رویداد۲۴ لیلا فرهادی: شب گذشته خبر درز اطلاعات ۲۰ میلیون کاربر اسنپ فود توسط یک گروه هکری منتشر شد. صبح روز یکشنبه اسنپ فود در شبکههای اجتماعی خود خبر را تایید و اعلام کرد که «این شرکت در همکاری با پلیس فتا در حال شناسایی و رفع منبع آلودگی ناشی از اقدام این گروه هکری است و مسئولیت این اتفاق را میپذیرد و حتما بررسی دقیقی در مورد دلایل وقوع آن انجام خواهد داد.»
هکرها به سایت خبری «دیجیاتو» اعلام کردهاند که هک را به اسنپ فود اطلاع نداده و مستقیما اطلاعات را برای فروش گذاشته است. دلیل آن تجربه مذاکره با تپسی اعلام شده است. هکرها به دیجیاتو گفتهاند «پس از ماجرای تپسی تصمیم گرفتیم با هیچ شرکتی در آینده مذاکره نکنیم.» اما ماجرا چیست و منظور هکرها از تجربه قبلی چه بوده است؟
گروه هکری موسوم به IRLeaks جولای امسال برای اولین بار اعلام حضور کرده و ورودش به بازار علنی هک با نفوذ به چندین سایت مهم ایرانی و اقدام به فروش اطلاعات آنها بوده است. این گروه هکری اولین بار اطلاعات بیمههای آسیا، رازی، سینا و حافظ با مجموع بیش از ۴۳ میلیون اطلاعات شامل، نام، نام خانوادگی، تاریخ تولد، نام پدر، شماره تلفن/موبایل، شماره شناسنامه، کد ملی، کد ملی شرکت را در فهرست فروش قرار داد و برای خرید اطلاعات، آیدی ادمین گروه هکری را در یک کانال تلگرامی اعلام کرد.
در همین تاریخ یعنی یازدهم جولای (۲۰ تیر) گروه هکری IRLeaks وبسایت کمیته امداد را هک کرد و پیام «هک شده توسط IRLeaks» را روی خروجی سایت قرار داد تا به این ترتیب اعلام موجودیت کرده و فروش اطلاعات بیمهها را تسریع کند. این گروه هکری برای اطلاعات شرکتهای بیمهای رقمهایی بین ۱۰۰۰ تا ۱۰ هزار دلار قیمت تعیین کرده بود.
یک ماه بعد فهرست جدیدی از چندین شرکت بیمهای توسط گروه هکری IRLeaks در کانال تلگرانی این گروه قرار گرفت که نشان میداد اطلاعات این شرکتها نیز هک شده است. بر اساس فهرست فروش گروه هکری IRLeaks مجموعا ۱۱۵ میلیون رکورد اطلاعات به قیمت ۸۱ هزار دلار برای فروش گذاشته شده بود. جالب اینجاست که گروه هکری برای خریدار عمده تحفیف ویژه هم در نظر گرفته بود و قیمت ۷۵ هزار دلار را به خریدار ویژه اختصاص داده بود.
یک ماه بعد اقدام بعدی گروه کلید خورد و اطلاعات بیش از ۲۷ میلیون مسافر شرکت تپسی شامل نام، نام خانوادگی، شماره همراه، شهر و بعضا ایمیل و اطلاعات بیش از ۶ میلیون راننده شامل نام، نام خانوادگی، کد ملی، شهر، شماره همراه به دست این گروه هکری افتاد. ظاهرا علنی شدن خبر هک تپسی بعد از دو هفته مذاکره بینتیجه شرکت تپسی با هکرها و خشم هکرها از عدم پرداخت هزینه اطلاعات اتفاق افتاده بود.
«میلاد منشیپور» مدیرعامل تپسی خبر هک شدن اطلاعات شرکت را تایید کرد و در توییتر خود نوشت «طی روزهای گذشته متوجه دسترسی غیرمجاز به زیرساخت شرکت تپسی و برداشت بخشی از اطلاعات شدیم. به محض کشف این موضوع، ضمن ثبت شکایت، پلیس را در جریان قرار دادیم و راه دسترسی آنها را بستیم.»
گروه هکری IRLeaks به بیانیه مدیرعامل تپسی واکنش نشان داد و در کانال تلگرامی خود نوشت: «فروش دیتا در پی بیمسئولیتی شرکت تپسی در حفظ اطلاعات مشتریان خود میباشد.» این گروه در ادامه به عدم همکاری شرکت تپسی در پرداخت قیمت مطرح شده برای اطلاعات شرکت اشاره کرد و نوشت «این شرکت حاضر به پرداخت هیچ هزینهای نشد و این بدین معناست که آنها برای اطلاعات شما کوچکترین اهمیتی قائل نیستند.»
IRLeaks خطاب به مدیرعامل تپسی اخطار داده بود که در صورتیکه مبلغ را پرداخت نکند عواقب جبرانناپذیری برای آنها خواهد داشت و نوشت: «بعد ۲ هفته مذاکره بینتیجه با شما و پس از اینکه ما موضوع را عمومی کردیم، دیدید اوضاع خراب است، ژست مسئولیتپذیری به خود گرفتید و توییت میزنید؟ خسته نشی یه وقت دلاور.»
حال بعد از گذشت چهار ماه اتفاق بعدی رقم خورده و اطلاعات بیش از ۲۰ میلیون کاربر اسنپ فود در اختیار همان گروه هکری قرار گرفته است. IRLeaks این بار رقم ۳۰ هزار دلار (معادل یک میلیارد و ۵۰۰ میلیون تومان) را برای اطلاعات شرکت در نظر گرفته و گفته تجربه تلخ مذاکره بینتیجه با تپسی باعث شده این بار بدون مذاکره با شرکت اطلاعات را برای فروش قرار بدهند. این گروه هکری برای اثبات ادعای خود مبنی بر در دست داشتن اطلاعات اسنپ فود، بخشهایی از اطلاعات خرید، کامنتها، اطلاعات شخصی مشتریان را در فایل زیپشدهای در شبکه مگا منتشر کرده است.
اسنپ فود گفته «این گروه هکری پیش از مذاکره با اسنپفود اقدام به فروش اطلاعات کرده و شرکت اسنپفود حداکثر تلاش خود را برای جلوگیری از انتشار دادههای کاربران، از طریق مذاکره با این گروه هکری، خواهد کرد.»
محمدجواد آذریجهرمی وزیر سابق ارتباطات فرضیه عجیبی مطرح کرده و گفته «بخش مهمی از این رخدادها از نارضایتی نیروهای انسانی نشات میگیرد»؛ منظور آذری جهرمی از این عبارت این است که شاید اطلاعات اسنپ فود الزاما در یک فرآیند پیچیده مورد سرقت قرار نگرفته بلکه نیروهای انسانی ناراضی این شرکت اقدام به درز اطلاعات به یک گروه هکری کردهاند.
گزارشهای دیگری درباره اسنپ
اعتراضات کارگری در اسنپ / چرا کارگران پیک اسنپ فود اعتصاب کردند؟
چرا اسنپ نسبت به اعتراضات مستمر رانندگان بیاعتناست؟
مرجع قانونگذاری در استارتاپهای اینترنتی چه کسی است؟
اسنپ دسترسی رانندگان را بست / قطع همکاری، شرط ادامه همکاری
گروه هکری IRLeaks فهرست اطلاعاتی که از هک سامانههای اسنپ فود به دست آورده منتشر کرده است. بر اساس ادعای این گروه هکری به طور خلاصه موارد زیر در اختیار آنها برای فروش قرار گرفته است.
اطلاعات بیش از ۲۰ میلیون کاربر شامل: نام کاربری، پسورد، ایمیل، نام و نام خانوادگی، شماره موبایل، تاریخ تولد و ...
اطلاعات بیش از ۵۱ میلیون آدرس کاربر شامل: موقعیت GPS، آدرس کامل، شماره تلفن و ...
اطلاعات بیش از ۱۸۰ میلیون دستگاه همراه شامل: نوع و مدل دستگاه، پلتفرم، توکن، فروشگاه نصب برنامه و ...
اطلاعات بیش از ۳۶۰ میلیون سفارش شامل: آیپی سفارش دهنده، آدرس دریافتی، تلفن دریافتی، شهر، مدت زمان دریافت، اسامی، مشخصات فروشگاه، قیمت، محصول و ...
اطلاعات بیش از ۳۵ هزار پیک شامل: نام، نام خانوادگی، شماره تماس، کد ملی، شهر و ...
اطلاعات بیش از ۶۰۰ هزار پرداخت سفارش شامل: نام کامل صاحب کارت، نام کامل مشتری، شماره تماس، شماره کارت، نام بانک و ...
اطلاعات بیش از ۱۶۰ میلیون سفر انجام شده توسط پیک شامل: نام کامل مبدا و مقصد، آدرس مبدا و مقصد، تلفن مبدا و مقصد، موقعیت جغرافیایی مبدا و مقصد، تاریخ و ...
اطلاعات بیش از ۲۴۰ هزار Vendor شامل: نام کامل، آدرس، تلفن، ایمیل، موقعیت مکانی GPS، نام مدیریت مجموعه و ..
اطلاعات بیش از ۸۸۰ میلیون سفارش محصول
از آنجایی که یکی از مهمترین اطلاعات ثبتی افراد در هر اپلیکیشنی، اطلاعات بانکی آنهاست و گروه هکری IRLeaks هم مدعی شده اطلاعات پرداخت مشتریان را در اختیار دارد، این نگرانی وجود دارد که هکرها به حسابهای بانکی افراد دستبرد بزنند. اسنپفود این نگرانی را برطرف کرده و در بیانیه خود گفته «کلیه اطلاعات پرداخت بانکی کاربران، اعم از اطلاعات مربوط به کد امنیتی کارت (CCV)، رمز عبور و تاریخ انقضا، در امنیت کامل قرار دارد و این اطلاعات مطابق مقررات بانک مرکزی در هیچ یک از پلتفرمها ذخیره نمیشود.»
تجربه نشان داده وقتی یک نفر در ایران به شما میگوید «نگران نباشید»، حتما باید نگران باشید! در نخستین مسئله اینکه همچنان یک خطر کاربران اسنپفود را تهدید میکند و آن وارد شدن هیستوری سفارش جعلی در حساب کاربری افراد است. در حال حاضر اسنپ سامانهای تحت عنوان «اسنپ پی» را در اختیار کاربران خود قرار داده و به این ترتیب به کاربران اجازه داده خریدهای خود را از تمام پلتفرمهای این شرکت به صورت اعتباری انجام دهند و خریدهای خود را آخر هر ماه تسویه کنند. در صورتی که ادعای هکرها در مورد در دست داشتن نام کاربری و پسورد کاربران درست باشد، این احتمال وجود دارد که رکورد جعلی وارد اکانت کاربران شود.
یکی از بزرگترین هکهای اپلیکیشنهای ارسال غذا، مربوط به اپلیکیشن معروف «DoorDash» است. این اپلیکیشن که در بازارهای آمریکا و کانادا فعال بود، ماه می سال ۲۰۱۹ هک شد و اطلاعات مشتریان به دست هکرها افتاد اما جالب است بدانید ابعاد ماجرای اسنپ فود از DoorDash هم وسیعتر است. بر اساس اطلاعیههای سال ۲۰۱۹، اطلاعات نزدیک به ۵ میلیون اکانت اپلیکیشن «DoorDash» شامل نام، آدرس ایمیل، آدرسهای ارسال، هیستوری سفارشها، شمارههای تماس، پسوردها و چهاررقم آخر شماره کارت اعتباری کاربران به دست هکرها افتاده بود. مجموع این اطلاعات از اطلاعاتی که به دست هکرهای اسنپ فود رسیده کمتر است.
بعد از افشای هک «DoorDash» کارشناسان به کاربران این اپلیکیشن ارسال غذا پیشنهاد کردند اگر از پسورد مشترکی با پسورد اکانت اپلیکیشن در سایر شبکههایشان استفاده میکنند بهتر است پسوردشان را عوض کنند.
مارس ۲۰۲۰، سرویس تحویل آلمانی Takeaway.com با بیش از ۱۵ هزار رستوران کار میکرد، مورد حمله هکرها قرار گرفت. هکرها به طور موقت دسترسی به این سرویس را مسدود کرده و سرویس آنلاین را از دسترس کاربران خارج کرده و درخواست دو بیت کوین به ارزش ۱۱ هزار دلار را مطرح کردند. اکتبر همان سال، Chowbus که به صدها هزار مشتری در استرالیا، کانادا و ایالات متحده مورد حمله هکرها قرار گرفت.
اپلیکیشنهای سفارش غذا در دنیا یکی از بزرگترین بانکهای داده بعد از اپلیکیشنهای شبکههای اجتماعی را در بین اپلیکیشنهای خدماتی در اختیار دارند. این اپلیکیشنها علاوه بر دادههای شخصی نظیر نام و نام خانوادگی، شماره تماس، آدرس خانه و محل کار، جنسیت، دادههای بانکی و نوع تلفن همراه یا دستگاه کامپیوتر، اطلاعاتی در مورد سلیقه غذایی و ساعات سفارش غذای مشتریان هم در اختیار دارند. فروش اطلاعات کاربران یکی از مهمترین منابع درآمدی صاحبان کسب و کارهای آنلاین به ویژه شرکتهای بزرگ شبکههای اجتماعی و اپلیکیشنهای خدماتی است.
یک نظریه وجود دارد که میگوید این شرکتها عمده درآمدشان از فروش اطلاعات کاربران به کسب و کارها برای تبلیغات هدفمند است. تبلیغات هدفمند همان تبلیغاتی است که شما را شوکه میکند. تبلیغ کالاها یا خدماتی که به زعم شما تنها از فکر شما عبور کرده و ناگهان پیام آن در تلفن همراه شما ظاهر میشود.
یکی از خریداران بالقوه اطلاعات اسنپ فود میتواند رقیب این اپلیکیشن در بازار باشد. بازار غذای ایران رقابتی نیست و در حال حاضر اسنپ با بیش از ۶۳ میلیون کاربر تقریبا یک اپلیکیشن بدون رقیب در ایران است. پیش از این اپلیکیشن قوی چلیوری به صورت ناگهانی بازار را ترک کرد؛ با اینحال بررسیهای دیگر نشان میدهد گروه گلرنگ قصد دارد با مجموعه افود (oFood) وارد حوزه سفارش غذا شود. این مجموعه قرار است از همان ابتدای فعالیت خود امکان سفارش غذا، شیرینی و سوپرمارکت را فراهم کند. هلدینگ گلرنگ از دید کارشناسان یکی از مشتریان بالقوه اطلاعات اسنپ فود است.
یکی دیگر از خریداران بالقوه اطلاعات اسنپ فود، سرویسهای جاسوسی در سراسر جهان است. گروه هکری IRLeaks پیشتر به دادههای چندین شرکت بیمهای و دادههای تپسی دسترسی پیدا کرده است. مجموع اطلاعات به دست آمده از هر سه هک بزرگ این گروه میتواند برای آژانسهای جاسوسی جذاب باشد.
سرهنگ رامین پاشایی معاون اجتماعی پلیس فتا در پاسخ به سوال رویداد۲۴ درمورد احتمال خریداری شدن اطلاعات اسنپ فود توسط شرکتهای رقیب در داخل کشور گفته «سوءاستفاده از هر دیتایی بدون اجازه، جرم است.»