«اسنپ فود هک شد»؛ خبری که ۱۰ دی مانند ترکیدن بمبی در رسانه‌ها صدا کرد. اوایل شهریور مدیرعامل تپسی در فضای مجازی خبر داد که تپسی موردنفوذ هکرها قرار گرفته و بخشی از اطلاعات کاربران به‌دست هکرها افتاده است. حالا پس از حدود ۴ ماه اسنپ‌فود نیز در دام این گروه هکری افتاد. این در حالی است که کمی پس از هک تپسی روابط عمومی اسنپ اعلام کرد: تیم امنیت سایبری اسنپ در تازه‌ترین اقدام خود برای تقویت ساختار امنیت داده‌، برنامه‌ «باگ بانتی» یا مسابقه ارزیابی امنیتی و شناسایی باگ خود را گسترش داده است. برنامه‌ باگ‌بانتی اسنپ، ۴ سطح از Medium تا Vital دارد که برای آن پاداش‌های جدیدی تا سقف ۱۵۰ میلیون تومان تعیین شده است. اما براساس اطلاعات به‌دست‌آمده پس از ارزیابی، اسنپ حاضر نشد به وعده خود عمل کند و کلاه‌سفیدها نیز متناسب با مبلغ ناچیز دریافتی باگ‌ها را شناسایی کردند. حال اطلاعات ۲۰ میلیون کاربر اسنپ‌فود به‌واسطه یک گروه هکری در ازای ۳۰ هزار دلار به فروش رسیده است. حفاظت از داده‌های کاربران وظایف دولت نیست و هر کسب‌وکاری وظیفه دارد زیرساخت‌های خود را تقویت و از داده‌های مشتریان حفاظت کند.با این حال اسنپ که به‌ویژه در بخش اسنپ‌فود با قرارداد انحصاری با رستوران‌ها جولان می‌دهد، تنها مسئولیت این اتفاق را پس از درز اطلاعات ۲۰ میلیون کاربر پذیرفته است.

اسنپ‌فود هک شد

بامداد ۱۰ دی گروه هکری IRLeaks با انتشار پستی در کانال تلگرامی خود از هک شدن داده‌های شرکت اسنپ‌فود خبر داد. این گروه هکری پیش‌تر در تابستان امسال اطلاعات تپسی را هک کرده بود. این گروه نمونه‌ای از اطلاعات هک‌شده را منتشر و نرخ فروش آن را ۳۰ هزار دلار اعلام کرده است. بنابر اعلام این گروه اطلاعات هک‌شده شامل موارد زیر است:

-اطلاعات بیش از ۲۰ میلیون کاربر شامل نام کاربری، پسورد، ایمیل، نام و نام خانوادگی، شماره موبایل، تاریخ تولد و …

- اطلاعات بیش از ۵۱ میلیون آدرس کاربر شامل موقعیت GPS ، آدرس کامل، شماره تلفن و …

- اطلاعات بیش از ۱۸۰ میلیون دستگاه همراه شامل نوع و مدل دستگاه، پلتفرم، توکن، فروشگاه نصب برنامه و …

- اطلاعات بیش از ۳۶۰ میلیون سفارش شامل آی‌پی سفارش‌دهنده، آدرس دریافتی، تلفن دریافتی، شهر، مدت زمان دریافت، نام و نام خانوادگی، مشخصات فروشگاه یا رستوران، قیمت، محصول و …

- اطلاعات بیش از ۳۵ هزار پیک شامل نام، نام خانوادگی، شماره تماس، کد ملی، شهر و …

- اطلاعات بیش از ۶۰۰ هزار پرداخت سفارش شامل نام کامل صاحب کارت، نام کامل مشتری، شماره تماس، شماره کارت، نام بانک و …

- اطلاعات بیش از ۱۶۰ میلیون سفر انجام‌شده توسط پیک شامل نام کامل مبدا و مقصد، آدرس مبدا و مقصد، تلفن مبدا و مقصد، موقعیت جغرافیایی مبدا و مقصد، تاریخ و …

- اطلاعات بیش از ۲۴۰ هزار Vendor شامل نام کامل، آدرس، تلفن، ایمیل، موقعیت مکانی GPS ، نام مدیریت مجموعه و …

- اطلاعات بیش از ۸۸۰ میلیون سفارش محصول

بسیاری از کاربران شبکه‌های اجتماعی به اتفاق پیش‌آمده واکنش‌ نشان داده و اطلاعاتی را در این زمینه منتشر کردند. البته این نخستین بار نیست که خبر هک اطلاعات اسنپ شنیده می‌شود. مهر سال ۹۸ هم آگهی مبنی بر فروش اکانت‌های دارای موجودی اسنپ در فضای مجازی پخش شد. براین اساس می‌توان گفت هک حساب‌های کاربری اسنپ اتفاق جدیدی نیست، اما تداوم آن نشان می‌دهد که اقدامات اسنپ در راستای ارتقای امنیت، توضیح و آموزش کاربران کافی نبوده است.

بیانیه اسنپ

پس از اعلام هکرها مبنی بر هک اسنپ‌فود و انتشار اخبار آن، این شرکت بیانیه‌ای منتشر کرد. اسنپ‌فود در این بیانیه مسئولیت اتفاق را پذیرفته و اعلام کرده اطلاعات بانکی و پرداخت کاربران در امنیت است.

متن کامل بیانیه اسنپ‌فود به شرح زیر است:

«پیرو هک و اقدام به فروش مستقیم بخشی از اطلاعات کاربران اسنپ‌فود به اطلاع می‌رسانیم شرکت اسنپ‌فود در گام اول در همکاری با پلیس فتا در حال شناسایی و رفع منبع آلودگی ناشی از اقدام این گروه هکری است.

شرکت اسنپ‌فود مسئولیت این اتفاق را می‌پذیرد و حتما بررسی دقیقی درباره دلایل وقوع آن انجام خواهد داد.

گفتنی است این گروه هکری پیش از مذاکره با اسنپ‌فود اقدام به فروش اطلاعات کرده و شرکت اسنپ‌فود حداکثر تلاش خود را برای جلوگیری از انتشار داده‌های کاربران، از طریق مذاکره با این گروه هکری، خواهد کرد.

لازم به ذکر است که کلیه اطلاعات پرداخت بانکی کاربران، اعم از اطلاعات مربوط به کد امنیتی کارت ( CCV )، رمز عبور و تاریخ انقضا، در امنیت کامل قرار دارد و این اطلاعات مطابق مقررات بانک مرکزی در هیچ یک از پلتفرم‌ها ذخیره نمی‌شود. متعاقبا اطلاعات تکمیلی در این باره را منتشر خواهیم کرد.»

گروه هکری IRLeaks

گروه هکری IRLeaks مدعی هک اسنپ‌فود است. هکرها در نخستین لحظات بامداد روز یکشنبه، یک فایل نمونه شامل بعضی اطلاعات کاربران اسنپ‌فود را روی کانال تلگرامی خود قرار دادند. سپس خواسته‌شان را رک و بدون تعارف و رودربایستی مطرح کردند: ۳۰ هزار دلار!

گروه IRLeaks ، عامل هک اسنپ‌فود پیش از این نیز سیستم داده‌های تپسی را هک کرده بود. مدیرعامل تپسی آن زمان در توئیتر نوشت هکرها با دسترسی به اطلاعات کاربران، قصد اخاذی دارند به همین دلیل تپسی با آنها همکاری نمی‌کند. گفته شده هکرها پس از شکست در مذاکره با تپسی، برای فروش اطلاعات کاربران تپسی ۳۵ هزار دلار درخواست کرده بودند.

گروه IRLeaks می‌گوید از ماجرای هک تپسی درس گرفته و پس از نفوذ به سامانه اسنپ‌فود، بدون اطلاع شرکت، برای فروش اطلاعات کاربران اقدام کرده است. به‌نظر می‌رسد برمبنای درس دوم هم ۵ هزار دلار برای فروش اطلاعات مشتریان، رستوران‌ها و پیک‌موتوری‌های مرتبط با اسنپ‌فود تخفیف داده‌اند.

هکرهایی با کلاه‌های‌رنگی

اصطلاح هکر ( Hacker )، اغلب توسط رسانه‌ها به‌عنوان فردی منفی و مخرب و گاهی مترادف با مجرم سایبری به تصویر کشیده می‌شود؛ فردی ناشناس با چهره‌ای نامشخص که زیر کلاه هودی پنهان شده و در اتاقی تاریک، به مانیتوری مملو از کد‌های سبزرنگ زل زده و نقشه حمله‌ای سایبری یا سرقتی دیجیتالی را می‌کشد! چنین توصیفی شاید برای تعداد زیادی از هکرها صادق باشد، اما نمی‌توان آن را به همه افراد فعال در این کار نسبت داد!

۶ نوع مختلف هکر در صنعت امنیت سایبری وجود دارند که هر کدام انگیزه و اهداف متفاوتی را دنبال می‌کنند و باتوجه به همین انگیزه‌‌ها و اهداف، با رنگ‌های مختلفی دسته‌بندی می‌شوند و به آنها هکرهای کلاه رنگی می‌گویند.

وقتی صحبت از امنیت سایبری می‌شود، نمی‌توان تمام فعالیت‌های این حوزه را در دو طیف رنگی سیاه (کاملا مخرب)‌ و سفید (کاملا سازنده) خلاصه کرد. علاوه بر این دو رنگ، دیگر هکرهای کلاه‌ رنگی هم، در امنیت سایبری فعالیت دارند و هر رنگ از کلاه آنها تعریف متفاوتی از نوع فعالیت‌شان ارائه می‌دهد.

هکرهای کلاه سفید، هکرهای کلاه خاکستری، هکرهای کلاه سیاه، هکرهای کلاه آبی، هکرهای کلاه سبز، هکرهای کلاه قرمز.

هکرهای کلاه‌سیاه، نخستین دسته از هکرهای کلاه‌‌رنگی و معمولا افراد شروری هستند که می‌خواهند از مهارت‌های فنی خود برای کلاهبرداری و باج‌گیری از دیگران استفاده کنند.

هکرهای کلاه‌سفید یا کلاه‌سفید‌ها، از میان هکرهای کلاه‌ رنگی، نقطه مقابل همتایان کلاه‌سیاه خود هستند. هکرهای کلاه‌سفید یا هکرهای اخلاق‌مدار از مهارت‌های فنی خود برای محافظت از جهان در برابر هکرهای شرور استفاده می‌کنند.

هکر‌های کلاه‌‌خاکستری، دسته‌ بعدی در فهرست هکرهای کلاه‌‌رنگی هستند که به‌نوعی، میان هکرهای کلاه‌سیاه و کلاه‌سفیدها قرار می‌گیرند. اهداف و انگیزه‌های هکرهای کلاه‌خاکستری، اغلب مثبت و خوب است.

هکرهای کلاه‌قرمز هم درست مانند هکرهای کلاه‌سفید، می‌خواهند جهان را از شر هکرهای شیطانی نجات دهند، اما آنها برای رسیدن به اهداف خود مسیرهای افراطی و گاه غیرقانونی را انتخاب می‌کنند.

هکرهای کلاه‌‌آبی با استفاده از بدافزارها، حملات سایبری مختلفی را روی سرورها و شبکه‌های دشمنان خود ترتیب می‌دهند و به داده‌ها، وب‌سایت‌ها یا دستگاه‌های آنها آسیب وارد می‌کنند.

در دنیای هکرهای کلاه‌‌رنگی، کلاه‌سبز‌ها، به‌عنوان تازه‌کارهای دنیای هک شناخته می‌شوند. هکرهای کلاه‌سبز، از مکانیسم امنیتی و عملکرد درونی وب آگاه نیستند، اما افرادی مشتاق و مصمم هستند که برای ارتقای جایگاه خود در جامعه هکرها تلاش می‌کنند. این گروه از هکرها لزوما قصد آسیب رساندن ندارند.

هک سایت‌های فروش اینترنتی موضوعی همیشگی است

محمدرضا الفت‌نسب، عضو سابق هیات‌مدیره اتحادیه کسب‌وکار‌های اینترنتی درباره هک «اسنپ‌فود» به صمت گفت: متاسفانه هک سایت‌های فروش اینترنتی موضوعی همیشگی است و در همه جای دنیا نیز رخ می‌دهد. کسب‌وکارهای بزرگ برای حفظ امنیت سایت در طول سال‌ تلاش و هزینه‌‌های بسیاری می‌کنند که در نتیجه همین تلاش‌ها روزانه سفر با تاکسی‌های اینترنتی صورت می‌گیرد.

وی درباره عدم پذیرش باگ‌های شناسایی‌شده توسط کلاه‌سفیدها بیان کرد: معمولا هکر‌های بسیاری ادعای شناسایی محل نشت‌ سایت‌های بزرگ را دارند و پذیرش یا عدم پذیرش این موضوع به نوع سیاست‌های یک شرکت بازمی‌گردد، اما در هر صورت نمی‌توان کار این شرکت را تایید یا رد کرد.

بیمه‌ها ورود پیدا کنند

الفت‌نسب با توصیه‌ای به شرکت‌ها اظهار کرد: هرچند پشتیبانی و تامین امنیت این سایت‌ها هزینه‌ سنگینی دارد، اما شرکت‌ها باید با بروزرسانی زیرساخت‌ها نشتی‌های موجود را پیدا و رفع کنند، زیرا حفاظت از اطلاعات کاربران در فضای مجازی یکی از اصلی‌ترین وظایف کسب‌وکارهای اینترنتی است که باید به آن پایبند باشند؛ در غیر این صورت اگر اتفاقی برای اطلاعات و حریم شخصی کاربری بیفتد، این شرکت‌ها مسئول خواهند بود و باید خسارت‌های مادی آن را تمام و کمال جبران کنند.

وی با پیشنهادی به شرکت‌های بیمه بیان کرد: در همه کشورها شرکت‌های بیمه فرآیندهای موجود در سایت‌های فروش اینترنتی را بیمه می‌کنند تا پشتوانه‌ای هنگام بروز مشکلات باشند، اما متاسفانه در کشور ما شرکت‌های بیمه تاکنون در حوزه تجارت الکترونیک ورود پیدا نکرده‌اند و امیدواریم شاهد ورود شرکت‌های بیمه به حوزه تجارت الکترونیک باشیم.

بی‌اعتمادی و کاهش خریدهای اینترنتی

عضو سابق هیات مدیره اتحادیه کسب‌وکار‌های اینترنتی با اشاره به تاثیر اتفاقاتی چون هک اسنپ‌فود بر کسب‌وکارهای مجازی گفت: کسب‌وکار آنلاین بازار بزرگی ندارند و نیازمند اعتماد مردم هستند، اما هر اندازه که شاهد بروز این قبیل اتفاقات تلخ باشیم، بی‌شک اعتماد مردم به کسب‌وکارهای آنلاین کاهش پیدا خواهد کرد و پیرو آن کاهش خریدهای اینترنتی را شاهد خواهیم بود.

برخی شرکت‌ها اهمیتی برای کاربران قائل نیستند

رضا ممبنی، یک هکر کلاه‌سفید درباره تاثیر فیلترینگ بر امنیت سایت‌ها و افزایش حمله‌های هکری به صمت گفت: فیلترینگ عامل اصلی افزایش هک سایت‌های مختلف نیست، زیرا پس از فیلترینگ، سایت‌‌های داخلی به‌منظور حفظ امنیت، دسترسی خود را تنها برای کاربران داخلی امکان‌پذیر می‌کنند که همین موضوع تا حدودی از امکان حمله‌های هکری می‌کاهد.

وی در اشاره به دلایل هک برخی از سایت‌های فروش اینترنتی بیان کرد: متاسفانه این شرکت‌ها برای اطلاعات و حریم شخصی کاربران خود اهمیتی قائل نیستند. عامل اصلی اتفاقاتی چون هک اسنپ‌فود، استفاده از افراد کم‌تجربه و بی‌تخصص در بخش‌های مهم این شرکت‌ها است. بی‌شک سایت‌ شرکت‌های بزرگ فروش اینترنتی چند باری هک شده، اما در این باره اطلاع‌رسانی نشده است.

هشدارها داده شده بود

ممبنی با اشاره به هشدارهای داده‌شده به اسنپ‌فود اظهار کرد: چندی پیش هکرهای کلاه‌سفید درباره باگ‌های موجود در اسنپ‌فود هشدار دادند. در نتیجه این هشدار و شناسایی باگ‌ها باید مبلغی به هکرهای کلاه‌سفید پرداخت شود که پیشنهاد آنها ۱۵۰ میلیون تومان برای ارائه جزئیات حفره‌های امنیتی سایت بود، اما اسنپ تنها مایل به پرداخت ۵ میلیون تومان بود؛ در نتیجه کلاه‌‌سفیدها نیز در محدوده همین مبلغ اطلاعاتی را ارائه دادند. این در حالی است که اسنپ شهریور امسال خبری مبنی بر پرداخت پاداش ۱۵۰ میلیون تومانی در ازای شناسایی باگ‌های سایت منتشر کرد. این یعنی شرکت یادشده به وعده خود عمل نکرد.

هکر نسخه کپی را نگه می‌دارد

این هکر کلاه‌سفید با اشاره به حفظ سایت‌ها و اپلیکیشن‌ها به کمک هکرهای کلاه‌سفید، افزود: قبل از اینکه یک سایت هک شود، تیمی تخصصی محتوای آن را در حفره‌‌‌های متعددی بررسی و مشکلات را شناسایی می‌کنند.

اگر تیم امنیتی شرکت قادر به رفع این حفره‌ها نباشد، هکرهای کلاه‌سفید در شرکت‌های داخلی و خارجی مشکلات را اعلام و حل می‌کنند.

وی با اشاره به روش کار هکرها در مسئله اسنپ‌فود اظهار کرد: هنگامی که یک گروه هکری اطلاعات را هک و برای فروش می‌گذارد، بی‌شک چندین نسخه کپی برای خود نگه می‌دارد و پس از گذشت زمانی این اطلاعات را به فروش می‌رساند.

ممبنی درباره زمان لازم برای هک یک سایت یا اپلیکیشن گفت: هک یک سایت، بسته به امنیت و تیم پشتیبانی آن از یک تا ۱۲ ساعت زمان می‌برد.

هزینه پشتیبانی، مبلغ مشخصی نیست

این هکر کلاه‌سفید با اشاره به هزینه‌های متفاوت حفظ امنیت سایت اظهار کرد: گاهی تیم امنیتی سایت قوی است و از عهده برخی از کارها برمی‌آید؛ در غیر این صورت با شرکت‌های امنیتی داخلی یا خارجی قرارداد بسته می‌شود تا از سایت محافظت شود. هزینه این پشتیبانی مبلغ مشخصی نیست، زیرا برای سایت‌های معروفی مانند دیجی‌کالا، اسنپ و... که تعداد کاربران بیشتری دارند، زمان بیشتری برای امنیت صرف خواهد شد. در هر صورت تیم امنیتی متناسب با عملکرد خود به‌صورت ماهانه، سالانه یا پروژه‌ای هزینه‌های مختلفی دریافت می‌کند.

سخن پایانی

باتوجه به نظرات کارشناسی و بررسی‌های صورت‌گرفته انحصار شکل‌گرفته موجب شده شرکت یادشده تلاشی برای بروزرسانی سیستم امنیتی خود نداشته باشد، زیرا به‌دلیل نبود سایتی مشابه، باوجود هک این سایت اینترنتی چاره‌ای جز استفاده مجدد از آن نیست. در نهایت ضررو زیان این قبیل بی‌توجهی‌ها گریبان‌گیر کاربران است، زیرا به‌نظر می‌رسد شرکت‌هایی از این دست که طیف گسترده‌ای از خدمات را‌ ارائه می‌دهند، برای کاربران و اطلاعات شخصی آنها ارزشی قائل نیستند؛ به‌عبارتی هنوز به این مرحله از کیفیت در ارائه خدمات نرسیده‌اند. این در حالی است که هزینه صرف‌شده برای ارتقای امنیت آنها موجب افزایش اعتماد کاربران و حفظ آنها در بازار می‌شود.