ماجرای هک اسنپ فود چیست؟

رویداد۲۴ لیلا فرهادی: شب گذشته خبر درز اطلاعات ۲۰ میلیون کاربر اسنپ فود توسط یک گروه هکری منتشر شد. صبح روز یکشنبه اسنپ فود در شبکه‌های اجتماعی خود خبر را تایید و اعلام کرد که «این شرکت در همکاری با پلیس فتا در حال شناسایی و رفع منبع آلودگی ناشی از اقدام این گروه هکری است و مسئولیت این اتفاق را می‌پذیرد و حتما بررسی دقیقی در مورد دلایل وقوع آن انجام خواهد داد.»

هکرها به سایت خبری «دیجیاتو» اعلام کرده‌اند که هک را به اسنپ فود اطلاع نداده و مستقیما اطلاعات را برای فروش گذاشته است. دلیل آن تجربه مذاکره با تپسی اعلام شده است. هکر‌ها به دیجیاتو گفته‌اند «پس از ماجرای تپسی تصمیم گرفتیم با هیچ شرکتی در آینده مذاکره نکنیم.» اما ماجرا چیست و منظور هکر‌ها از تجربه قبلی چه بوده است؟

هکر اسنپ کیست؟

گروه هکری موسوم به IRLeaks جولای امسال برای اولین بار اعلام حضور کرده و ورودش به بازار علنی هک با نفوذ به چندین سایت مهم ایرانی و اقدام به فروش اطلاعات آن‌ها بوده است. این گروه هکری اولین بار اطلاعات بیمه‌های آسیا، رازی، سینا و حافظ با مجموع بیش از ۴۳ میلیون اطلاعات شامل، نام، نام خانوادگی، تاریخ تولد، نام پدر، شماره تلفن/موبایل، شماره شناسنامه، کد ملی، کد ملی شرکت را در فهرست فروش قرار داد و برای خرید اطلاعات، آی‌دی ادمین گروه هکری را در یک کانال تلگرامی اعلام کرد.

در همین تاریخ یعنی یازدهم جولای (۲۰ تیر) گروه هکری IRLeaks وب‌سایت کمیته امداد را هک کرد و پیام «هک شده توسط IRLeaks» را روی خروجی سایت قرار داد تا به این ترتیب اعلام موجودیت کرده و فروش اطلاعات بیمه‌ها را تسریع کند. این گروه هکری برای اطلاعات شرکت‌های بیمه‌ای رقم‌هایی بین ۱۰۰۰ تا ۱۰ هزار دلار قیمت تعیین کرده بود.

یک ماه بعد فهرست جدیدی از چندین شرکت بیمه‌ای توسط گروه هکری IRLeaks در کانال تلگرانی این گروه قرار گرفت که نشان می‌داد اطلاعات این شرکت‌ها نیز هک شده است. بر اساس فهرست فروش گروه هکری IRLeaks مجموعا ۱۱۵ میلیون رکورد اطلاعات به قیمت ۸۱ هزار دلار برای فروش گذاشته شده بود. جالب اینجاست که گروه هکری برای خریدار عمده تحفیف ویژه هم در نظر گرفته بود و قیمت ۷۵ هزار دلار را به خریدار ویژه اختصاص داده بود.

یک ماه بعد اقدام بعدی گروه کلید خورد و اطلاعات بیش از ۲۷ میلیون مسافر شرکت تپسی شامل نام، نام خانوادگی، شماره همراه، شهر و بعضا ایمیل و اطلاعات بیش از ۶ میلیون راننده شامل نام، نام خانوادگی، کد ملی، شهر، شماره همراه به دست این گروه هکری افتاد. ظاهرا علنی شدن خبر هک تپسی بعد از دو هفته مذاکره بی‌نتیجه شرکت تپسی با هکر‌ها و خشم هکر‌ها از عدم پرداخت هزینه اطلاعات اتفاق افتاده بود.

«میلاد منشی‌پور» مدیرعامل تپسی خبر هک شدن اطلاعات شرکت را تایید کرد و در توییتر خود نوشت «طی روز‌های گذشته متوجه دسترسی غیرمجاز به زیرساخت شرکت تپسی و برداشت بخشی از اطلاعات شدیم. به محض کشف این موضوع، ضمن ثبت شکایت، پلیس را در جریان قرار دادیم و راه دسترسی آن‌ها را بستیم.»

گروه هکری IRLeaks به بیانیه مدیرعامل تپسی واکنش نشان داد و در کانال تلگرامی خود نوشت: «فروش دیتا در پی بی‌مسئولیتی شرکت تپسی در حفظ اطلاعات مشتریان خود می‌باشد.» این گروه در ادامه به عدم همکاری شرکت تپسی در پرداخت قیمت مطرح شده برای اطلاعات شرکت اشاره کرد و نوشت «این شرکت حاضر به پرداخت هیچ هزینه‌ای نشد و این بدین معناست که آن‌ها برای اطلاعات شما کوچکترین اهمیتی قائل نیستند.»

IRLeaks خطاب به مدیرعامل تپسی اخطار داده بود که در صورتی‌که مبلغ را پرداخت نکند عواقب جبران‌ناپذیری برای آن‌ها خواهد داشت و نوشت: «بعد ۲ هفته مذاکره بی‌نتیجه با شما و پس از اینکه ما موضوع را عمومی کردیم، دیدید اوضاع خراب است، ژست مسئولیت‌پذیری به خود گرفتید و توییت می‌زنید؟ خسته نشی یه وقت دلاور.»

حال بعد از گذشت چهار ماه اتفاق بعدی رقم خورده و اطلاعات بیش از ۲۰ میلیون کاربر اسنپ فود در اختیار همان گروه هکری قرار گرفته است. IRLeaks این بار رقم ۳۰ هزار دلار (معادل یک میلیارد و ۵۰۰ میلیون تومان) را برای اطلاعات شرکت در نظر گرفته و گفته تجربه تلخ مذاکره بی‌‎نتیجه با تپسی باعث شده این بار بدون مذاکره با شرکت اطلاعات را برای فروش قرار بدهند. این گروه هکری برای اثبات ادعای خود مبنی بر در دست داشتن اطلاعات اسنپ فود، بخش‌هایی از اطلاعات خرید، کامنت‌ها، اطلاعات شخصی مشتریان را در فایل زیپ‌شده‌ای در شبکه مگا منتشر کرده است.

اسنپ فود گفته «این گروه هکری پیش از مذاکره با اسنپ‌فود اقدام به فروش اطلاعات کرده و شرکت اسنپ‌فود حداکثر تلاش خود را برای جلوگیری از انتشار داده‌های کاربران، از طریق مذاکره با این گروه هکری، خواهد کرد.»

محمدجواد آذری‌جهرمی وزیر سابق ارتباطات فرضیه عجیبی مطرح کرده و گفته «بخش مهمی از این رخداد‌ها از نارضایتی نیرو‌های انسانی نشات می‌گیرد»؛ منظور آذری جهرمی از این عبارت این است که شاید اطلاعات اسنپ فود الزاما در یک فرآیند پیچیده مورد سرقت قرار نگرفته بلکه نیروهای انسانی ناراضی این شرکت اقدام به درز اطلاعات به یک گروه هکری کرده‌اند.

گزارش‌های دیگری درباره اسنپ

اعتراضات کارگری در اسنپ / چرا کارگران پیک اسنپ فود اعتصاب کردند؟

چرا اسنپ نسبت به اعتراضات مستمر رانندگان بی‌اعتناست؟

مرجع قانون‌گذاری در استارتاپ‌های اینترنتی چه کسی است؟

اسنپ دسترسی رانندگان را بست / قطع همکاری، شرط ادامه همکاری

کدام اطلاعات مشتریان اسنپ به فروش رفته است؟

گروه هکری IRLeaks فهرست اطلاعاتی که از هک سامانه‌های اسنپ فود به دست آورده منتشر کرده است. بر اساس ادعای این گروه هکری به طور خلاصه موارد زیر در اختیار آن‌ها برای فروش قرار گرفته است.

اطلاعات بیش از ۲۰ میلیون کاربر شامل: نام کاربری، پسورد، ایمیل، نام و نام خانوادگی، شماره موبایل، تاریخ تولد و ...

اطلاعات بیش از ۵۱ میلیون آدرس کاربر شامل: موقعیت GPS، آدرس کامل، شماره تلفن و ...

اطلاعات بیش از ۱۸۰ میلیون دستگاه همراه شامل: نوع و مدل دستگاه، پلتفرم، توکن، فروشگاه نصب برنامه و ...

اطلاعات بیش از ۳۶۰ میلیون سفارش شامل: آی‌پی سفارش دهنده، آدرس دریافتی، تلفن دریافتی، شهر، مدت زمان دریافت، اسامی، مشخصات فروشگاه، قیمت، محصول و ...

اطلاعات بیش از ۳۵ هزار پیک شامل: نام، نام خانوادگی، شماره تماس، کد ملی، شهر و ...

اطلاعات بیش از ۶۰۰ هزار پرداخت سفارش شامل: نام کامل صاحب کارت، نام کامل مشتری، شماره تماس، شماره کارت، نام بانک و ...

اطلاعات بیش از ۱۶۰ میلیون سفر انجام شده توسط پیک شامل: نام کامل مبدا و مقصد، آدرس مبدا و مقصد، تلفن مبدا و مقصد، موقعیت جغرافیایی مبدا و مقصد، تاریخ و ...

اطلاعات بیش از ۲۴۰ هزار Vendor شامل: نام کامل، آدرس، تلفن، ایمیل، موقعیت مکانی GPS، نام مدیریت مجموعه و ..

اطلاعات بیش از ۸۸۰ میلیون سفارش محصول

آیا بعد از هک اسنپ فود باید نگران حساب بانکی‌هایمان باشیم؟

از آنجایی که یکی از مهمترین اطلاعات ثبتی افراد در هر اپلیکیشنی، اطلاعات بانکی آنهاست و گروه هکری IRLeaks هم مدعی شده اطلاعات پرداخت مشتریان را در اختیار دارد، این نگرانی وجود دارد که هکر‌ها به حساب‌های بانکی افراد دستبرد بزنند. اسنپ‌فود این نگرانی را برطرف کرده و در بیانیه خود گفته «کلیه اطلاعات پرداخت بانکی کاربران، اعم از اطلاعات مربوط به کد امنیتی کارت (CCV)، رمز عبور و تاریخ انقضا، در امنیت کامل قرار دارد و این اطلاعات مطابق مقررات بانک مرکزی در هیچ یک از پلتفرم‌ها ذخیره نمی‌شود.»

تجربه نشان داده وقتی یک نفر در ایران به شما می‌گوید «نگران نباشید»، حتما باید نگران باشید! در نخستین مسئله اینکه همچنان یک خطر کاربران اسنپ‌فود را تهدید می‌کند و آن وارد شدن هیستوری سفارش جعلی در حساب کاربری افراد است. در حال حاضر اسنپ سامانه‌ای تحت عنوان «اسنپ پی» را در اختیار کاربران خود قرار داده و به این ترتیب به کاربران اجازه داده خرید‌های خود را از تمام پلتفرم‌های این شرکت به صورت اعتباری انجام دهند و خرید‌های خود را آخر هر ماه تسویه کنند. در صورتی که ادعای هکر‌ها در مورد در دست داشتن نام کاربری و پسورد کاربران درست باشد، این احتمال وجود دارد که رکورد جعلی وارد اکانت کاربران شود.

چه کسی اطلاعات اسنپ فود را از هکر‌ها خریده است؟

یکی از بزرگترین هک‌های اپلیکیشن‌های ارسال غذا، مربوط به اپلیکیشن معروف «DoorDash» است. این اپلیکیشن که در بازار‌های آمریکا و کانادا فعال بود، ماه می سال ۲۰۱۹ هک شد و اطلاعات مشتریان به دست هکر‌ها افتاد اما جالب است بدانید ابعاد ماجرای اسنپ فود از DoorDash هم وسیع‌تر است. بر اساس اطلاعیه‌های سال ۲۰۱۹، اطلاعات نزدیک به ۵ میلیون اکانت اپلیکیشن «DoorDash» شامل نام، آدرس ایمیل، آدرس‌های ارسال، هیستوری سفارش‌ها، شماره‌های تماس، پسورد‌ها و چهاررقم آخر شماره کارت اعتباری کاربران به دست هکر‌ها افتاده بود. مجموع این اطلاعات از اطلاعاتی که به دست هکر‌های اسنپ فود رسیده کمتر است.

بعد از افشای هک «DoorDash» کارشناسان به کاربران این اپلیکیشن ارسال غذا پیشنهاد کردند اگر از پسورد مشترکی با پسورد اکانت اپلیکیشن در سایر شبکه‌هایشان استفاده می‌کنند بهتر است پسوردشان را عوض کنند.

مارس ۲۰۲۰، سرویس تحویل آلمانی Takeaway.com با بیش از ۱۵ هزار رستوران کار می‌کرد، مورد حمله هکر‌ها قرار گرفت. هکر‌ها به طور موقت دسترسی به این سرویس را مسدود کرده و سرویس آنلاین را از دسترس کاربران خارج کرده و درخواست دو بیت کوین به ارزش ۱۱ هزار دلار را مطرح کردند. اکتبر همان سال، Chowbus که به صد‌ها هزار مشتری در استرالیا، کانادا و ایالات متحده مورد حمله هکر‌ها قرار گرفت.

اپلیکیشن‌های سفارش غذا در دنیا یکی از بزرگترین بانک‌های داده بعد از اپلیکیشن‌های شبکه‌های اجتماعی را در بین اپلیکیشن‌های خدماتی در اختیار دارند. این اپلیکیشن‌ها علاوه بر داده‌های شخصی نظیر نام و نام خانوادگی، شماره تماس، آدرس خانه و محل کار، جنسیت، داده‌های بانکی و نوع تلفن همراه یا دستگاه کامپیوتر، اطلاعاتی در مورد سلیقه غذایی و ساعات سفارش غذای مشتریان هم در اختیار دارند. فروش اطلاعات کاربران یکی از مهمترین منابع درآمدی صاحبان کسب و کار‌های آنلاین به ویژه شرکت‌های بزرگ شبکه‌های اجتماعی و اپلیکیشن‌های خدماتی است.

یک نظریه وجود دارد که می‌گوید این شرکت‌ها عمده درآمدشان از فروش اطلاعات کاربران به کسب و کار‌ها برای تبلیغات هدفمند است. تبلیغات هدفمند همان تبلیغاتی است که شما را شوکه می‌کند. تبلیغ کالا‌ها یا خدماتی که به زعم شما تنها از فکر شما عبور کرده و ناگهان پیام آن در تلفن همراه شما ظاهر می‌شود.

یکی از خریداران بالقوه اطلاعات اسنپ فود می‌تواند رقیب این اپلیکیشن در بازار باشد. بازار غذای ایران رقابتی نیست و در حال حاضر اسنپ با بیش از ۶۳ میلیون کاربر تقریبا یک اپلیکیشن بدون رقیب در ایران است. پیش از این اپلیکیشن قوی چلیوری به صورت ناگهانی بازار را ترک کرد؛ با این‌حال بررسی‌های دیگر نشان می‌دهد گروه گلرنگ قصد دارد با مجموعه افود (oFood) وارد حوزه سفارش غذا شود. این مجموعه قرار است از همان ابتدای فعالیت خود امکان سفارش غذا، شیرینی و سوپرمارکت را فراهم کند. هلدینگ گلرنگ از دید کارشناسان یکی از مشتریان بالقوه اطلاعات اسنپ فود است.

یکی دیگر از خریداران بالقوه اطلاعات اسنپ فود، سرویس‌های جاسوسی در سراسر جهان است. گروه هکری IRLeaks پیشتر به داده‌های چندین شرکت بیمه‌ای و داده‌های تپسی دسترسی پیدا کرده است. مجموع اطلاعات به دست آمده از هر سه هک بزرگ این گروه می‌تواند برای آژانس‌های جاسوسی جذاب باشد.

سرهنگ رامین پاشایی معاون اجتماعی پلیس فتا در پاسخ به سوال رویداد۲۴ درمورد احتمال خریداری شدن اطلاعات اسنپ فود توسط شرکت‌های رقیب در داخل کشور گفته «سوءاستفاده از هر دیتایی بدون اجازه، جرم است.»