سال ۲۰۱۸ سالی بود که به کاربران ثابت کرد نمیتوانند با اطمینان کامل دادههای شخصیشان را در اختیار دیگران قرار دهند. در این سال از غولهای بزرگ فناوری گرفته تا دولتها و حتی رستورانهای زنجیرهای درگیر رسواییهای مرتبط با دادههای شخصی کاربران بودند. در بهترین حالت، این شرکتها برای حفظ امنیت دادههای کاربران از آمادگی کامل برخوردار نبودند؛ در بدترین حالت نیز سازمانها اجازه دادند تا دادههای کاربران برای اثرگذاری در رویههای سیاسی و دموکراتیک استفاده شوند.
وقتی بحث رسواییها و انتشار دادههای کاربران میشود، تنها نقطهی امید در این سال به «قانون حفاظت از دادههای عمومی»، که بهاختصار GDPR نام دارد، مربوط میشود. این قانون که میتوان آن را قانونی پیشرو برشمرد، مورد تصویب اتحادیهی اروپا قرار گرفته و برای آن دسته از کاربرانی که تحتتاثیر انتشار غیرقانونی دادهها قرار گرفتهاند حفاظتهایی را فراهم میکند.
بهلطف GDPR، شرکتها اکنون ملزم هستند تا انتشار ناخواستهی دادههای کاربران را اعلام کنند؛ در غیر اینصورت، با جریمههای سنگینی مواجه خواهندشد. در عین حال، چنین قوانینی برای آمریکاییها وجود ندارد و این در حالی است که میزان حملات در فضای مجازی رو به افزایش است.
آنچه بیشتر مایهی نگرانی میشود این است که رسواییهای اطلاعاتی که در مقالات از آنها یاد شده و مورد توجه قرار میگیرند صرفا بهمثابه قطرهای از دریا هستند و گسترهی سوءاستفادههای انجامشده از دادههای کاربران طی سال جاری را بهتصویر نمیکشند. بهگزارش وبسایت DarkReading که در زمینهی اخبار حملات سایبری فعالیت میکند، تنها در ۹ ماه ابتدایی سال ۲۰۱۸، بهطور تخمینی ۳٫۶۷۶ مورد تعرض به دادههای کاربران صورت گرفته است. همین آمار هم ۲۰۱۸ را به رتبهی دوم در ردهبندی سالهای پرخطر برای تعرض به دادههای کاربران میرساند؛ در عین حال، آماری که برای انتهای سال گزارش میشوند یا علائمی از بهبود را نشان خواهند داد، یا اینکه از آمارهای ۹ ماهه نیز دردناکتر خواهند بود.
مشکلات مرتبط با فیسبوک
بدون شک رسوایی اطلاعاتی فیسبوک و کمبریج آنالیتیکا، بزرگترین رسوایی اطلاعاتی سال ۲۰۱۸ بود؛ هرچند ریشهی این مشکل به سالها پیش بازمیگردد. روز هفدهم مارس ۲۰۱۸ (۲۶ اسفند ۱۳۹۶)، دو نشریهی گاردین و نیویورک تایمز خبر جمعآوری دادههای کاربران فیسبوک توسط شرکت مشاورهی سیاسی کمبریج آنالیتیکا را منتشر کرد. دادههای دستکم ۸۷ میلیون نفر از کاربران فیسبوک بدون اطلاع آنها در اختیار کمبریج آنالیتیکا قرارگرفته بود. این دادهها که بهواسطهی استفاده از یک اپلیکیشن پرسش و پاسخ بهدست آمده بود، توسط کمپین انتخاباتی دونالد ترامپ مورد استفاده قرار گرفتهبود تا تبلیغات فیسبوکی خود را بهگونهای هدفمند در معرض دید گروه خاصی از کاربران قرار دهند.
مشکل اصلی این اپلیکیشن پرسش و پاسخ این بود که تعداد زیادی از این جمعیت ۸۷ میلیون نفری از آن استفاده نکرده بودند؛ درواقع در بهترین حالت حداکثر چندصدهزار نفر از این اپلیکیشن استفاده کردهبودند. این اپلیکیشن پرسش و پاسخ از روزنهای در رابط برنامهنویسی فیسبوک استفاد کردهبود که به سازندگانش اجازه میداد نهتنها دادههای افراد استفاده کننده از این اپلیکیشن، بلکه دادههای دوستان آنها را هم جمعآوری کنند؛ یعنی افرادی که هیچ ارتباطی با این اپلیکیشن نداشتهاند. جالبتر اینکه یکی از محققان درگیر در ساخت این اپلیکیشن در سال ۲۰۱۵ به استخدام فیسبوک درآمدهبود. این شخص در سپتامبر ۲۰۱۸ از فیسبوک اخراجشد؛ اما اهالی منلوپارک هیچوقت به این سؤال پاسخ ندادهاند که آیا پیش از این از نقش وی در ساخت این اپلیکیشن اطلاع داشتهاند یا خیر.
اگرچه شواهد چندانی مبنی بر تاثیر دادههای بهدست آمده توسط کمبریج آنالیتیکا بر نتایج انتخابات ریاستجمهوری ۲۰۱۶ ایالاتمتحده وجود ندارد؛ اما این مسئله به کاربران نشانداد که قوانین فیسبوک در رابطه با «حفاظت از حریمخصوصی کاربران» تا چه حد سهلانگارانه هستند. هماکنون نیز مشخص نیست که چه اتفاقی برای این دادهها رخ داده است. کمبریج آنالیتیکا ادعا میکند که فایلهای مربوطه را حذف کردهاند؛ اما مشخص نیست که چند نسخه از آن همچنان وجود دارند. مهمتر از همه، از این رسوایی بهعنوان یک نقطهی عطف یاد میشود؛ نقطهای که قدرت دادههای شخصی را به عموم کاربران نشان داد، دادههایی که بهطور بالقوه میتوانند برای اثرگذاری بر کاربران و حتی نظامهای دموکراتیک مورد استفاده قرار گیرند.
البته این تنها بدشانسی فیسبوک نبود؛ در سپتامبر ۲۰۱۸، خبری مبنی بر بهسرقت رفتن دادههای دستکم ۳۰ میلیون نفر از کاربران فیسبوک منتشر شد. محل زندگی، محل تولد، وضعیت تاهل و در برخی موارد تاریخچهی جستجوها از جمله دادههای بهسرقت رفته بودند.
انتشار اطلاعات کارکنان امنیتی و نظامی آمریکا ازطریق اپلیکیشن Polar
۲۰۱۸ سال چندان روشنی برای اپلیکیشنها هم نبود. Polar اپلیکیشنی در زمینهی تناسباندام است که توسط اعضای ارتش، سازمان امنیت ملی و سرویس امنیتی ایالاتمتحده مورد استفاده قرار میگیرند. قوانین Polar برای محافظت از دادههای کاربران تاحدی احمالکارانه بود که محققان توانستهبودند کاربران ارتش و سازمانهای امنیتی را حین ورزش در نزدیکی پایگاههایشان ردیابی کنند. همین قوانین سهلانگارانه در عمل به هرکسی اجازه میدادند تا به نام مقامات نظامی و امنیتی، نرخ ضربانقلب و حتی آدرس محل زندگی آنها دست پیدا کنند.
به گزارش واشنگتن پست، در زمانیکه محققین یافتههای خود را در این زمینه منتشر کردند، توانسته بودند دادههای شخصی ۶٫۴۶۰ پرسنل نظامی و امنیتی را بهدست آورند. این دادهها شامل پرسنل حاضر در پایگاههای نظامی خارج از آمریکا نیز میشد؛ برای مثال دادههای پرسنل حاضر در پایگاه دریایی گوانتانامو و پایگاه لمونیِر در جیبوتی، که بهعنوان مرکز فرماندهی عملیاتهای آمریکا در شاخ آفریقا شناخته میشود.
Exactis و انتشار دادههای ۲۳۰ میلیون شهروند آمریکایی
افشای اطلاعاتِ بخش کوچکی از پرسنل نظامی ممکن است ناراحتکننده باشد؛ اما افشای اطلاعات ۲۳۰ میلیون شهروند آمریکایی و ۱۱۰ میلیون کسبوکار فعال در این کشور تا چه اندازه نگرانکننده است؟ این اتفاقی است که در ماه ژوئن سال ۲۰۱۸ رخ داد. در این رخداد، شرکت بازاریابی Exactis که مقر آن در فلوریدا واقعشده است، اطلاعات ۳۴۰ میلیون شخص و کسبوکار را روی سروری قرارداده بود که عموم افراد میتوانستند به آن دسترسی پیدا کنند.
حجم دادههای موجود روی این سرور به ۲ ترابایت میرسید؛ جالبتر اینکه این دادهها صرفا شامل آدرس پستالکترونیک و نام افراد نبودند. علاوهبر نام و آدرس پستالکترونیک، مواردی همچون مصرف یا عدم مصرف دخانیات، مالکیت حیوانات خانگی، دین، داشتن فرزند و علائق فردی از جمله اطلاعاتی بودند که در اثر سهلانگاری Exactis در اختیار سارقان اطلاعاتی قرار گرفتهبود.
افشای دادههای تمامی شهروندان هندی ازطریق سیستم شناسایی ملی
آیا Exactis را بهخاطر افشای دادههای ۲۳۰ میلیون شهروند سزاوار محاکمه میدانید؟ پس نظر شما دربارهی افشای دادههای ۱.۱ میلیارد شهروند هندی چیست؟ Aadhaar یک سیستم تشخیصهویت ازطریق نشانههای بیومتریک است که توسط دولت هند اداره میشود. این سیستم که بهعنوان بزرگترین مجموعهی بیومتریک در جهان شناخته میشود، در عمل اطلاعات تمامی شهروندان هندی را در خود جای دادهاست. این اطلاعات شامل مواردی همچون عکس، اثرانگشت، آدرس منزل و دیگر اطلاعات شخصی است.
افشای اطلاعات موجود در Aadhaar توسط یک روزنامهنگار کشفشد. وی دریافت که برخی افراد نام کاربری و رمز ورود خود به این مجموعه را در پیامرسان واتساپ (WhatsApp) بهفروش میرسانند و از این نامهای کاربری و رموز ورود میتوان برای دستیابی به تمام دادههای موجود در این سیستم استفاده کرد. برخی از فروشندگان برای فروش نامکاربری و رمز ورود خود صرفا مبلغی معادل ۷ دلار از مشتریان دریافت میکردند.
اما مقامات هندی بیشتر از این مسئله خشمگین بودند که چرا این روزنامهنگار از این مشکل پرده برداشته است؛ در این راستا، مقامات دولتی ضمن طرح شکایت علیه این روزنامهنگار، وی را به ارائهی گزارشهای نادرست متهم کردند. وقتی در ماه مارچ یک محقق امنیتی آسیبپذیری Aadhaar را به وبسایت ZDNet نشانداد، دولت مجدد این مشکل را کتمان کرد.
انتشار اطلاعات ۵۰۰ میلیون مشتری هتلهای ماریوت
روز ۹ آذر (۳۰ نوامبر) خبر افشای دادههای ۵۰۰ میلیون نفر از مشتریان هتلهای زنجیرهای مارییات (Marriott) منتشر شد؛ هرچند که این انتشار لحظهای نبوده و شروع آن بهسال ۲۰۱۴ بازمیگردد. این دادهها به افرادی مربوط میشوند که در شاخهای از اقامتگاههای مرییات، موسوم به Marriot’s Startwood اقامت داشتهاند.
هکرهایی که احتمال میرود با پکن در ارتباط بودهاند، در عمل به تمامی دادههای ۳۲۷ میلیون نفر از این مجموعهی ۵۰۰ میلیونی دست پیدا کردهبودند. نام، آدرس پستی، شماره تلفن، آدرس پست الکترونیک، شناسهی شخصی مهمانان ویژهی Starwood، تاریخ تولد، جنسیت، اطلاعات ورود و خروج، تاریخ رزرواسیون، گزینههای ارتباطی، شمارهی کارتهای بانکی و تاریخ انقضای کارتها از جمله اطلاعات بهسرقترفته بودند. دربارهی ۱۷۳ میلیون نفر باقیماند، تنها بخشی از اطلاعات، نظیر نام و در برخی موارد آدرس پستی، آدرس پست الکترونیک و «برخی اطلاعات دیگر» بهسرقت رفتهبودند.
Panera Bread؛ خوراک مرغ با سالاد اطلاعات شخصی!
شاید باورش سخت باشد؛ اما رستورانها هم درگیر رسواییهای اطلاعاتی بودهاند. Panera Bread، مجموعهای از رستورانها و کافههای زنجیرهای در ایالاتمتحده و کانادا است. در ماه آوریل، محققان امنیتی از انتشار دادههای مشتریان این مجموعه ازطریق وبسایت Panera Bread پرده برداشتند. دادههای منتشر شده در قالب متن ساده بودند و شامل نام، آدرس ایمیل، آدرس محل سکونت، تاریخ تولد و چهار رقم آخر شمارهی کارتاعتباری افراد میشدند.
نکتهی نگرانکننده این است که محققان امنیتی بهمدت هشت ماه برای رفع این مشکل با Panera Bread در ارتباط بودند. یک هفته پس از تماس اولیهی محققان، این شرکت اعلام میکند که مشکل را حل کرده است؛ اما پژوهشگران تا هشت ماه بعد همچنان میتوانستند به این دادهها دست پیدا کنند. پس از این هشت ماه درنهایت این مسئله به اطلاع عموم رسید و در نتیجه Panera Bread وبسایت خود را از دسترس خارج کرد تا به حل این مشکل بپردازد. هرچند تعداد قربانیان این سهلانگاری مشخص نیست؛ اما بهگفتهی پژوهشگران، آمار قربانیان میتواند به ۳۷ میلیون نفر برسد.
نشر دادههای میلیونها نفر در گوگل پلاس
آخرین مورد فهرست ما به غول دنیای جستوجو مربوط میشود. در ماه اکتبر، نشریهی والاستریت ژورنال خبر داد که گوگل حفرهای امنیتی را در شبکهی گوگل پلاس کشف کرده است؛ این حفره بهطور بالقوه از سال ۲۰۱۵ زمینهی افشای اطلاعات ۵۰۰ هزار کاربر را فراهم کردهبود. پس از انتشار این مقاله، ساکنان مانتنویو اعتراف کردند که این مشکل در شبکهی اجتماعی نهچندان موفق آنها وجود داشته است. دادههای منتشر شده نیز شامل نام، آدرس پست الکترونیک، سن، جنسیت و شغل کاربران گوگلپلاس میشود.
رویهی اتخاذ شده توسط شرکتهایی همچون گوگل و Panera Bread نگرانکننده است
نکتهی قابلتأمل این است که همانند Panera Bread، گوگل نیز تا هفت ماه پس از کشف این حفرهی امنیتی، از اعلام آن سرباز زدهبود؛ دلیل این مسئله ترس از خدشهدار شدن وجههی عمومی این شرکت و افزایش نظارتهای قانونی بود. بدتر از این، در ماه دسامبر ۲۰۱۸، این شرکت روزنهی دیگری را در رابط برنامهنویسی گوگل پلاس کشف کرد که نام، آدرس پست الکترونیک، شغل و سن ۵۲.۵ میلیون نفر از کاربران این شبکهی اجتماعی را بهمدت شش روز در دسترس عموم قرار دادهبود. این بار نیز گوگل پس از یکماه سکوت، کاربران را از بروز این مشکل آگاه کرد.
رویهی اتخاذ شده توسط شرکتهایی همچون گوگل و Panera Bread نگرانکننده است. آنها مدتها منتظر ماندهبودند و تنها پس از اینکه همهچیز برملا شدهبود در رابطه با انتشار دادههای کاربران اطلاعرسانی کردهبودند. همین مسئله نشان میدهد که در ایالاتمتحده، وجود قوانین محکم در زمینهی حفاظت از دادههای شخصی کاربران امری لازم است؛ درست مانند GDPR که به تصویب اتحادیهی اروپا رسیده است.
در سال ۲۰۱۸ دادههای فراوانی به یغما رفتند؛ اما درسی که میتوان آموخت این است: وقتی حرف از دادههای شخصی میشود، به هیچ کس اعتماد نکنید.
منبع : زومیت