مرثیه ای بر امنیت اطلاعات خصوصی؛ حفظ حریم شخصی مشترکین چقدر برای اپراتورهای ارتباطی کشور اهمیت دارد؟

حتماً شما دوستان در جریان اتفاقات چند هفته اخیر پیرامون لو رفتن اطلاعات کاربران اپراتور دوم ارتباطی کشور قرار دارید. این خبر آن قدر ادامه دار شد که شخص وزیر ارتباطات را نیز وادار کرد تا به صورت مستقیم وارد قضیه شود و بعد از آن نیز ارگان های قضایی و انتظامی هم مجبور به واکنش و اقدام عملی شدند. در این مطلب بررسی خواهیم کرد که اصولاً اپراتور های ارتباطی کشور چه دیدگاهی به مسأله حریم شخصی کاربران دارند و این مسأله چقدر برایشان اهمیت دارد. با ما همراه باشید.

حفظ حریم شخصی از اولین حقوق هر کاربریست که اطلاعات خود را جهت دریافت یک سرویس و خدمات در اختیار شرکت ارائه دهنده آن خدمات قرار می‌دهد. نام و نام خانوادگی، محل زندگی، سن و شغل شما و حتی اطلاعات سجلی نیز در هنگام خرید بسیاری از خدمات باید به ارائه دهنده خدمت، اعلام شود تا جنبه ی قانونی معامله مورد بحث که در اینجا خرید خدمت یا سرویس است، نمود عملی پیدا کند و مشخص بشود که شرکت ارائه دهنده خدمات، با چه فردی در ارتباط است و اصولاً این امر باعث می‌شود بتوان از سو استفاده های افراد بزهکار از سرویس های عمومی جلوگیری کرد.

پس همواره باید فردی که خدمت را خریداری می‌کند کاملاً شناسایی شود. در بحث های کلان مانند اپراتورهای مخابراتی، میزان اطلاعاتی که از این طریق به دست می‌آید بسیار زیاد است و هر اپراتور با میلیون ها دسته از اطلاعات روبروست که با اعتماد کاربران در اختیارش قرار داده شده است. اتفاق طبیعی این است که کاربر با اعتماد به ارائه دهنده سرویس اطلاعات این فرض را دارد که اطلاعات آن در محلی امن نگه داری می‌شوند و به جز در موارد ضروری و آن هم تنها توسط افراد مسئول در مجموعه شرکت ارائه دهنده خدمات، این اطلاعات مشاهده نشده و مورد استفاده قرار نخواهند گرفت.

داستان، داستان جدیدی نیست!

مسأله ای که با آن روبرو هستیم چندان هم جدید نیست و فقط و فقط مختص این دوره زمانی و اپراتور ایرانسل نبوده است. حتماً تا به حال این مورد برای شما پیش آمده است که حتی با خطوط سیم کارت غیر ایرانسلی نیز گاهاً پیام هایی برایتان ارسال شده که مشخص است فرستنده ی آنها شرکتی است که از پنل های پیامکی جهت ارسال پیام ها استفاده نموده و جالب اینجاست که به صورت مستقیم شخص شما را با نام و نام خانوادگی تان خطاب قرار داده است. مشخص است که آن شرکت اطلاعاتی از شما در دست دارد و می‌داند شما صاحب این خط تلفن هستید. در این مورد دو احتمال وجود دارد. احتمال اول این است که ارسال کننده پیامک خود اپراتور باشد و بنابر تصمیم خود برای فروش خدمات و سرویس های جانبی با شما تماس گرفته باشد و احتمال دوم که چندان جالب نیست به این مورد اشاره دارد که فردی خارج از مجموعه اپراتور، با علم به اطلاعات فردی شما، اقدام به ارسال این پیام نموده است.

خب در این حالت نیز دوباره با دو احتمال دیگر روبرو خواهیم شد. اولین احتمال لو رفتن اطلاعات مشترکین از پایگاه داده اپراتور است که به نفسه فاجعه ای در بحث امنیت اطلاعات و حفظ آنهاست و دومین احتمال که به هیچ عنوان خوش آیند نیست، در اختیار قرار دادن اطلاعات کاربران از طریق اپراتور به شرکت ثالث ارسال کننده پیامک است. همانطور که می‌بینید فاجعه می‌تواند تا همین حد عمق داشته باشد. یعنی اپراتورها، اطلاعات شما را بدون اجازه گرفتن از شما، در اختیار شرکت های ثالث قرار دهند تا آن شرکت ها بتوانند خدمات خود را به شما عرضه کنند. این مورد حتی اگر به شرکت های ثبت شده، دارای مجوز و دارای گواهینامه های انجام فعالیت از مراکز ذی صلاح نیز باشد، به نفسه کاری اشتباه و به نوعی خیانت در امانت است.

در این مورد مثال فاجعه بار دیگری را نیز می‌توان برشمرد. احتمال می‌دهیم که بسیاری از شما با اپلکیشن خاصی در مارکت های اندرویدی برخورد کرده اید که با وارد کردن یک شماره تلفن، نام و مشخصات صاحب خط را اعلام می‌کنند. این اپلیکیشن ها به راحتی در محیط اینترنت پیدا می‌شوند و هر کسی می‌تواند با پرداخت هزینه ای چند هزار تومانی، به آنها دسترسی پیدا کند. اما اطلاعات این اپلیکیشن از کجا می‌آید؟ مسلم است که سازنده اپلیکیشن به پایگاه داده اپراتور مذکور (که توسط این اپلیکیشن پشتیبانی می‌شود) دسترسی دارد و مستقیماً اطلاعات شماره تلفن وارد شده را از آن استخراج می‌کند.

اما داستان از این هم بدتر می‌تواند بشود. همین حالا یک جستجوی ساده در گوگل انجام دهید تا ببینید که دیتابیس اپراتور های کشور چقدر قیمت دارند. البته با پیگیری های پلیس فتا بسیاری از سایت های فروشنده دیتابیس اپراتورها بساط کار و کاسبی خود را جمع کرده اند ولی تا همین یک ماه به راحتی و با پرداخت هزینه ای بسیار ناچیز می‌توانستید به راحتی دیتا بیس کامل اپراتوری که میلیون ها کاربر دارد را در دسترس داشته باشید.

اما چرا این حادثه اخیر اینگونه پر رنگ شد؟

داستان بیش از حد ساده است. فردی بنا بر انگیزه ای که اعلام کرده به هیچ عنوان سو استفاده و کسب درآمد نبوده، اقدام به عملی نموده که هیچ شک و شبهه ای در غلط، باطل و غیر قانونی و غیر اخلاقی بودن آن نیست. ولی باید مشکل را در یک پله بالاتر بررسی کرد. اولین سوال در این زمینه باید این باشد که از خودمان بپرسیم، این اطلاعات چطور در دسترس جوانی 19 ساله قرار گرفته و او نیز به ساده ترین شکل ممکن با طراحی یک ربات تلگرامی اقدام به علنی نمودن آن اطلاعات نموده است؟

این طور که از شواهد امر مشخص است، این فرد در یک گروه تلگرامی که دانشجوی رشته مهندسی نرم افزار بوده است با گروه تلگرامی که در حدود 300 عضو داشته،  آشنا می‌شود. در ادامه، یکی از اعضای این گروه که غالباً افراد متبحّر و آشنا به امور مربوط به امنیت اطلاعات و هک بوده اند دیتابیس شماره تلفن های ایرانسل مربوط به دو سال گذشته را به صورت رایگان در اختیار بقیه قرار می‌دهد و فرد خاطی داستان ما نیز اقدام به طراحی ربات تلگرامی معروف کرده و اقدام به انتشار آنها می‌نماید. که بعد از آن هم قضیه علنی شده و کار به وزارت خانه ICT هم می‌رسد و با پیگیری پلیس فتا و مقام قضایی، جوان 19 ساله دستگیر شده و ربات فوق غیر فعال می‌شود.

می‌توان با دیدی خوش بینانه گفت که حداقل دارندگان سیم کارت های جدید اپراتور ایرانسل می‌توانند در این مبحث خیالشان راحت باشند که فعلاً اطلاعاتشان فقط در سرور های شرکت است! اما مبحث حفظ حریم شخصی مبحثی پیش پا افتاده نیست که به همین راحتی به خودمان بگوییم که، فقط مشخصات چند نفر لو رفته که خیلی هم زود ربات مربوط معدوم شده و داستان به خیر و خوشی به پایان رسیده است. یک سوال بزرگ این است که فقط اطلاعات در دسترس این فرد ضبط شده و با آن 300 نفر دیگر چه می‌توان کرد؟ در واقع اطلاعاتی که به راحتی در دستان یک جوان کنجکاو قرار گرفته، مطمئناً دست بسیاری افراد دیگر هم هست.

از طرفی ایرانسل با ارائه بیانیه ای در روزهای گذشته، با این دید به داستان نگاه کرده است:

 با تمهیدات و حفظ به‌روزترین استانداردهای ایمنی اطلاعات؛ سیستم‌های اطلاعاتی و اطلاعات مشترکان ایرانسل هرگز افشا، سرقت و هک نشده‌ و مورد نفوذ و یا در اختیار غیر قرار نگرفته‌ است.

اما چطور می‌شود اطلاعاتی که هیچ گاه نه سرقت شده، نه افشا شده و نه هک شده اند، در دسترس افراد غیر مسئول و غیر مربوط افتاده باشد؟ به نظر ایرانسل علاقه ای به اعتراف به شکست خود در مبحث حفظ حریم شخصی کاربران ندارد و یا به عبارت دیگر، علاقه ای ندارد تا قبول کند سیستم های امنیتی که از آنها استفاده می‌کند دچار نقصان و مشکلات جدی اند.

دقیقاً دو روز بعد از علنی شدن این جریان وزیر ارتباطات که در صحن علنی مجلس حاضر شده بود، در پاسخ به سوالات نمایندگان مجلس با تأیید موضوع اعلام کرد که لو رفتن اطلاعات مربوط به 2 سال و نیم پیش است. در ادامه دکتر واعظی اعلام کردند که در آن زمان ایرانسل اطلاعات کاربران را در اختیار یکی از ارگان ها قرار داده اند و یکی از کارمندان آن ارگان که به اطلاعات دسترسی داشته، اقدام به درز اطلاعات به خارج از مجموعه نموده است و اخیراً همان اطلاعات با روش دیگری در یکی از شبکه اجتماعی افشا شده که پیگیری کردیم و با آن برخورد شد. البته این مسأله آن قدر عمیق بوده است که شخص رئیس جمهور نیز به عنوان بالاترین مقام اجرایی کشور، نسبت به آن واکنش نشان داده اند و در جلسه ی روز شنبه 19 تیر ماه در شورای عالی فضای مجازی داشته اند به صورت جدی به اپراتورهای کشور تأکید کرده اند که برای صیانت و محافظت از حریم خصوصی مشترکین خود، تدابیر ویژه ای بیندیشند.

حال چطور ایرانسل به این نحو و قویاً موضوع را تکذیب می‌کند؟

جالب اینجاست که ایرانسل اطلاعیه خود را یک روز پس از دستگیری فرد منتشر کننده اطلاعات 20 میلیون کاربر خود منتشر کرده و سعی در توضیح موضوع داشته است.  می‌توان گفت این بیانیه صرفاً برای خالی نبودن عریضه است و در آن به هیچ سوال مهمی پاسخ صریح و روشن داده نشده است. همچنین در این بیانیه ایرانسل سعی نموده تا اذهان عمومی را از اصل داستان به دور کند و با به میان آوردن مبحث ترابردپذیری، پای دیگر اپراتور ها را به قضیه باز کند. اما شاید بهتر بود که به جای این بیانیه، صرفاً به چند سوال پاسخ داده شود و به کاربران گفته شود که چطور اطمینان داشته باشند که اطلاعات آنها درز نکرده و به سرقت نرفته است.

چند نکته که باید حتماً به آنها توجه کنیم

مبحثی که واضح و مبرهن است لو رفتن اطلاعات کاربران در سالهای گذشته است. اما لو رفتن و فروش اطلاعات که بعد از آن شرکت به هیچ عنوان، اقدام به عرض یک عذرخواهی خشک و خالی هم نکند به هیچ عنوان صورت خوشی ندارد. همانطور که در ابتدای مطلب هم گفتیم، قرار گرفتن اطلاعات مشترکین اپراتور ها در دسترس افراد و یا شرکت های دیگر، حالا به هر نحوی که باشد، از سرقت، هک، فروش و یا درز، مختص ایرانسل نبوده و بارها مشاهده نموده ایم که در مورد دیگر اپراتور ها هم اتفاق افتاده و برای مقاصد تبلیغاتی و درآمد زایی مورد استفاده قرار گرفته است. به نظر عدم وجود رقابت در سطوح کلان و اینکه ارائه خدمات ارتباطی منحصر به چند شرکت خاص است که تقریباً یاد گرفته اند چطور بازار را بین خود تقسیم کنند، محول شده است، عامل اصلی عدم احترام به حریم شخصی مشترکین است. وقتی کاربر انتخاب دیگری به جز چند شرکت محدود نداشته باشد، بنا بر اجبار برای دریافت خدمات، اطلاعات شخصی خود را در اختیار شرکتی قرار دهد که به هیچ عنوان مشخص نیست آن را چگونه نگهداری می‌کند و آیا از آن استفاده های دیگری نیز می‌کند یا خیر؟!

خوشبختانه در زمینه شکستن انحصار و وسیع تر کردن ابعاد ارائه خدمات و افزایش کمی تعداد اپراتور ها، طرح هایی ارائه گردیده و قدم هایی برداشته شده تا اپراتورهای دیگری حتی به صورت مجازی در سطح کشور فعال شوند و تنوع ارائه خدمات و سرویس های بیشتر شود، ولی به نظر این اقدامات هم چندان کافی نیستند. مطمئناً اگر در کشور ما نیز چند ده اپراتور مخابراتی با انبوهی از پلن های خدمات و سرویس های مختلف وجود داشت و اگر برای کاربر این امکان وجود داشت تا در صورت عدم رضایت از خدمات یک اپراتور بتواند به راحتی سرویس دهنده خود را تعویض نماید، درصد وقوع چنین اتفاقاتی بسیار کمتر می‌شد.

حال نظر شما دوستان در مورد این مطلب چیست؟ با ما در این بحث شرکت کنید.

تهیه شده در شهر سخت افزار