰ میلیون کاربری که اطلاعات آنان افشا شده است از این جهت می‌توانند نگران باشند که با اطلاعات افشاشده می‌توان رایانامه، تلفن همراه و آدرس آنان را با یکدیگر تطبیق داد.

 این امر می‌تواند مشکلات عدیده‌ای را برای کاربران از جهات مختلف به وجود آورد.

ب- نگرانی اسنپ‌فود: دسترسی غیرمجاز به اطلاعات فوق بیش از هرکس به اسنپ‌فود زیان می‌رساند. این اطلاعات در طول سال‌های متمادی کسب، ارزیابی و طبقه‌بندی شده‌اند. اگر این داده‌ها در اختیار رقبای اسنپ فود قرار بگیرند، موجب زیان هنگفتی برای اسنپ‌فود خواهد شد. تفاوت احتمالی در درصدهای متعلق به اسنپ و کشف تبعیض و از بین رفتن اعتماد کاربران بخش اندکی از این خسارات هستند. کشف اطلاعات پیک‌ها و ارائه آنها به شرکت‌های دیگر ممکن است موجب خروج پیک‌ها از اسنپ و اخلال در ارائه خدمات شود. پ-دسترسی غیرمجاز به اطلاعات مهمی از سبک زندگی نیمی از ایرانیان؛ با درنظرگرفتن اینکه در خانواده‌ها با میانگین جمعیتی حداقلی سه نفر تنها یک یا دو نفر از این اپلیکیشن استفاده می‌کنند و فرزندان خردسال یا کودک نمی‌توانند ثبت‌نام کنند، برآورد می‌شود که این اطلاعات مربوط به جمعیتی در حدود ۴۰ میلیون نفر است؛ یعنی نیمی از جمعیت ایران! این حجم از اطلاعات درخصوص نشانی واقعی افراد، شماره‌های موبایل مرتبط با ایمیل، سبک زندگی، سلیقه افراد در خوراکی‌هایی که خریداری کرده‌اند، رمز ورود و سایر اطلاعات بی‌شماری که می‌توان استخراج کرد از جهات مختلف مورد سوءاستفاده قرار گیرد. از استفاده در پیش‌بینی سابقه مشتریان در کسب‌وکارهای مرتبط تا اخلال در زندگی روزمره مردم و... . اهمیت این رویداد تا جایی بوده که بالاترین مقام دولتی یعنی وزیر ارتباطات نیز در این خصوص اظهارنظر کرده و از ارسال لایحه حفاظت از داده‌ها به مجلس خبر داده است. او مدعی است تا زمان تصویب این قانون برای حفاظت از داده‌های اشخاص در فضای مجازی قانون وجود ندارد و با تصویب این قانون موضوع نظام‌مند شده و تکالیف دارندگان پلتفرم‌ها و سکوها مشخص خواهد شد. معاون فرهنگی پلیس فتا نیز دراین‌باره گفته است که شرکت اسنپ در طول سال گذشته چند مرتبه مورد بازرسی پلیس فتا قرار گرفته و اگر اهمال و سهل‌انگاری صورت گرفته باشد، به مراجع قانونی اعلام می‌شود.

بررسی   مقررات   حاکم

با توجه به آنچه گفته شد، به نظر می‌رسد تا قبل از تصویب لایحه حفاظت از داده‌ها به بررسی حقوقی موضوع با ارجاع به قوانین موجود یعنی «جرائم رایانه‌ای» و «تجارت الکترونیک» نیاز است. مسئولیت کیفری هک‌کنندگان در قانون جرائم رایانه‌ای پیش‌بینی شده است؛ در ماده 729 این قانون دسترسی غیرمجاز به داده‌ها و سامانه‌های رایانه‌ای تعریف و برای آن مجازات تعیین شده است. «هرکس به‌طور غیرمجاز به داده‎‌ها یا سامانه‎‌های رایانه‌‎ای یا مخابراتی که به‌وسیله تدابیر امنیتی حفاظت‌شده است دسترسی یابد، به حبس از ۹۱ روز تا یک سال یا جزای نقدی از 20 میلیون ریال تا 80 میلیون ریال یا هر دو مجازات محکوم خواهد شد». ملاحظه می‌شود که مجازاتی که برای این جرم در نظر گرفته شده حداکثر یک سال حبس و هشت میلیون تومان جزای نقدی است. با در نظر گرفتن خساراتی که به اشخاص یا آسایش و امنیت عمومی ممکن است وارد شود، این مجازات کافی نیست و نمی‌تواند جنبه بازدارندگی داشته باشد؛ بنابراین به نظر می‌رسد که ضروری است دولت و قوه قضائیه با افزودن تبصره‌ای به این ماده، افرادی را که به داده‌های کلان مرتبط با عموم جامعه دسترسی غیرمجاز پیدا می‌کنند، متناسب با اخلالی که در نظم عمومی به وجود می‌آید، مجازات کنند. درباره مسئولیت کیفری دارندگان پلتفرم‌ها و سکوها از جمله اسنپ‌فود در مقررات موجود قانون‌گذاری نشده است. اما این افراد با درنظرگرفتن عمومات قانون مدنی، قانون مسئولیت مدنی و لایحه قانون تجارت الکترونیک دارای مسئولیت حقوقی در مقابل کاربران هستند. از آنجا که حفظ و نگهداری اطلاعات کاربران در ماده ۸۱ قانون تجارت الکترونیک مورد تأیید و تأکید قرار گرفته است. شرکت اسنپ‌فود مکلف بوده تدابیر لازم را برای حفظ و نگهداری این اطلاعات و جلوگیری از دسترسی غیرمجاز پیش‌بینی و اجرا کند. در ماده ۷۸ قانون پیش‌گفته درباره جبران خسارات چنین آمده است که «هرگاه در بستر مبادلات الکترونیکی در اثر نقص یا ضعف سیستم مؤسسات خصوصی و دولتی، به‌جز در نتیجه قطع فیزیکی ارتباط الکترونیکی، خسارتی به اشخاص وارد شود، مؤسسات مزبور مسئول جبران خسارت وارده می‌باشند...». یکی از نکاتی که بر مسئولیت اسنپ‌فود برای جبران خسارات وارده به اشخاص که اطلاعات کاربری آنان مورد سوءاستفاده قرار گیرد، می‌افزاید این است که این پلتفرم اجازه اصلاح یا ازبین‌بردن اطلاعات کاربران را به آنها نمی‌دهد. شما نمی‌توانید سوابق خرید در اسنپ‌فود یا سوابق سفرها در اسنپ را پاک کنید.