واکاوی ماجرای هک اسنپ‌فود و افشای اطلاعات کاربران بر پایه قوانین GDPR

با گسترش پلتفرم‌های دیجیتال، مدیریت اطلاعات بیشتر از هر زمان فرد دیگر اهمیت یافته است؛ چون داده‌های شخصی درواقع کالایی مورد قیمت در دنیای دیجیتال امروزی محسوب خواهد شد. بااین‌حال، اتفاقاتی همانند بی‌دقتی شرکت‌ها، خطای انسانی و تأخیر در پاسخگویی و جرایم سایبری به این معنی است که از این داده‌ها آن‌طور که بایدوشاید محافظت نمی‌بشود و این عدم حفاظت و امنیت داده امکان پذیر علاوه بر لکه‌دار شدن اعتبار شرکت‌ها و کسب‌وکارهای دیجیتال، تبدیل خسارات مالی شدید، از دست دادن حریم خصوصی و صدمه‌های عاطفی و‌ جسمی بشود.

بر پایه تحقیقات مؤسسه Check Point، در سال ۲۰۲۲ نزدیک به ۹.۱ میلیارد دعوا سایبری شناسایی شد که نشان‌دهنده افزایش ۳۸ درصدی نسبت به سال ۲۰۲۱ است. این روال در سال ۲۰۲۳ نیز ادامه داشت و در این سال تقریباً ۱۰.۸ میلیارد دعوا سایبری شناسایی شدند. در طول سه ماهه چهارم سال ۲۰۲۲، نزدیک به ۲۸ درصد از حملات سایبری در سراسر جهان موسسات مالی را مقصد قرار دادند. علاوه بر این، سرویس‌های نرم‌افزاری مبتنی بر وب و webmail تقریباً ۱۸ درصد، رسانه‌های اجتماعی با نزدیک به ۱۰ درصد و تدارکات/حمل‌و‌نقل ۹ درصد از حملات ثبت شده را به خود تعلق داده‌اند؛ دیگر موارد را می‌توانید در نمودار زیر ببینید.

به این علت امنیت سایبری به گفتن یکی از با اهمیت ترین مسائل عصر دیجیتال آن قدر اهمیت یافته که گسترش کسب‌ و کارها و حریم خصوصی افراد به آن گره خورده است. به همین جهت در جهان دولت‌ها به وضع قوانین و عمل های تنظیم‌گرانه مرتبط روی آورده‌اند به گفتن مثال بر پایه گزارش ۲۰۲۱ سازمان ملل، ۱۳۷ سرزمین از ۱۹۴ سرزمین قوانین یکپارچه‌ای را برای حفاظت از داده‌ها و حریم خصوصی وضع کرده‌اند و از ۲۰۲۱ تا ۲۰۲۳ هفده سرزمین دیگر به این تعداد افزوده شده است. اکثریت این کشورها از مقررات عمومی حفاظت از داده‌ها (GDPR) اتحادیه اروپا الگو گرفته‎‌اند و با نگاهی به این قوانین و مقررات و بازدید الزامات امنیت سایبری آن‌ها، ضمن فهمیدن تفاوت‌های جزئی می‌توان این قوانین را به دو دسته مقررات و عمل های پیشگیرانه و برخوردهای اصلاحی تقسیم کرد که نهادهای متولی با تعریف مسئولیت اشکار تفکیک شده‌اند. عمل های پیشگیرانه شامل پروتکل‌ها و الزامات امنیتی و استانداردهای فنی و برخوردهای اصلاحی شامل جریمه، عمل های آموزشی، جبران خسارت و… می‌بشود.

اما در ایران با وجود نهادهای سیاستگذار و تقنینی چون مرکز ملی فضای مجازی و مجلس شورای اسلامی علی‌رغم وجود مقررات جزیره‌ای، نه تنها قانون یکپارچه‌ای در این باره تصویب نشده بلکه فعالیت در حوزه امنیت سایبری در سرزمین با تعدد اختیارات مراکز مختلفی همانند مرکز ماهر زیر نظر وزارت ارتباطات، پلیس فتا، مرکز افتا ریاست جمهوری، سازمان پدافند غیر عامل و … روبروست و تا این مدت اشکار نیست که متولی مهم امنیت سایبری در لایه های گوناگون در سرزمین کدام نهاد و یا دستگاه است.

به این علت تعریف مسئولیت نهادهای مرتبط و تنظیم مقررات پیشگرانه و الزامات امنیت سایبری در یک قانون یکپارچه یکی از با اهمیت ترین برتری‌های سرزمین است؛ اما در ادامه این نوشتار با دقت به دعوا سایبری تازه به اسنپ فود و هک حجم عظیمی از داده‌های شخصی کاربران، به بازدید این نوشته خواهیم پرداخت که چنان چه پلتفرم دیجیتالی در یکی از کشورهای اروپایی با این حجم از نقض داده‌ها (Data Breaches) روبرو می‌شد مطابق مقررات (GDPR) مشمول چه برخوردهای اصلاحی می‌گردید.

اخیرا نیز گروه هکری IRLeaks که در تابستان ۱۴۰۱ اطلاعات کاربران شرکت تاکسی اینترنتی تپسی را هک کرده می بود، در ۹ دی ۱۴۰۲ با اراعه مثالهایی، خبرداد که اطلاعات بیشتر از ۲۰ میلیون کاربر و ۸۸۰ میلیون خواست شرکت اسنپ فود را که در حوزه خواست آنلاین غذا در ایران فعالیت می‌کند، پیدا کرده است. هرچند اسنپ فود به کاربران مطمعن داده که اطلاعات بانکی و پرداختی آن‌ها در امنیت کامل است ولی داده‌های هک شده از کاربران شامل نام کاربری، رمزعبور، ایمیل، نام و نام خانوادگی، شماره موبایل، تاریخ تولد و غیره است و نیز اطلاعات بیشتر از ۵۱ میلیون آدرس کاربران شامل موقعیت GPS، آدرس کامل، شماره تلفن و غیره و این چنین اطلاعات بیشتر از ۱۸۰ میلیون گوشی هوشمند و تبلت مورد منفعت گیری کاربران شامل: نوع و مدل، پلتفرم، توکن، فروشگاه نصب برنامه و… است. این حجم از اطلاعات در ابعاد گوناگون که برخی از آن‌ها در فضای مجازی انتشار شد در کمترین حالت مسائل حیثیتی و در بیشترین حد ممکن تبعات امنیتی برای این کاربران در پی خواهد داشت.

بر پایه مقررات حفاظت از داده های عمومی (GDPR)، مجازات‌های نقض داده‌های شخصی از یک پلتفرم دیجیتال بسته به ماهیت، شدت نقض و زمان تخلف می‌تواند متفاوت باشد. GDPR به مقامات نظارتی در هر سرزمین عضو اتحادیه اروپا اجازه می‌دهد تا جریمه‌های اداری را برای عدم مراعات مفاد آن اعمال کنند. جرایم اداری در دو ردیف به شرح زیر طبقه‌بندی می‌بشود:

تخلفات سطح پایین

عموماً این تخلفات مربوط به ترتیبات اداری بوده و عواقب منفی و خطر قابل توجهی برای حریم خصوصی داده‌ها تشکیل نمی‌کند. جرایم این سطح عموماً برای نقض‌های کمتر شدید، همانند عدم انتصاب مامور حفاظت از داده‌ها (DPO)، عدم نگهداری اسبق فعالیت‌های پردازشی، یا عدم انجام برسی تأثیر حفاظت از داده‌ها (DPIA) در صورت لزوم اعمال می‌بشود. بنابر بازدید مثالها انجام شده مشخص می کند، آخرین نمونه اطلاعات نقض شده در اسنپ فود مربوط به تاریخ ۱۰ دسامبر  یا ۲۰۲۳ (۱۹ آذر ۱۴۰۲) است. با دقت به زمان علنی شدن این نقض داده‌ها توسط گروه هکری این نوشته به گمان زیاد می‌تواند حاکی از آن باشد که اطلاعات نزدیک به ۲۰ روز سریعتر از اسنپ فود استخراج شده است. فارغ از این که علت تعلل طویل اسنپ فود در اعلان این اتفاق چه بوده، عملا زمان بسیاری این قضیه از نظر کاربرانی که داده‌های آن‌ها مورد دعوا قرار گرفته و گمان زیاد مقامات نظارتی همانند پلیس فتا نهان مانده و چنان‌چه اسنپ فود در اروپا فعال می بود مطابق GDPR در صورت نقض داده و عدم گزارش تخلف صورت گرفته طی ۷۲ ساعت به مقامات وابسته و کاربران مورد مقصد، مشمول به جریمه‌ای تا سقف ۱۰ میلیون یورو یا ۲ درصد از گردش مالی سالانه (جهانی) سال مالی، (هر کدام که زیاد تر باشد) می‌شد. همین اتفاق در نوامبر ۲۰۲۲ برای شرکت متا به علت نقض حفاظت از داده‌ها و تاخیر در اعلان به موقع کاربران افتاد و مشمول ۲۶۵ میلیون یورو جریمه گردید.

 تخلفات سطح بالا

همان طور که حرف های شد مقامات نظارتی زمان تعیین جریمه‌ها عوامل مختلفی (از جمله تعداد کاربر و تعداد داده) را در نظر می‌گیرند و جریمه نقض‌های سطح بالا یا سطح ۲ قابل دقت است چون مستقیما بر حریم خصوصی آنلاین تأثیر می‌گذارند. این ردیف برای تخلفات جدی‌تر، از جمله نقض اصول مهم پردازش داده‌های شخصی، نقض حقوق افراد و رضایت کاربران و عدم اجرای عمل های فنی و سازمانی مناسب برای ضمانت امنیت داده‌ها قابل اعمال است. به گفتن مثال با معیار قراردادن تعداد کاربران مورد دعوا سایبری قرار گرفته در اسنپ فود، دو پلتفرم Tigo (چت تصویری) با نقض داده‌های شخصی بیشتر از ۷۰۰۰۰۰ کاربر و PeopleConnect (پشتیبان خدماتی) نزدیک به ۲۰ میلیون نفر در سال ۲۰۲۳ هر کدام بیشتر از ۱۰۰ میلیون دلار و British Airways (پلتفرم مسافرتی و حمل و نقل هوایی) در ۲۰۱۸، بیست میلیون یورو جریمه شده‌اند. به طور کلی اسنپ فود با نقض داده بیشتر از ۲۰ میلیون کاربر مطابق مقررات GDPR در راستای تامین منفعت عمومی مشمول جریمه‌ای تا ۲۰ میلیون یورو یا ۴ درصد از گردش مالی سالانه {جهانی} سال مالی، (هر کدام که زیاد تر باشد) می‌گردد.

 عمل های حقوقی توسط کاربران

علی‌رغم جرایم اداری که گفتن شد و در راستای منفعت عمومی اعمال می‌بشود، مطابق الزامات GDPR اشخاصی که از نقض داده‌ها تحت تأثیر قرار می‌گیرند این حق را دارند که برای خسارات ناشی از نقض با داشتن ادله کافی، مستقیما از پلتفرم خواست غرامت نمایند و در صورت عدم توافق می‌توانند علیه پلتفرم به علت عدم محافظت از داده‌های شخصی و مبتنی بر نوع خسارت (که در جدول ۱) آمده به دادگاه شکایت کنند. مطابق قانون کاربران تا ۶ سال از آخرین زمان نقض اطلاعات شخصی خود حق شکایت دارند. جریمه ۷۴۶ میلیون یورویی آمازون در ۲۰۲۱ به علت شکایت ۱۰۰۰۰ نفر علیه آمازون در سال ۲۰۱۸ یکی از مثالهای نقل منفعت گیری از این حق در اروپا می‌باشد.

با دقت به این که مطابق الزامات بانک مرکزی، ذخیره داده‌های مالی کاربران در مرکز داده پلتفرم ممنوع است، گمان آنکه داده‌‎های درز کرده اسنپ‌فود شامل این داده‌ها باشد، زیاد کم است. اما با دقت به گستردگی داده‌ها، اکثر داده‌های شخصی در این نقض داده وجود داشته‌اند و چنانچه اسنپ‌فود مشمول GDPR می بود، تا ۶ سال آینده کاربران متضرر می‌توانستند با اراعه مستند به دادگاه‌ها، در جهت احقاق حقوق خود عمل و مطابق جدول ۱ مطالبه خسارت نمایند. در آخر، بر پایه مقررات GDPR، اسنپ‌فود باید کلیه نیروهای خود را ملزم به شرکت در کمپین (دوره آموزشی) همانند‌سازی فیشینگ کند تا آن‌ها در صورت قبولی، گواهی‌نامه مجدد دریافت کنند.

متأسفانه آمار شفافی از گردش مالی اسنپ‌فود در دسترس نیست و آمارهای غیر‌رسمی مختلفی وجود دارد. اما مطابق یک محاسبه حداقلی، چنانچه فکر کنیم اسنپ‌فود ۱۰۰ هزار خواست ۱۰۰ هزار تومانی در هر روز ثبت کند، گردش مالی این پلتفرم در طول سال نزدیک به ۳.۶۵ هزار میلیارد تومان خواهد می بود و با فکر کمیسیون ۱۰ تا ۱۵ درصدی، درآمد سالانه آن بین ۳۵۰ تا ۵۵۰ میلیارد تومان محاسبه می‌بشود. به این علت با فکر آنکه طی ۶ سال آینده، کاربری از اسنپ‌فود شکایت نکند، مطابق GDPR با دقت به آنکه اسنپ‌فود مشمول هر دو نوع تخلف اداری سطح پایین و بالا شده است، باید ۶ درصد این درآمد را به‌گفتن جریمه بپردازد که حدوداً شامل ۳۰ میلیارد تومان می‌بشود. همان گونه که پیش‌تر گفتیم، نیاز به عمل های اساسی‌تر برای حفاظت از داده‌های شهروندان به‌شدت حس می‌بشود.