آن‌چه بر داده‌های شخصی کاربران در سال 2018 گذشت

آن‌چه بر داده‌های شخصی کاربران در سال 2018 گذشت
تاریخ انتشار : ۰۸ دی ۱۳۹۷

سال ۲۰۱۸ سالی بود که به کاربران ثابت کرد نمی‌توانند با اطمینان کامل داده‌های شخصی‌شان را در اختیار دیگران قرار دهند. در این سال از غول‌های بزرگ فناوری گرفته تا دولت‌ها و حتی رستوران‌های زنجیره‌ای درگیر رسوایی‌های مرتبط با داده‌های شخصی کاربران بودند. در بهترین حالت، این شرکت‌ها برای حفظ امنیت داده‌های کاربران از آمادگی کامل برخوردار نبودند؛ در بدترین حالت نیز سازمان‌ها اجازه دادند تا داده‌های کاربران برای اثرگذاری در رویه‌های سیاسی و دموکراتیک استفاده شوند.

به گزارش گرداب، وقتی بحث رسوایی‌ها و انتشار داده‌های کاربران می‌شود، تنها نقطه‌ی امید در این سال به «قانون حفاظت از داده‌های عمومی»، که به‌اختصار GDPR نام دارد، مربوط می‌شود. این قانون که می‌توان آن را قانونی پیشرو برشمرد، مورد تصویب اتحادیه‌ی اروپا قرار گرفته و برای آن دسته از کاربرانی که تحت‌تاثیر انتشار غیرقانونی داده‌ها قرار گرفته‌اند حفاظت‌هایی را فراهم می‌کند.

به‌لطف GDPR، شرکت‌ها اکنون ملزم هستند تا انتشار ناخواسته‌ی داده‌های کاربران را اعلام کنند؛ در غیر این‌صورت، با جریمه‌های سنگینی مواجه خواهندشد. در عین حال، چنین قوانینی برای آمریکایی‌ها وجود ندارد و این در حالی است که میزان حملات در فضای مجازی رو به افزایش است.

آن‌چه بیشتر مایه‌ی نگرانی می‌شود این است که رسوایی‌های اطلاعاتی که در مقالات از آن‌ها یاد شده و مورد توجه قرار می‌گیرند صرفا به‌مثابه قطره‌ای از دریا هستند و گستره‌ی سوءاستفاده‌های انجام‌شده از داده‌های کاربران طی سال جاری را به‌تصویر نمی‌کشند. به‌گزارش وبسایت DarkReading که در زمینه‌ی اخبار حملات سایبری فعالیت می‌کند، تنها در ۹ ماه ابتدایی سال ۲۰۱۸، به‌طور تخمینی ۳٫۶۷۶ مورد تعرض به داده‌های کاربران صورت گرفته است. همین آمار هم ۲۰۱۸ را به رتبه‌ی دوم در رده‌بندی سال‌های پرخطر برای تعرض به داده‌های کاربران می‌رساند؛ در عین حال، آماری که برای انتهای سال گزارش می‌شوند یا علائمی از بهبود را نشان خواهند داد، یا اینکه از آمارهای ۹ ماهه نیز دردناک‌تر خواهند بود.

مشکلات مرتبط با فیسبوک
بدون شک رسوایی اطلاعاتی فیسبوک و کمبریج آنالیتیکا، بزرگ‌ترین رسوایی اطلاعاتی سال ۲۰۱۸ بود؛ هرچند ریشه‌ی این مشکل به سال‌ها پیش بازمی‌گردد. روز هفدهم مارس ۲۰۱۸ (۲۶ اسفند ۱۳۹۶)، دو نشریه‌ی گاردین و نیویورک تایمز خبر جمع‌آوری داده‌های کاربران فیسبوک توسط شرکت مشاوره‌ی سیاسی کمبریج آنالیتیکا را منتشر کرد. داده‌های دست‌کم ۸۷ میلیون نفر از کاربران فیسبوک بدون اطلاع آن‌ها در اختیار کمبریج آنالیتیکا قرارگرفته بود. این داده‌ها که به‌واسطه‌ی استفاده از یک اپلیکیشن پرسش و پاسخ به‌دست آمده بود، توسط کمپین انتخاباتی دونالد ترامپ مورد استفاده قرار گرفته‌بود تا تبلیغات فیسبوکی خود را به‌گونه‌ای هدفمند در معرض دید گروه خاصی از کاربران قرار دهند.

مشکل اصلی این اپلیکیشن پرسش و پاسخ این بود که تعداد زیادی از این جمعیت ۸۷ میلیون نفری از آن استفاده نکرده بودند؛ درواقع در بهترین حالت حداکثر چندصدهزار نفر از این اپلیکیشن استفاده کرده‌بودند. این اپلیکیشن پرسش و پاسخ از روزنه‌ای در رابط برنامه‌نویسی فیسبوک استفاد کرده‌بود که به سازندگانش اجازه می‌داد نه‌تنها داده‌های افراد استفاده کننده از این اپلیکیشن، بلکه داده‌های دوستان آن‌ها را هم جمع‌آوری کنند؛ یعنی افرادی که هیچ ارتباطی با این اپلیکیشن نداشته‌اند. جالب‌تر اینکه یکی از محققان درگیر در ساخت این اپلیکیشن در سال ۲۰۱۵ به استخدام فیسبوک درآمده‌بود. این شخص در سپتامبر ۲۰۱۸ از فیسبوک اخراج‌شد؛ اما اهالی منلوپارک هیچ‌وقت به این سؤال پاسخ نداده‌اند که آیا پیش از این از نقش وی در ساخت این اپلیکیشن اطلاع داشته‌اند یا خیر.

اگرچه شواهد چندانی مبنی بر تاثیر داده‌های به‌دست آمده توسط کمبریج آنالیتیکا بر نتایج انتخابات ریاست‌جمهوری ۲۰۱۶ ایالات‌متحده وجود ندارد؛ اما این مسئله به کاربران نشان‌داد که قوانین فیسبوک در رابطه با «حفاظت از حریم‌خصوصی کاربران» تا چه حد سهل‌انگارانه هستند. هم‌اکنون نیز مشخص نیست که چه اتفاقی برای این داده‌ها رخ داده است. کمبریج آنالیتیکا ادعا می‌کند که فایل‌های مربوطه را حذف کرده‌اند؛ اما مشخص نیست که چند نسخه از آن همچنان وجود دارند. مهم‌تر از همه، از این رسوایی به‌عنوان یک نقطه‌ی عطف یاد می‌شود؛ نقطه‌ای که قدرت داده‌های شخصی را به عموم کاربران نشان داد، داده‌هایی که به‌طور بالقوه می‌توانند برای اثرگذاری بر کاربران و حتی نظام‌های دموکراتیک مورد استفاده قرار گیرند.

البته این تنها بدشانسی فیسبوک نبود؛ در سپتامبر ۲۰۱۸، خبری مبنی بر به‌سرقت رفتن داده‌های دست‌کم ۳۰ میلیون نفر از کاربران فیسبوک منتشر شد. محل زندگی، محل تولد، وضعیت تاهل و در برخی موارد تاریخچه‌ی جستجوها از جمله داده‌های به‌سرقت رفته بودند.


انتشار اطلاعات کارکنان امنیتی و نظامی آمریکا ازطریق اپلیکیشن Polar
۲۰۱۸ سال چندان روشنی برای اپلیکیشن‌ها هم نبود. Polar اپلیکیشنی در زمینه‌ی تناسب‌اندام است که توسط اعضای ارتش، سازمان امنیت ملی و سرویس امنیتی ایالات‌متحده مورد استفاده قرار می‌گیرند. قوانین Polar برای محافظت از داده‌های کاربران تاحدی احمال‌کارانه بود که محققان توانسته‌بودند کاربران ارتش و سازمان‌های امنیتی را حین ورزش در نزدیکی پایگاه‌های‌شان ردیابی کنند. همین قوانین سهل‌انگارانه در عمل به هرکسی اجازه می‌دادند تا به نام مقامات نظامی و امنیتی، نرخ ضربان‌قلب و حتی آدرس محل زندگی آن‌ها دست پیدا کنند.

به گزارش واشنگتن پست، در زمانی‌که محققین یافته‌های خود را در این زمینه منتشر کردند، توانسته بودند داده‌های شخصی ۶٫۴۶۰ پرسنل نظامی و امنیتی را به‌دست آورند. این داده‌ها شامل پرسنل حاضر در پایگاه‌های نظامی خارج از آمریکا نیز می‌شد؛ برای مثال داده‌های پرسنل حاضر در پایگاه دریایی گوانتانامو و پایگاه لمونیِر در جیبوتی، که به‌عنوان مرکز فرماندهی عملیات‌های آمریکا در شاخ آفریقا شناخته می‌شود.

Exactis و انتشار داده‌های ۲۳۰ میلیون شهروند آمریکایی
افشای اطلاعاتِ بخش کوچکی از پرسنل نظامی ممکن است ناراحت‌کننده باشد؛ اما افشای اطلاعات ۲۳۰ میلیون شهروند آمریکایی و ۱۱۰ میلیون کسب‌وکار فعال در این کشور تا چه اندازه نگران‌کننده است؟ این اتفاقی است که در ماه ژوئن سال ۲۰۱۸ رخ داد. در این رخداد، شرکت بازاریابی Exactis که مقر آن در فلوریدا واقع‌شده است، اطلاعات ۳۴۰ میلیون شخص و کسب‌وکار را روی سروری قرارداده بود که عموم افراد می‌توانستند به آن دسترسی پیدا کنند.

حجم داده‌های موجود روی این سرور به ۲ ترابایت می‌رسید؛ جالب‌تر اینکه این داده‌ها صرفا شامل آدرس پست‌الکترونیک و نام افراد نبودند. علاوه‌بر نام و آدرس پست‌الکترونیک، مواردی همچون مصرف یا عدم مصرف دخانیات، مالکیت حیوانات خانگی، دین،‌ داشتن فرزند و علائق فردی از جمله اطلاعاتی بودند که در اثر سهل‌انگاری Exactis در اختیار سارقان اطلاعاتی قرار گرفته‌بود.

افشای داده‌های تمامی شهروندان هندی ازطریق سیستم شناسایی ملی
آیا Exactis را به‌خاطر افشای داده‌های ۲۳۰ میلیون شهروند سزاوار محاکمه می‌دانید؟ پس نظر شما درباره‌ی افشای داده‌های ۱.۱ میلیارد شهروند هندی چیست؟ Aadhaar یک سیستم تشخیص‌هویت ازطریق نشانه‌های بیومتریک است که توسط دولت هند اداره می‌شود. این سیستم که به‌عنوان بزرگ‌ترین مجموعه‌ی بیومتریک در جهان شناخته می‌شود، در عمل اطلاعات تمامی شهروندان هندی را در خود جای داده‌است. این اطلاعات شامل مواردی همچون عکس، اثرانگشت، آدرس منزل و دیگر اطلاعات شخصی است.

افشای اطلاعات موجود در Aadhaar توسط یک روزنامه‌نگار کشف‌شد. وی دریافت که برخی افراد نام کاربری و رمز ورود خود به این مجموعه را در پیام‌رسان واتساپ (WhatsApp) به‌فروش می‌رسانند و از این نام‌های کاربری و رموز ورود می‌توان برای دستیابی به تمام داده‌های موجود در این سیستم استفاده کرد. برخی از فروشندگان برای فروش نام‌کاربری و رمز ورود خود صرفا مبلغی معادل ۷ دلار از مشتریان دریافت می‌کردند.

اما مقامات هندی بیشتر از این مسئله خشمگین بودند که چرا این روزنامه‌نگار از این مشکل پرده برداشته است؛ در این راستا، مقامات دولتی ضمن طرح شکایت علیه این روزنامه‌نگار، وی را به ارائه‌ی گزارش‌های نادرست متهم کردند. وقتی در ماه مارچ یک محقق امنیتی آسیب‌پذیری Aadhaar را به وبسایت ZDNet نشان‌داد، دولت مجدد این مشکل را کتمان کرد.

انتشار اطلاعات ۵۰۰ میلیون مشتری هتل‌های ماریوت
روز ۹ آذر (۳۰‌ نوامبر) خبر افشای داده‌های ۵۰۰ میلیون نفر از مشتریان هتل‌های زنجیره‌ای مارییات (Marriott) منتشر شد؛ هرچند که این انتشار لحظه‌ای نبوده و شروع آن به‌سال ۲۰۱۴ بازمی‌گردد. این داده‌ها به افرادی مربوط می‌شوند که در شاخه‌ای از اقامتگاه‌های مرییات، موسوم به Marriot’s Startwood اقامت داشته‌اند.

هکرهایی که احتمال می‌رود با پکن در ارتباط بوده‌اند، در عمل به تمامی داده‌های ۳۲۷ میلیون نفر از این مجموعه‌ی ۵۰۰ میلیونی دست پیدا کرده‌بودند. نام، آدرس پستی، شماره تلفن، آدرس پست الکترونیک، شناسه‌ی شخصی مهمانان ویژه‌ی Starwood، تاریخ تولد، جنسیت، اطلاعات ورود و خروج، تاریخ رزرواسیون، گزینه‌های ارتباطی، شماره‌ی کارت‌های بانکی و تاریخ انقضای کارت‌ها از جمله اطلاعات به‌سرقت‌رفته بودند. درباره‌ی ۱۷۳ میلیون نفر باقی‌ماند، تنها بخشی از اطلاعات، نظیر نام و در برخی موارد آدرس پستی، آدرس پست الکترونیک و «برخی اطلاعات دیگر» به‌سرقت رفته‌بودند.

Panera Bread؛ خوراک مرغ با سالاد اطلاعات شخصی!
شاید باورش سخت باشد؛ اما رستوران‌ها هم درگیر رسوایی‌های اطلاعاتی بوده‌اند. Panera Bread، مجموعه‌ای از رستوران‌ها و کافه‌های زنجیره‌ای در ایالات‌متحده و کانادا است. در ماه آوریل، محققان امنیتی از انتشار داده‌های مشتریان این مجموعه ازطریق وبسایت Panera Bread پرده برداشتند. داده‌های منتشر شده در قالب متن ساده بودند و شامل نام، آدرس ایمیل، آدرس محل سکونت، تاریخ تولد و چهار رقم آخر شماره‌ی کارت‌اعتباری افراد می‌شدند.

نکته‌ی نگران‌کننده این است که محققان امنیتی به‌مدت هشت ماه برای رفع این مشکل با Panera Bread در ارتباط بودند. یک هفته پس از تماس اولیه‌ی محققان، این شرکت اعلام می‌کند که مشکل را حل کرده است؛ اما پژوهشگران تا هشت ماه بعد همچنان می‌توانستند به این داده‌ها دست پیدا کنند. پس از این هشت ماه درنهایت این مسئله به اطلاع عموم رسید و در نتیجه Panera Bread وبسایت خود را از دسترس خارج کرد تا به حل این مشکل بپردازد. هرچند تعداد قربانیان این سهل‌انگاری مشخص نیست؛ اما به‌گفته‌ی پژوهشگران، آمار قربانیان می‌تواند به ۳۷ میلیون نفر برسد.

نشر داده‌های میلیون‌ها نفر در گوگل پلاس
آخرین مورد فهرست ما به غول دنیای جست‌وجو مربوط می‌شود. در ماه اکتبر، نشریه‌ی وال‌استریت ژورنال خبر داد که گوگل حفره‌ای امنیتی را در شبکه‌ی گوگل پلاس کشف کرده است؛ این حفره به‌طور بالقوه از سال ۲۰۱۵ زمینه‌ی افشای اطلاعات ۵۰۰ هزار کاربر را فراهم کرده‌بود. پس از انتشار این مقاله، ساکنان مانتن‌ویو اعتراف کردند که این مشکل در شبکه‌ی اجتماعی نه‌چندان موفق آن‌ها وجود داشته است. داده‌های منتشر شده نیز شامل نام، آدرس پست الکترونیک، سن، جنسیت و شغل کاربران گوگل‌پلاس می‌شود.

رویه‌ی اتخاذ شده توسط شرکت‌هایی همچون گوگل و Panera Bread نگران‌کننده است
نکته‌ی قابل‌تأمل این است که همانند Panera Bread، گوگل نیز تا هفت ماه پس از کشف این حفره‌ی امنیتی، از اعلام آن سرباز زده‌بود؛ دلیل این مسئله ترس از خدشه‌دار شدن وجهه‌ی عمومی این شرکت و افزایش نظارت‌های قانونی بود. بدتر از این، در ماه دسامبر ۲۰۱۸، این شرکت روزنه‌ی دیگری را در رابط برنامه‌نویسی گوگل پلاس کشف کرد که نام، آدرس پست الکترونیک، شغل و سن ۵۲.۵ میلیون نفر از کاربران این شبکه‌ی اجتماعی را به‌مدت شش روز در دسترس عموم قرار داده‌بود. این بار نیز گوگل پس از یک‌ماه سکوت، کاربران را از بروز این مشکل آگاه کرد.

رویه‌ی اتخاذ شده توسط شرکت‌هایی همچون گوگل و Panera Bread نگران‌کننده است. آن‌ها مدت‌ها منتظر مانده‌بودند و تنها پس از اینکه همه‌چیز برملا شده‌بود در رابطه با انتشار داده‌های کاربران اطلاع‌رسانی کرده‌بودند. همین مسئله نشان می‌دهد که در ایالات‌متحده، وجود قوانین محکم در زمینه‌ی حفاظت از داده‌های شخصی کاربران امری لازم است؛ درست مانند GDPR که به تصویب اتحادیه‌ی اروپا رسیده است.

در سال ۲۰۱۸ داده‌های فراوانی به یغما رفتند؛ اما درسی که می‌توان آموخت این است: وقتی حرف از داده‌های شخصی می‌شود، به هیچ کس اعتماد نکنید.
منبع: زومیت