حریم خصوصی داده‌ها در ایران و کسب‌وکارهای ایرانی

حریم خصوصی داده‌ها در ایران و کسب‌وکارهای ایرانی

۳۶۲

این بلاگ‌پست شامل تجمیع و برداشتی هدفمند از محتوای گپ‌و‌گفت‌هایی با برخی شکارچیان آسیب پذیری، هکرهای کلاه سفید، متخصصین امنیتی و اعضای تیم راورو ست که قبلا در بلاگ راورو منتشر کرده‌ایم. در گپ‌وگفت‌های قبلی، حول محور موضوعات مشترک و مشابهی، با افراد مختلف به گفت‌‌وگو نشستیم. و هر یک از افراد از دیدگاه خود، به جنبه‌ها، موارد و غدغه‌هایی اشاره کرده‌اند . حالا قرار است که موضوع‌های مشترک را از دل گپ‌وگفت‌های گذشته بیرون بکشیم وگفته‌های متفاوت افراد به آن‌ها را در کنار هم قرار دهیم. این‌طور فکر می‌کنیم که این جمع‌بندی پاسخ‌هایی به یک پرسش‌ داده شده، می‎‌تواند ارزش‌مند، دارای پیامی جدید و نمودی از خرد جمعی باشد.

آن‌چه در این بلاگ‌پست خواهید خواند:

در این بلاگ‌پست گفته‌هایی از یاشار شاهین‌زاده، مهدی مرادلو، علیرضا دهقانی، شقایق جوادی، آرمان محمدتاش، میلاد حضرتی و علیرضا رضایی را خواهید خواند که راجع به موضوع حریم خصوصی داده‌ها خود گفته‌اند.

داخل پرانتز: ترتیب ارائه‌ی پاسخ‌های افراد در متن، مطابق با ترتیب گپ‌وگفت‌های منتشرشده با آن‌ها در بلاگ راوروست.

دیدگاه‌ها، تجربه‌ها و خاطره‌هایی در رابطه با نگاه به "حریم خصوصی داده‌های کاربران" در ایران و کسب‌وکارهای ایرانی

یاشار شاهین‌زاده:

اگر ایران و خارج ایران را دو دسته در نظر بگیریم و خارج از ایران هم دو دسته‌ی اروپا و آمریکا را شامل شود، می‌توان گفت: متاسفانه در ایران، هیچ قانون مشخصی نداریم. واضح‌تر بگویم؛ اگر پایگاه‌داده‌ای یا استارت‌آپی اطلاعاتش افشا شود، هیچ راه قانونی و حقوقی مشخصی برای پیگیری این حوادث نداریم. ما در این زمینه در دنیا بسیار عقب هستیم و خب می‌بینیم که قانونی در همین زمینه در اروپا تحت عنوان GDPR در حال اجراست که کلیتش این است که شما در هر لحظه می‌توانید از هر پلتفرمی درخواست شفافیت درخصوص این‌که" چه اطلاعاتی نزد آن پلتفرم دارید" کنید و آن پلتفرم موظف است که تمام داده‌هایی که چه به صورت مستقیم و چه به صورت غیر مستقیم از شما ذخیره کرده را، در اختیار شما بگذارد و شما بتوانید آن داده‌ها را دانلود کنید. همچنین می‌توانید درخواست حذف این داده‌ها از پلتفرم را بدهید. در حال حاضر شبکه‌های اجتماعی مشهور از این قانون تبعیت می‌کنند اما در ایران قانونی به این صورت نداریم و علاوه بر عدم وجود چنین قانونی، نقض آن هم اتفاق می‌افتد! به عنوان نمونه، وقتی شما از یک اپلیکیشن سفارش غذا خدمات می‌گیرید، رستورانی که شما از آن سفارش نداده‌اید به شما پیامک تبلیغاتی می‌فرستد. در صورتی که شما موافق این اتفاق نیستید و این، خود یک نقض حریم خصوصی داده‌هاست.

پیشنهاد خواندنی: گپ‌وگفتی با یاشار شاهین‌زاده درباره‌ی حریم خصوصی داده‌ها

مهدی مرادلو:

بعضی از سایت‌هایی که بانتی می‌دهند، وقتی به ارزش‌‌گذاری باگ‌هایشان نگاه می‌کنی، می‌بینی که بابت آسیب پذیری مربوط به درگاه پرداخت، ۱۰ میلیون تومن بانتی می‌دهند. ولی بابت آسیب پذیری‌ای که اطلاعات مشتری‌هایش به خاطرش درخطر است، 1میلیون تومان بانتی می‌دهند! خب این نشان می‌دهد که برای این کسب‌وکار اطلاعات کاربر در درجه‌ی سوم و چهارم اهمیت قرار دارد! درست است که به منطق حریم خصوصی هم ربط دارد، بعضی‌ سایت‌ها اطلاعات زیادی از کاربر سیو نمی‌کنند. ولی خب من سامانه‌ای را دیده‌ام که یکی از بزرگ‌ترین پلتفرم‌ها هم بود. این سامانه بابت آسیب‌پذیری‌ای که مربوط به فرآیند پرداخت بود، ۵ میلیون تومان بانتی پرداخت کرد و و بابت آسیب پذیری‌ای که به‌وسیله‌‎اش حجم زیادی از اطلاعات کاربر قابل‌دسترسی و سیو بوده، ۱ میلیون.

به نظرم از نمونه‌ی این ارزش‌گذاری‌ها می‌شود فهمید که یک کسب‌وکار، چقدر به دیتای کاربرش اهمیت می‌‌دهد و چقدر به خودش. البته ناگفته نماند که این نکته هم هست که در بعضی کسب‌وکارها، سامانه‌ها اطلاعات کم‌تری از کاربر دارند و سیو می‌کنند، طبیعی است که در این سایت‌ها در مقایسه با سایت‌هایی که اطلاعات بیش‌تری از کاربر دارند، مبلغ بانتی کم‌تری در ازای آسیب‌پذیری‌های مشابه پرداخت شود. مثلا؛ نماوا از کاربرش فقط اسم و فامیل و یک شماره‌تماس داره که می‌تواند فیک هم باشد. خب اطلاعات کاربر در این‌جا درجه‌ی حساسیت کم‌تری دارد! اما در سامانه‌ای مثل تپسی، اطلاعات کاربر خیلی بیش‌تر اهمیت دارد. چون‌که تپ‌سی باتوجه به نوع کسب‌وکارش اطلاعات کاربر بیش‌تری را سیو می‌کند؛ کلیه‌ی سفرهای مسافر و ... . 

یکی از تهدیداتی که کاربر را تهدید می‌کند این است که وقتی که کاربر عضو سایتی هست، وقتی که آن سایت هک می‌شود و اطلاعاتش نشت پیدا می‌کند، اطلاعات و پسورد کاربر هم لو می‌رود. اگر آن کاربر از یک پسورد واحد برای چندین جا استفاده کرده باشد، مثلا پسوردش در این سایت با پسورد حساب کاربریش در سایت‌های دیگر، اینستاگرام، ایمیل و ...ش یکی باشد، فرد نفوذکننده با سوءاستفاده از اطلاعات نشت‌پیداکرده به راحتی می‌تواند به تک‌تک اکانت‌های آن کاربر دسترسی پیدا کند. کسب‌وکار این مسئولیت را دارد که از این پسورد و اطلاعات کاربر مراقبت کند و امانت‌دارش باشد. وقتی دیتای آن کسب‌وکار هک می‌شود، فقط سایت خودش هک نشده... حساب‌ها و اطلاعات کلیه‌ی آن کاربرهایی که عضوش بوده‌اند، هم هک شده و کسب‌وکار نسبت به تمام آن‌ها مسئول است. یکی از اقدام‌های امنیتی‌ای که کسب‌وکار برام محکم‌کاری قبل از هک‌شدن می‌تواند بکند، این است که پسورد کاربران را رمزنگاری، Hash و بعدش سیو کند. ولی خب بعضی سامانه‌ها پسورد را رمزنگاری نمی‌کنند و مستقیم در دیتابیس سیو می‌کنند. این‌طوری برای فرد نفوذکننده لقمه‌ی آماده‌تری را مهیا می‌کنند. اکثریت کاربران هم نمی‌دانند که بعد از هک‌شدن وبسایتی که عضوش بوده‌اند، اگر رمز حساب‌های کاربری دیگرشان هم همان رمز است، باید سریع رمزهایشان را سریع عوض کنند. 

 البته یه نگاه و قوانین حداقلی نسبت به امنیت هست که خب این‌ها هم قطعا اثر گذارند. مثلا ظاهرا قانونی برای کسب‌وکارها وجود دارد که وقتی جایی هک می‌شود، پلیس فتا تعهد می‌گیرد که اگر اطلاعات شخصی کاربر از طریق سایت من نشت پیدا کرد، باید سریع اطلاع‌رسانی کنم و اگر آسیب مالی هم بخورد، به عهده‌ی کسب‌وکار من است. ما که فروشگاه اینترنتی داشتیم، رفتیم فتا و این تعهد را از ما گرفتند. ولی خب کاربر و فرد عادی چندان از حق و حقوقش آگاه نیست. هم‌چنین آگاهی چندانی راجع به این‌که هک شدن سایتی که عضوش بوده، چه خطراتی برایش دارد، ندارد. 

  اگر هم از سمت کاربرها و هم از سمت نهادها و مراجع قانونی، سخت‌گیری‌هایی وجود داشته باشه برای سایت‌هایی که هک می‌شوند، طبیعتا بعدش سایت‌ها موضوع امنیت سایبری را جدی‌تر می‌گیرند. چون خیلی از سامانه‌های ایرانی اطلاعات زیادی از کاربر می‌گیرند، اطلاعاتی که گاهی اصلا لزومی ندارد و لازم هم ندارند! و در قبال این اطلاعاتی که دریافت می‌کنند، هیچ مسئولیتی هم نمی‌پذیرند! متعهد نمی‌شوند که از این اطلاعات حفاظت و مراقبت کنند. 

پیشنهاد خواندنی: گپ‌وگفتی با پردرآمدترین شکارچی راورو در سال ۱۴۰۰؛ مهدی مرادلو (moradlooo)

علیرضا دهقانی:

من قبل از این‌که عضوی از تیم راورو شوم، "امنیت سایبری" برایم تا این حد معنا داشت که می‌دانستم باید از رمزم مراقبت کنم، دیتای خصوصی‌ام را در اختیار دیگران نگذارم و رفتارهایی از این قبیل. دنیای امنیت سایبری برایم حکم دنیای ناشناخته‌‌ای را داشت که نمی‌دانستم که در آن "چه‌کار می‌توانم کنم؟" و "چگونه می‌توانم در آن موثر عمل کنم؟". در ارتباطی که با راورو پیدا کردم و کمی در هوای این اکوسیستم نفس کشیدم و زیستم، متوجه اهمیت و تاثیر آگاهی از حقوق سایبری و مطالبه‌گری در این زمینه شدم؛ امروز این‌طور نگاه می‌کنم که وقتی‌ من به‌عنوان یک کاربر، به کسب‌وکاری اعتماد می‌کنم و اطلاعاتم را در اختیار آن می‌گذارم، قرار نیست آن کسب‌وکار نسبت به اطلاعات من غیرمسئولانه رفتار کند، طوری‌که اطلاعات من به‌راحتی نشت پیدا کند و موردسوءاستفاده قرار گیرد. بلکه مسئولیتی درقبال اطلاعات من و اعتماد من دارد. این مقوله‌ایست که دوست دارم در مسیر آن قدم بردارم و مطالبه‌گر باشم. در واقع دوست دارم مطالبه‌گری در این زمینه، افزایش پیدا کند. 

 پیشنهاد خواندنی: گپ‌وگفتی با علیرضا دهقانی؛ راهبر استراتژی راورو

شقایق جوادی:

اگر بخواهم صادق باشم، من قبل از همکاری با راورو هیچ دیدی نسبت به امنیت سایبری نداشتم. حتی نمی‌دانستم که چند نوع هکر داریم؛ هکر کلاه سفید کیست، هکر کلاه سیاه کیست، هکر کلاه خاکستری کیست و ... . موقعیت شغلی‌ای که در آن قرار داشتم هم کاری اجرایی_عملیاتی بود و لزوم این دانش را چندان برایم ایجاب نمی‌کرد. ولی وقتی وارد راورو شدم، در دنیای امنیت سایبری کار کردم، اتفاقات مختلف را دیدم، شاهد هک‌شدن سامانه‌های بزرگ و کوچک و خصوصی و دولتی بودم، این موضوع برایم پررنگ‌تر شد که " چه سوءاستفاده‌هایی از این طریق صورت می‌گیرد..." متوجه شدم که چقدر آگاهی جامعه نسبت به امنیت سایبری کم است. دانش و حق‌خواهی لازم را نداریم. شاهد این حجم از نشت اطلاعات هستیم، مقدار زیادی از اطلاعات هویتی و اطلاعات حساب بانکی کاربران منتشر می‌شوند و برایمان اهمیتی ندارد! می‌گوییم: " خب منتشر شد، که شد!" أصلا نمی‌دانیم که بعدش چه اتفاق‌هایی ممکن است بیفتد! از وقتی وارد راورو شده‌ام، فهمیده‌ام که این موضوع چقدر پررنگ و مهم است! شاید مانند نیاز به آب‌وغذا نیاز اولیه نباشد، اما جزو نیازهای اساسی‌ست؛ این که حریم خصوصی‌ات حفظ شود، این‌که اطلاعاتت همه‌جا و درمعرض سوءاستفاده‌ی دیگران نباشد و ... از نیازهای مهم است. مشخص نیست که چه کسی ممکن است از این اطلاعات نشت‌پیدا‌کرده، سوءاستفاده کند. به دلیل همین سوءاستفاده‌های احتمالی‌ و ناگهانی‌ست که حالا فکر می‌کنم که امنیت سایبری برای هر کسب‌وکاری که یک سایت و یا سامانه دارد، موردنیاز است. چراکه ممکن است خسارت‌های زیادی متوجه کسب‌وکار شود. کسب‌وکار کوچکی که ممکن است از نظر امنیتی در سطح مناسبی قرار نداشته باشد، ممکن است با یک هک و نشت اطلاعاتی، کل کسب‌وکارش از دست برود. این همان اهمیت امنیت در اجتماع و زندگی روزمره ست که در اثر همکاری با راورو متوجه آن شده‌ام. 

 پیشنهاد خواندنی: گپ‌وگفتی با شقایق جوادی؛ راهبر ارتباط با میدان‌های راورو

آرمان محمدتاش:

من زمانی که فعالیت در حوزه‌ی امنیت را شروع کردم، شروع به کار کردن برروی دو موسسه‌ی کنکوری که درس می‌خواندم، کردم. از هر دو موسسه هم تقریبا آسیب پذیری های مشابهی کشف کرده بودم؛ Account Takeover، RCE ، XSS و CSRF. هم‌زمان به مدیرهای هر دو موسسه به‌طور مستقیم گزارش دادم. از طریق این آسیب پذیری‌ ها، اطلاعات خیلی مهمی لیک می شدند؛ هم دیتای کسب‌وکار و هم دیتای کاربر. مثلا؛ داخل یکی از سایت‌ها، صفحه‌ی چت را که باز می کردی، کل شماره‌های کاربران، کل دیتاهایشان، همه با چت لود می‌شد. حتی داخل یک بخش کد OTP هم بود! کد OTP کاربر را هم نشان می داد! من برایم خیلی عجیب بود و برایم سوال بود که برنامه‌نویسشان با چه ذهنیتی همچین پارامتری را این‌جا تعریف کرده‌؟! سندهای مالی هم بودند. اصلا هرچیزی که فکر کنید، آن‌جا بود! هر چیزی که داشتند را روی هاست آپلود کرده بودند. من نمی‌دانم که چرا این همه اطلاعات را روی هاست آپلود کرده بود! 

مدیر یکی از موسسه‌ها کلا قضیه را رها کرد! پیام را نخواند، ندید، نشنید. گفتند که برایشان مهم نیست.  اما موسسه‌ی دیگر برخورد خیلی معقولی داشتند. مدیرشان گفتند که حضوری به موسسه بروم تا ببینند چه اطلاعاتی دارم. به موسسه رفتم و صحبت کردیم. قرار شد که کارهای امنیت سایتشان را به من بسپارند. تقریبا تا ماه گذشته هم امنیت سایتشان بر عهده‌ی من بود. رفتارشان خیلی متفاوت بود. 

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی جوان راورو؛ آرمان محمدتاش (Arman_Security)

میلاد حضرتی:

به عنوان یک شهروند عادی من مسئول مراقبت از اطلاعات خودم هستم و باید زمانی که اطلاعاتم را به امانت در اختیار شخص یا مجموعه‌ای می‌گذارم، حفاظت و مراقبت از آن را از آن شخص یا مجموعه مطالبه کنم و به این موضوع بی‌توجهی نکنم. اگر سازمان‌های دولتی و خصوصی یا به‌طور کلی مجموعه‌های مختلفی را می‌بینیم که اهمیتی به حریم خصوصی داده‌های ما نمی‌دهند، یا کم‌ترین مراقبت از داده‌های ما را دارند، دلیل آن، عدم مطالبه‌ی ما برای فهمیدن وضعیت امنیت داده‌های خودمان که در دست آن مجموعه‌ها قرار دارد، هم هست! اگر هر کدام از ما این مطالبه را داشته باشیم، دیگر این حجم از بی‌توجهی به داده‌های کاربران در بین مجموعه‌ها کم‌تر خواهد شد و مدیران و مسئولان آن‌ها بی‌توجهی به این موضوع را به عنوان یک ریسک بزرگ تلقی خواهند کرد. اما متاسفانه در حال حاضر اکثر کسب‌وکارها نه‌تنها مراقبت قابل‎‌توجهی از داده‌های کاربران خود انجام نمی‌دهند، بلکه در مواقع بروز رخداد سایبری خبری از اطلاع‌رسانی صادقانه و عذرخواهی هم نیست و از کاربر طلبکار هم می‌شوند! برخی از کسب‌وکارها از آن هم بدترند و هیچ بودجه‌ای برای ارتقای امنیت مجموعه‌ی خود در نظر نمی‌گیرند. 

 پیشنهاد خواندنی: گپ‌وگفتی با میلاد حضرتی؛ توسعه‌دهنده‌ی وبسایت راورو

علیرضا رضایی:

به‌نظرم موضوع خیلی مهمی ست که شما به‌عنوان یک کسب‌وکار، اطلاعات افراد کاربر را نگه می‌دارید در صورتی که قفلی هم به این اطلاعات نزده‌اید! خیلی حساس است! اگر مسئولین صدای ما را می‌شنوند، بیشتر به سازمان‌ها گیر بدهند تا حداقل امنیت‌هایی را برای سازمان‌های خود داشته باشند. 

من با CTO یکی از استارتاپ‌ها صحبت می‌کردم. بهشان گفتم:" ببینید با این آسیب‌پذیری‌ای که الان اینجا دارید، دیتاهای تمام کاربرانتان در خطر است. من به راحتی از طریق این آسیب‌پذیری می‌توانم به تمام دیتاها دسترسی داشته باشم." گفتند:" برایمان مهم نیست!" وقتی دیتای کاربران کسب‌وکارشان برایشان مهم نباشد، من دستم واقعا برای توضیح فواید امنیت برایشان خالی است! حقیقتا دیگر چیزی نمی‌توانم بهشان بگویم! نمی‌توانم بگویم "شما باید امنیت برایتان مهم باشد" یا "شما باید به امنیت سایبری توجه کنید!" 

بعضی افراد نمی‌دانند که اگر یک سری از نکته‌های امنیتی را در سایتشان رعایت نکنند، دیتایشان لیک می‌شود و نشت پیدا می‌کند. می‌شود با این فردی که نمی‌داند، صحبت کنیم و بگوییم که اگر این استانداردها را کدنویسی رعایت کنید، اگرتست نفوذ برای سایت انجام شود، از باگ بانتی استفاده کنی و ...، این‌ها باعث می‌شوند که آسیب‌پذیری خاصی از سایتتان نیاید و حریم خصوصی کاربرانتان به خطر نیوفتد و ...، خب این فرد قطعا قبول می‌کند. ولی من هنوز راهی برای افرادی که می‌گویند نشت دیتاهای کاربرهایشان برایشان مهم نیست، پیدا نکرده‌ام. 

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی؛ علیرضا رضایی

سخن آخر:

هنگامی که یک کاربر، برای ثبت‌نام در یک سامانه، اطلاعات خود را در آن وارد می‌کند، آن کسب‌وکار را امین اطلاعات خود می‌داند. رسم امانت‌داری ست که کسب‌وکارها نیز، نسبت به این امر، احساس مسئولیت‌پذیری نمایند و اقدام‌های لازم را برای مراقبت و حفظ امنیت اطلاعات و داده‌های کاربران خود، انجام دهند.

بلاگ‌پست‌های مرتبط:

حریم خصوصی داده‌ها چیست؟

دو روش پرکاربرد اعتبارسنجی در صفحه‌ی ورود و ثبت‌نام

رفتارهای ناامنی که برای مراقبت از امنیت مجازی‌مان، نباید بکنیم. (قسمت اول)