واکاوی ماجرای هک اسنپ‌فود و افشای اطلاعات کاربران بر اساس قوانین GDPR

---

اگر در اروپا بود چقدر آب می‌خورد؟

با گسترش پلتفرم‌های دیجیتال مدیریت اطلاعات بیش از هر زمان دیگری اهمیت یافته است؛ زیرا داده‌های شخصی یک کالای ارزشمند در دنیای دیجیتال امروزی محسوب می‌شود. با این حال، اتفاقاتی چون بی‌دقت شرکت‎ها، خطای انسانی و تاخیر در پاسخگویی و جرایم سایبری به این معنی است که از این داده‌ها آن طور که باید محافظت نمی‌شود و این عدم حفاظت و امنیت داده ممکن است علاوه بر لکه‌دار شدن اعتبار شرکت‌ها و کسب وکارهای دیجیتال منجر به خسارات مالی شدید، از دست دادن حریم خصوصی و آسیب‌های عاطفی و‌ جسمی شود.

بر اساس تحقیقات Check Point، در سال ۲۰۲۲، ۹٫۱ میلیارد حمله سایبری شناسایی شد که نشان دهنده افزایش ۳۸ درصدی نسبت به سال ۲۰۲۱ است. این روند در سال ۲۰۲۳ تقریباً ۱۰٫۸ میلیارد حمله سایبری شناسایی شد. در طول سه ماهه چهارم سال ۲۰۲۲، نزدیک به ۲۸ درصد از حملات سایبری در سراسر جهان موسسات مالی را هدف قرار دادند. علاوه بر این، سرویس‌های نرم افزاری مبتنی بر وب و webmail تقریباً ۱۸ درصد، رسانه‌های اجتماعی با حدود ۱۰ درصد و تدارکات/حمل و نقل ۹درصد از حملات ثبت شده را به خود اختصاص داده‌اند؛ سایر موارد در نمودار ۱ ترسیم شده است.

نمودار۱: فراوانی حملات سایبری به صنایع آنلاین در سراسر جهان در سه ماهه چهارم سال ۲۰۲۲

بنابراین امنیت سایبری به عنوان یکی از مهمترین مسائل عصر دیجیتال آن قدر اهمیت یافته که توسعه کسب‌ و کارها و حریم خصوصی افراد به آن گره خورده است. به همین سبب در جهان دولت‌ها به وضع قوانین و اقدامات تنظیم‌گرانه مرتبط روی آورده‌اند به عنوان مثال بر اساس گزارش ۲۰۲۱ سازمان ملل، ۱۳۷ کشور از ۱۹۴ کشور قوانین یکپارچه‌ای را برای حفاظت از داده‌ها و حریم خصوصی وضع کرده‌اند و از ۲۰۲۱ تا ۲۰۲۳ هفده کشور دیگر به این تعداد افزوده شده است. اکثریت این کشورها از مقررات عمومی حفاظت از داده‌ها (GDPR) اتحادیه اروپا الگو گرفته‎اند و با نگاهی به این قوانین و مقررات و بررسی الزامات امنیت سایبری آن‌ها، ضمن درک تفاوت‌های جزئی می‌توان این قوانین را به دو دسته مقررات و اقدامات پیشگیرانه و برخوردهای اصلاحی تقسیم نمود که نهادهای متولی با تعریف مسئولیت مشخص تفکیک شده‌اند. اقدامات پیشگیرانه شامل پروتکل‌ها و الزامات امنیتی و استانداردهای فنی و برخوردهای اصلاحی شامل جریمه، اقدامات آموزشی، جبران خسارت و… می‌شود.

اما در ایران با وجود نهادهای سیاستگذار و تقنینی چون مرکز ملی فضای مجازی و مجلس شورای اسلامی علی‌رغم وجود مقررات جزیره‌ای، نه تنها قانون یکپارچه‌ای در این باره تصویب نشده بلکه فعالیت در حوزه امنیت سایبری در کشور با تعدد اختیارات مراکز مختلفی مانند مرکز ماهر زیر نظر وزارت ارتباطات، پلیس فتا، مرکز افتا ریاست جمهوری، سازمان پدافند غیر عامل و … روبروست و هنوز مشخص نیست که متولی اصلی امنیت سایبری در لایه های مختلف در کشور کدام نهاد و یا دستگاه است.

بنابراین تعریف مسئولیت نهادهای مرتبط و تنظیم مقررات پیشگرانه و الزامات امنیت سایبری در یک قانون یکپارچه یکی از مهمترین اولویت‌های کشور است؛ اما در ادامه این نوشتار با توجه به حمله سایبری اخیر به اسنپ فود و هک حجم عظیمی از داده‌های شخصی کاربران، به بررسی این موضوع خواهیم پرداخت که چنان چه پلتفرم دیجیتالی در یکی از کشورهای اروپایی با این حجم از نقض داده‌ها (Data Breaches) روبرو می‌شد طبق مقررات (GDPR) مشمول چه برخوردهای اصلاحی می‌گردید.

اخیرا نیز گروه هکری IRLeaks که در تابستان ۱۴۰۱ اطلاعات کاربران شرکت تاکسی اینترنتی تپسی را هک کرده بود، در ۹ دی ۱۴۰۲ با ارائه نمونه‌هایی، اعلام کرد که اطلاعات بیش از ۲۰ میلیون کاربر و ۸۸۰ میلیون سفارش شرکت اسنپ فود را که در حوزه سفارش آنلاین غذا در ایران فعالیت می‌کند، به دست آورده است. هرچند اسنپ فود به کاربران اطمینان داده که اطلاعات بانکی و پرداختی آن‌ها در امنیت کامل است ولی داده‌های هک شده از کاربران شامل نام کاربری، رمزعبور، ایمیل، نام و نام خانوادگی، شماره موبایل، تاریخ تولد و غیره است و نیز اطلاعات بیش از ۵۱ میلیون آدرس کاربران شامل موقعیت GPS، آدرس کامل، شماره تلفن و غیره و همچنین اطلاعات بیش از ۱۸۰ میلیون گوشی هوشمند و تبلت مورد استفاده کاربران شامل: نوع و مدل، پلتفرم، توکن، فروشگاه نصب برنامه و… است. این حجم از اطلاعات در ابعاد مختلف که برخی از آن‌ها در فضای مجازی منتشر شد در کمترین حالت مسائل حیثیتی و در بیشترین حد ممکن تبعات امنیتی برای این کاربران در پی خواهد داشت.

بر اساس مقررات حفاظت از داده های عمومی (GDPR)، مجازات‌های نقض داده‌های شخصی از یک پلتفرم دیجیتال بسته به ماهیت، شدت نقض و مدت تخلف می‌تواند متفاوت باشد. GDPR به مقامات نظارتی در هر کشور عضو اتحادیه اروپا اجازه می‌دهد تا جریمه‌های اداری را برای عدم رعایت مفاد آن اعمال کنند. جرایم اداری در دو ردیف به شرح زیر طبقه‌بندی می‌شود:

تخلفات سطح پایین

عموماً این تخلفات مربوط به ترتیبات اداری بوده و عواقب منفی و خطر قابل توجهی برای حریم خصوصی داده‌ها ایجاد نمی‌کند. جرایم این سطح عموماً برای نقض‌های کمتر شدید، مانند عدم انتصاب مامور حفاظت از داده‌ها (DPO)، عدم نگهداری سوابق فعالیت‌های پردازشی، یا عدم انجام ارزیابی تأثیر حفاظت از داده‌ها (DPIA) در صورت لزوم اعمال می‌شود. بنابر بررسی نمونه‌ها انجام شده نشان می‌دهد، آخرین نمونه اطلاعات نقض شده در اسنپ فود مربوط به تاریخ ۱۰ دسامبر  یا ۲۰۲۳ (۱۹ آذر ۱۴۰۲) است. با توجه به زمان علنی شدن این نقض داده‌ها توسط گروه هکری این موضوع احتمالا می‌تواند حاکی از آن باشد که اطلاعات حدود ۲۰ روز زودتر از اسنپ فود استخراج شده است. فارغ از اینکه علت تعلل طولانی اسنپ فود در اعلان این اتفاق چه بوده، عملا مدت زیادی این مسئله از نظر کاربرانی که داده‌های آن‌ها مورد حمله قرار گرفته و احتمال زیاد مقامات نظارتی مانند پلیس فتا پنهان مانده و چنان‌چه اسنپ فود در اروپا فعال بود طبق GDPR در صورت نقض داده و عدم گزارش تخلف صورت گرفته طی ۷۲ ساعت به مقامات مربوطه و کاربران مورد هدف، مشمول به جریمه‌ای تا سقف ۱۰ میلیون یورو یا ۲ درصد از گردش مالی سالانه (جهانی) سال مالی، (هر کدام که بیشتر باشد) می‌شد. همین اتفاق در نوامبر ۲۰۲۲ برای شرکت متا به دلیل نقض حفاظت از داده‌ها و تاخیر در اعلان به موقع کاربران افتاد و مشمول ۲۶۵ میلیون یورو جریمه گردید.

     تخلفات سطح بالا:

همان طور که گفته شد مقامات نظارتی هنگام تعیین جریمه‌ها عوامل مختلفی (از جمله تعداد کاربر و تعداد داده) را در نظر می‌گیرند و جریمه نقض‌های سطح بالا یا سطح ۲ قابل توجه است زیرا مستقیما بر حریم خصوصی آنلاین تأثیر می‌گذارند. این ردیف برای تخلفات جدی‌تر، از جمله نقض اصول اصلی پردازش داده‌های شخصی، نقض حقوق افراد و رضایت کاربران و عدم اجرای اقدامات فنی و سازمانی مناسب برای تضمین امنیت داده‌ها قابل اعمال است. به عنوان مثال با معیار قراردادن تعداد کاربران مورد حمله سایبری قرار گرفته در اسنپ فود، دو پلتفرم Tigo (چت تصویری) با نقض داده‌های شخصی بیش از ۷۰۰۰۰۰ کاربر و PeopleConnect (پشتیبان خدماتی) حدود ۲۰ میلیون نفر در سال ۲۰۲۳ هر کدام بیش از ۱۰۰ میلیون دلار و British Airways (پلتفرم مسافرتی و حمل و نقل هوایی) در ۲۰۱۸، بیست میلیون یورو جریمه شده‌اند. به طور کلی اسنپ فود با نقض داده بیش از ۲۰ میلیون کاربر طبق مقررات GDPR در راستای تامین منفعت عمومی مشمول جریمه‌ای تا ۲۰ میلیون یورو یا ۴ درصد از گردش مالی سالانه {جهانی} سال مالی، (هر کدام که بیشتر باشد) می‌گردد.

     اقدامات حقوقی توسط کاربران

علی‌رغم جرایم اداری که بیان شد و در راستای منفعت عمومی اعمال می‌شود، طبق الزامات GDPR اشخاصی که از نقض داده‌ها تحت تأثیر قرار می‌گیرند این حق را دارند که برای خسارات ناشی از نقض با داشتن ادله کافی، مستقیما از پلتفرم درخواست غرامت نمایند و در صورت عدم توافق می‌توانند علیه پلتفرم به دلیل عدم محافظت از داده‌های شخصی و مبتنی بر نوع خسارت (که در جدول ۱) آمده به دادگاه شکایت کنند. طبق قانون کاربران تا ۶ سال از آخرین زمان نقض اطلاعات شخصی خود حق شکایت دارند. جریمه ۷۴۶ میلیون یورویی آمازون در ۲۰۲۱ به دلیل شکایت ۱۰۰۰۰ نفر علیه آمازون در سال ۲۰۱۸ یکی از نمونه‌های مطرح استفاده از این حق در اروپا می‌باشد.

جدول ۱: حقوق جبران خسارت برای کاربران متضرر از نقض داده طبق GDPR

با توجه به این که ذخیره داده‌های مالی کاربران طبق الزامات بانک مرکزی در مرکز داده پلتفرم ممنوع است احتمال آن که داده‎های درز کرده اسنپ فود شامل این داده‌ها باشد بسیار کم است. اما با توجه به گستردگی داده‌ها اکثر داده‌های شخصی در این نقض داده وجود داشته‌اند و چنانچه اسنپ فود مشمول GDPR بود تا ۶ سال آینده کاربران متضرر می‌توانند با ارائه مستند به دادگاه‌ها در جهت احقاق حقوق خود اقدام و طبق جدول ۱ مطالبه خسارت نمایند. در آخر بر اساس مقررات GDPR اسنپ فود باید کلیه نیروهای خود را ملزم به شرکت در کمپین (دوره آموزشی) شبیه‌سازی فشینگ نموده تا آن‌ها در صورت قبولی گواهی‌نامه مجدد دریافت نمایند.

متاسفانه آمار شفافی از گردش مالی اسنپ فود در دسترس نیست و آمارهای غیر‌رسمی مختلفی وجود دارد اما طبق یک محاسبه حداقلی چنانچه فرض کنیم اسنپ فود ۱۰۰ هزار سفارش ۱۰۰ هزارتومانی را در هر روز به ثبت برساند گردش مالی این پلتفرم در طول سال حدود ۳٫۶۵ هزار میلیارد تومان خواهد شد و با فرض کمیسیون ۱۰ تا ۱۵ درصدی، درآمد سالیانه آن بین ۳۵۰ تا ۵۵۰ میلیارد تومان محاسبه می‌شود. بنابراین با فرض آن که طی ۶ سال آینده کاربری از اسنپ فود شکایت نکند طبق GDPR با توجه به آن که اسنپ فود مشمول هر دو نوع تخلف اداری سطح پایین و بالا شده است باید ۶ درصد این درآمد را جریمه بدهد که حدودا شامل ۳۰ میلیارد تومان می‌گردد. به هر حال جدای از آن که اسنپ فود باید جبران خسارت لازمه را بنماید. نیاز به اقدامات اساسی‌تر همان طور که درابتدای نوشتار بیان شد برای حفاظت از داده‌های شهروندان به شدت حس می‌شود.

پویا ذکری اصفهانی- کارشناس سیاست‌گذاری گروه طیف