وقتی «همه» اطلاعات ما را دارند، همه‌ی اطلاعات ما را دارند

این چند وقت خبری که دیگر برایمان عادی شده، خبر روزمره «لو رفتن و فروش اطلاعات ایرانی‌ها» است. دفعه اولی که گفته شد اطلاعات فلان اپراتور مخابراتی یا فلان تاکسی اینترنتی در فروم‌های سارقین اطلاعات در حال خرید و فروش است همه شوکه شدند. شوکی که خبر خرید و فروش اطلاعات شخصی ۴۲ میلیون ایرانی که از سامانه‌ای به اسم شکار درز کرده بود هم به آن اندازه پر سر و صدا نشد. بعد هم به سادگی از کنار اخباری مانند فروش ۶۰۰ هزار حساب کاربری رجا و ۴۰۰ هزار کاربر شرکت مخابرات و ۹۰ هزار آموزشگاه آفرینش و ۹۵۰ هزار کاربر پژوهشگاه علوم و فناوری اطلاعات ایران و اطلاعات کامل وزارت علوم – سازمان دانشجویان و شماره‌های موبایل همراه اول پیشخوان استان تهران و نامه‌های شرکت ماهان و هما و ۱۰۰هزار کاربر سایت کاربانک و اطلاعات ۱۰ هزار مشتری بیمه یاران و ۲۵۰ هزار حساب کاربری فروشگاه آنلاین شیکسون و غیره غیره گذشتیم.

اطلاعات ۶۰۰ هزار حساب کاربری شرکت حمل و نقل ریلی #رجا
۲۳۰۰ نامه اداری #هواپیمایی_هما
۵ هزار نامه #هواپیمایی_ماهان
و اطلاعات ۷۰۰ هزار حساب کاربری شرکت #مبین_نت
در حال خرید و فروشه.

آیا واقعیت داره یا کلاهبرداریه هنوز نمیدونیم.

— mohammad jorjandi – محمد جرجندی🇮🇷🇺🇸 (@s7az2mm) April 19, 2020

این خبرها آمدند و رفتند و کم اهمیت‌ترین چیز در این میان، حریم شخصی، خلوت و هویت ما بود. مثلا حتی یک نفر نپرسید چرا این اطلاعات جمع شده، چرا درز کرده و به چه کسی فروخته شده.

می‌دانیم که درز این اطلاعات می‌تواند مشکلات متنوعی ایجاد کند. با داشتن این اطلاعات می‌توان کارت ملی جعلی  یا حتی فقط «کپی» آن را ساخت و سیم کارت یک نفر را سوزاند و با سیم کارت جدید به تمام ابزارهایی که وابسته به سیم کارت هستند دسترسی داشت. با داشتن اینها می‌توان به اسم یک نفر دیگر در هتل جا رزرو کرد. با داشتن اینها می توان به بانک رفت و … و با داشتن اینها می‌توان افراد را فریب داد و از آن‌ها پول گرفت. این اطلاعات بخشی از پروسه تایید هویت هر کدام از ما هستند و حالا بخشی از هویت، خلوت و حریم شخصی ما در حال خرید و فروش شدن در اینترنت است. و این فقط نوکی از کوه یخی است که در جریان است.

اما سوال درست این است که بپرسیم چطور این اتفاق افتاده؟ چرا به ناگهان این حجم از اطلاعات ما روانه بازار خرید و فروش شده؟ پاسخ آن البته سخت نیست و از مدت‌ها قبل پیش‌‌بینی می‌شده. تقریبا از همان وقتی که نهادها، وزارت‌خانه‌ها و سازمان‌ها و حتی شرکت‌های متنوع در نبود شفافیت، قانون و حقوق فردی شروع به جمع آوری این حجم از داده کردند این ماجراها شروع شد و وقتی سیستم‌ شروع به سوق دادن مردم به مکانیزم‌های ناامنی مثل اجبار به نصب برنامه‌های متفرقه، استفاده از کپی‌ و پوسته‌های اپلکیشن‌های جهانی به جای سیستم‌های اصلی و استفاده از پروکسی‌ها و از آن‌طرف اجبار به ارائه مشخصات دقیق هویتی در هر جای با ربط و بی ربط و تطبیق و اعلام همه چیز به نهادهای حاکمیتی شدند، این داستان سرعت گرفت.

اجبار بسیاری سایت‌ها یه احراز هویت هر مشتری از طریق سیستم‌هایی مانند شاهکار،  مثال خوبی است. اینکه من برای ثبت نام در هر سرویسی مجبور به ارائه کل مشخصات هویتی باشم، در بسیاری مواقع – مثلا خرید آنلاین، ثبت نام کلاس آموزشی و … – هیچ کاربردی به جز زیر نظر گرفتن بیشتر و بیشتر آدم‌ها ندارد. زیر نظر گرفتنی که در نهایت در انحصار شنودگر اول باقی نمی‌ماند و این اطلاعات جمع آوری شده چه به خاطر اشتباهات فنی چه به خاطر منافع مادی با دیگران به اشتراک گذاشته خواهد شد. اگر سامانه یک اداره اقدام به کشف و جمع آوری هویت تمام کاربران تلگرام ایرانی می‌کند، این اطلاعات دیر یا زود در اختیار دیگران هم قرار خواهد گرفت و همه ما دو برابر متضرر خواهیم بود. یا اگر هر سرویس آنلاین برای سرویس‌دهی مجبور به تایید کد ملی و شماره تلفن و نام باشد، هر سرویس آنلاین به گنجینه‌ای از اطلاعات دسترسی خواهد داشت که دیر یا زود جنبه مالی پیدا می‌کند و در نبود قوانین یا مهارت کافی مدیریتی و فنی، منجر به نشست اطلاعات می‌شود.

در دنیای امنیت، می‌گویند اگر برای هر خانه یک در پشتی بگذارید که فکر می کنید کلیدش فقط در دست پلیس است، خود به خود به دزدها هم اجازه داده‌اید که به هر خانه‌ای که می‌خواهند وارد شوند. در دنیای امنیت، چیزی به اسم «سیستم امن با امکان دسترسی خودمان» وجود ندارد. اگر ما در حال ناامن کردن فضای ارتباطات هستیم، خود به خود این فضا برای سارقین اطلاعات و کسانی که شغلشان فروش هویت افراد است هم مناسب‌تر شده است. ایجاد اختلال در پروتکل‌های امن مانند https و vpn، اجبار سیستم‌ها به تایید هویت گسترده کاربران، ندادن هیچ گونه حق قانونی به مشتریان سرویس ها برای حذف، تغییر یا اصولا ناشناس ماندن در سیستم‌ها و موارد مشابه دلیل اصلی همه این درزهای اطلاعاتی است که شاهدش هستیم. درزهایی که تا وقتی وظیفه سازمان‌هایی ناامن کردن ارتباطات مردم و سرکوب ابزارهای امن و جمع آوری و تمرکز اطلاعات است ادامه پیدا خواهد کرد.

این درزهای اطلاعاتی، علاوه بر ضررهای فردی، یک ضرر جمعی بزرگ هم دارد: عدم اطمینان به سیستم‌ها. به همین دلیل است که کشورهای اروپایی برای دفاع از مردم در مقابل شرکت‌ها و در سطحی بالاتر، تشویق به حضور آن‌ها در شرکت‌های نوپا، قوانینی مانند GDPR را تصویب کرده اند تا به مردم اطمینان بدهند که هر شرکت حداقل اطلاعات لازم از آن‌ها را دارد و حتی در همین سطح هم، تمام اطلاعات داده شده به یک شرکت، تنها و تنها در کنترل خود فرد است. بر طبق چنین قوانینی، هر فرد در هر لحظه حق پاک کردن یا تغییر کل اطلاعاتی که به یک شرکت داده را دارد. در این شرایط افراد به شرکت‌ها اطمینان بیشتری می‌کنند چرا که کنترل اطلاعاتشان را در دست دارند. وضعیتی درست معکوس ما. اینجا، تمام تلاش شده است تا با ناامن کردن فضای ارتباطات،‌ مردم بی اطمینان از خلوت و حریم شخصی و در موارد بسیاری حتی ناتوان از استفاده از ابزار نگه داشته شوند و همزمان، هیچ کنترلی بر هیچ اطلاعاتی که از آن‌ها جمع شده است، نداشته باشند.