بدانیم که اطلاعات لو رفته متعلق به تپسی نیست، متعلق به ما است

ماجرا با یک مطلب از یک محقق امنیتی به نام باب دیاچنکو شروع شد که می‌گفت به حدود ۷ میلیون دیتای مربوط به یک شرکت تاکسی اینترنتی ایرانی دست پیدا کرده. در نمونه‌های ارائه شده مشخص است که این دیتابیس شامل نام راننده، تلفن راننده، کد ملی یا شناسنامه راننده و مبالغ کمیسیونی است که دریافت کرده است. حدود ۶۰۰هزار داده مربوط به سال ۱۳۹۵ و مابقی مربوط به سال ۱۳۹۶ است.

شیوه دسترسی به اطلاعات هم ساده بوده و بر خلاف اطلاعیه تپسی ربطی به نفوذ به سرورها و سیستم های امنیتی ندارد. مشکل اصلی قرار گرفتن یک کپی از کل این دیتابیس روی سروری است که بدون حتی یک پسورد به اینترنت متصل است. در واقع به همان سادگی که با باز کردن یک مرورگر اینترنتی می شود به یک وب سایت رفت و اخبار را خواند، هر کسی هم با باز کردن یک کلاینت مونگو و زدن آدرس دیتابیس مورد نظر می‌توانست وارد آن شود و به این اطلاعات دسترسی پیدا کند. این محقق هم بعد از مواجهه با این مشکل امنیتی، با نوشتن یک مطلب به تشریح این مساله پرداخت و اعلام کرد که سعی کرده با آدم‌های مرتبط در ایران تماس بگیرد و مساله را گوشزد کند.

اولین واکنش‌های شرکت‌ها انکار مسئله بود ولی بعد از چند ساعت، تپسی متقاعد شد که بخشی از مسئولیت را بپذیرد و البته بخشی را به گردن تحریم‌ها بیندازد، مساله‌ای کاملا بی‌ربط که البته این روزها به سنگر اول هر کسی که می‌خواهد از زیر بار هر چیزی شانه خالی کند تبدیل شده. در همین ساعت‌ها هم محقق مورد نظر اعلام کرد که در حال همکاری با شرکت تپسی است تا رخنه مورد نظر را مسدود کنند؛ کاری بسیار ساده که احتمالا در قدم اول فقط شامل گذاشتن یک پسورد روی دیتابیس مورد نظر خواهد بود – و احتمالا حذف آن از اینترنت.

اما بحث ما، درباره همین یک مورد نشست اطلاعات نیست. پیش از این هم اطلاعات زیادی نشت کرده و در آینده هم خواهد کرد. بحث اصلی باید مربوط به مسئولیت‌ها و قوانین مرتبط با چنین شرایطی باشد.در بسیاری از کشورها افراد می‌توانند از سیستم‌های خدمات‌رسانی اینترنتی بدون نیاز به احراز هویت دقیق استفاده کنند. در کشوری آزاد شما برای گرفتن یک دوچرخه نیازی به اثبات هویت خود ندارید اما وضع ایران از این نظر روز‌به‌روز در حال بدتر شدن است. در وضعیت فعلی که دولت بیشتر و بیشتر شرکت‌ها را مجبور به تعیین هویت دقیق هر فرد استفاده کننده از هر سرویس آنلاین می‌کند، لزوم مشخص بودن سیاست دسترسی به این اطلاعات بیشتر از هر وقت دیگری است. در شرایط فعلی حداقل حق کاربران این است که:

  ۱. بدانند اطلاعاتی که از آن ها ثبت شده، توسط چه کسی قابل دسترسی است.

  ۲. بدانند و مطمئن باشند که شرکت جمع آوری کننده اطلاعات پروسه‌های دقیق برای حفاظت از این اطلاعات دارد.

  ۳. حق داشته باشند اطلاعات مربوط به خود را از سیستم دانلود یا از سیستم حذف کنند.

در مورد اتفاق اخیر، می‌شود مطمئن بود که در مرحله‌ای یک نفر نیاز به کار با اطلاعات سال ۹۵ و ۹۶ داشته و آن‌ها را از دیتابیس اصلی به جایی ناامن منتقل کرده و بعد از اتمام کارش، فراموش کرده اطلاعات را حذف کند و این اطلاعات در جایی ناامن با دسترسی ناامن باقی مانده.

در حال حاضر حجم عظیمی از اطلاعات بسیار شخصی ما در سیستم‌های آنلاین نگهداری می‌شود. سیستم‌هایی که اکثرا بدون توجه به نکات امنیتی و با سرعت برای بازار آماده شده اند. سرعتی که باعث شده توجه به امنیت برخلاف اطلاعیه تپسی، مساله‌ای فرعی و دست و پا گیر تلقی شود – که اگر اینطور نبود، محال بود دیتابیس کاربران روی اینترنت و به شکل عمومی در دسترس باشد. در کنار این بی توجهی باید به فعالیت‌های غیراخلاقی احتمالی هم توجه کنیم. فرض کنیم یک کارمند بی اخلاق سرویس سفارش غذای آنلاین، در قبال دریافت پول، هر بار که پارتنر من غذایی سفارش می‌دهد من را مطلع کند یا حتی فقط در مواردی که شام دو نفره سفارش می‌دهد خبردار شوم. یا مثلا یک دوست برای کمک به دوستش، اطلاعات تمام سفرهای فلان کس را در اختیارش قرار دهد و موارد مشابه. من به عنوان یک کاربر اینگونه سرویس ها لازم دارم اطمینانی بیشتر از «کارمندهای ما بی اخلاق نیستند» داشته باشم.

استراتژی «گذاشتن آدم خوب در صندلی قدرت و انتظار خروجی خوب داشتن» همیشه شکست خورده است. پیروزی‌ها ناشی از سیستم‌های خوب و کنترلی هستند. برای اطمینان به شرکت‌ها، لازم است شیوه نگهداری و پس از آن دسترسی‌های افراد و سازمان‌ها به اطلاعات کاملا کنترل شده و تحت شرایط مشخص باشد و با امکان پیگیری باشد. در مورد اخیر مسئول فرضی ایجاد گزارش از عملکرد دو ساله شرکت باید مشخص کند به چه اطلاعاتی و در چه بازه زمانی‌ای نیاز دارد و همان را دریافت کند و پس از سپری شدن بازه زمانی مشخص شده، دسترسی‌اش به اطلاعات قطع شود. همچنین داشتن گواهینامه‌های مرتبط با امنیت و مشخص بودن روال‌های امنیتی سازمان‌ها و نحوه برخورد با نشت اطلاعات و جریمه‌های احتمالی و جریمه‌های بسیار سنگین‌تر در صورت نشت اطلاعات بدون گزارش به ذی‌نفعان روشی است که قانونگذار می‌تواند از طریق آن، با موارد بعدی مقابله کند.

چیزی که مشخص است این است که در آینده هم با موارد مشابهی برخورد خواهیم کرد. این اطلاعات ممکن است برای جعل هویت یا زیرنظر گرفتن آدم‌ها یا فشار به خاطر عدم همنوایی استفاده شود. هیچ روشی برای جلوگیری کامل از تکرار این مسئله وجود ندارد ولی دادن حق کنترل روی دیتاهای شخصی به صاحبان آن (مثلا حذف یا دانلود آن‌ها از سیستم‌ها)، اجبار شرکت‌ها به اعلام هرگونه مشکل امنیتی از طریق جریمه‌‌های بسیار سنگین عدم انجام آن (به منظور آگاهی ذی‌نفعان اصلی ماجرا از اینکه اطلاعاتشان در دستان کسی است که نباید باشد) و ایجاد قواعد روشن و صریح در مورد شیوه‌های امن کردن و دسترسی به اطلاعات در محدوده‌های مشخص می‌تواند ابعاد اینگونه مشکلات را کمتر کند.