/

1402-11-26

5 مورد از مهم ترین تهدیدات داده های سرقتی

تا به اینجای سال ۱۴۰۲ چندین سازمان دولتی و خصوصی کشور هک شده‌اند و اطلاعات میلیون‌ها شهروند ایرانی به دست هکرها افتاده است. برای مثال می‌توان به هک سازمان ثبت احوال و هک اسنپ فود اشاره کرد که منجر به لو رفت اطلاعات هویتی، اطلاعات بانکی، آدرس، شماره تلفن و بسیاری دیگر از اطلاعات شخصی میلیون‌ها شهروند ایرانی شدند. با انتشار اخبار هر کدام از این هک‌ها در شبکه‌های اجتماعی، سوالی که بسیاری از کاربران می‌پرسند این است که چرا چنین اطلاعاتی می‌توانند برای مجرمین سایبری ارزشمند باشند. در واقع، در بسیاری از موارد، کاربران عمومی شبکه‌های اجتماعی این سوال را مطرح می‌کنند که اگر هکرها به رمز کارت‌های بانکی کاربران دسترسی پیدا نکرده‌اند، چه خطری کاربران را تهدید می‌کند. در این مقاله می‌خواهیم با توضیح مهم‌ترین خطرات نقض داده، به چنین سوالاتی پاسخ دهیم. با سایبرنو همراه باشید.

نقض داده چیست؟

اگر بخواهیم خیلی ساده بگوییم، منظور از نقض داده، رخدادی امنیتی است که در آن، هکرها به صورت غیر مجاز به داده‌های حساس دسترسی پیدا می‌کنند. این داده‌ها می‌توانند شامل داده‌های شخصی مشتریان یک سازمان خصوصی یا ارباب رجوعان یک سازمان دولتی، اطلاعات محرمانه کسب و کارها، اسرار محرمانه دولتی یا هر نوع اطلاعات حساس دیگری باشند. معمولا، هکرها به صورت مستقیم از این داده‌ها برای اهداف بدخواهانه و مجرمانه استفاده می‌کنند یا آن‌ها را در دارک وب به فروش می‌رسانند. در هر صورت، نقض داده رویداد بسیار خطرناکی است که می‌تواند برای شهروندان و سازمان‌ها، تبعات جبران‌ناپذیری داشته باشد.

برای مثال می‌توان از هک سازمان ثبت احوال، هک وزارت علوم، هک تپسی و هک اسنپ فود به عنوان مهم‌ترین رویدادهای نقض داده که اخیرا در کشور ما رخ داده‌اند، اشاره کرد. چنین رویدادهایی منجر به لو رفتن اطلاعات شخصی میلیون‌ها شهروند ایرانی و سرقت اسناد محرمانه تجاری و دولتی شده است.

در مواردی که نقض داده منجر به لو رفتن اطلاعات شخصی کاربران مثل اطلاعات هویتی آن‌ها، شماره کارت‌های بانکی، آدرس محل سکونت، شماره تلفن و … می‌شود، معمولا این سوال برای عموم مردم ایجاد می‌شود که چنین اطلاعاتی چه ارزشی دارند و چه خطراتی را متوجه قربانیان می‌سازند.

نقض داده چه خطراتی برای کاربران دارد؟

جدا از خطراتی که نقض داده می‌تواند برای سازمان‌های دولتی و خصوصی داشته باشد، داده‌های سرقت شده کاربران و ارباب رجوعان سازمان‌های خصوصی و دولتی می‌تواند تهدیداتی را متوجه آن کاربران سازد. در اینجا ۶ مورد از مهم‌ترین خطرات نقض داده برای کاربران را آورده‌ایم. همچنان با مجله سایبرنو همراه باشید.
جعل هویت
یکی از مهم‌ترین خطرات نقض داده که نه تنها کاربران، بلکه امنیت کشور را تهدید می‌کند، جعل هویت برای اجرای فعالیت‌های مجرمانه و تروریستی است. مجرمین و تروریست‌ها می‌توانند با هک کردن پایگاه‌های داده نگهداری اطلاعات مشتریان شرکت‌های خصوصی مثل اسنپ یا هک کردن پایگاه‌های داده ذخیره داده‌های شهروندان در سازمان‌های دولتی یا حتی خرید چنین اطلاعاتی از دارک وب، هویت اشخاصی که اطلاعات آن‌ها لو رفته است را جعل کنند. برای مثال در رخدادهای اخیر نقض داده که در کشور ما رخ داده است، اطلاعات هویتی بسیاری مثل کد ملی، تاریخ تولد، شماره تلفن همراه، آدرس منزل و محل کار و ... در اختیار هکرها قرار گرفته است که امکان جعل هویت را فراهم می‌آورند. بدین ترتیب، مجرمین و تروریست‌ها می‌توانند با انجام اقدامات خرابکارانه، نه تنها مشکلات زیادی را برای کاربرانی که هویت آن‌ها جعل شده است، ایجاد کنند، بلکه بدون نگرانی نسبت به بازداشت شدن، اقدامات خرابکارانه خود را پیش ببرند و امنیت کشور را با مشکل مواجه کنند.
کلاهبرداری مالی
خطر دیگری که قربانیان نقض داده را تهدید می‌کند، انواع و اقسام کلاهبرداری‌های مالی است که با پشتیبانی اطلاعات هویتی و اطلاعات مالی مثل شماره کارت‌های بانکی و تراکنش‌های مالی قربانیان انجام می‌شود. با اینکه معمولا درگاه‌های بانکی از امنیت بسیار بالایی برخوردار هستند و امکان به دست آوردن رمز کارت‌های بانکی کاربران برای هکرها تقریبا نزدیک به صفر است و با وجود به نیاز به احراز هویت دو عاملی برای پرداخت‌های اینترنتی، همواره احتمالا سوء استفاده مجرمین و کلاهبرداران از سایر اطلاعات کاربران مثل شماره کارت‌ بانکی یا جزئیات تراکنش‌ها که در بعضی موارد نقض داده در سال‌های اخیر لو رفته‌اند، وجود دارد. برای مثال می‌توان به نوعی کلاهبرداری تلفنی اشاره کرد که در آن، تیم‌های کلاهبرداری حرفه‌ای با در اختیار داشتن اطلاعاتی مثل شماره تلفن، نام و نام خانوادگی، شماره کارت بانکی و ... به صورت تلفنی با مخاطبان هدف خود تماس می‌گیرند و تلاش می‌کنند تا با مهندسی اجتماعی و بهانه آوردن یا پریتکستینگ (pretexting)، آن‌ها را ترغیب به افشای اطلاعاتی مثل رمز پیامکی کنند. در یک کمپین کلاهبرداری تلفنی که اخیرا فعال بوده است، کلاهبرداران با در اختیار داشتن شماره ملی، شماره تلفن و شماره کارت بانکی قربانیان نقض داده، با آن‌ها تماس می‌گیرند و به آن‌ها خبر (جعلی) می‌دهند که در یک قرعه‌کشی یا مسابقه برنده شده‌اند و با مهندسی اجتماعی تلاش می‌کنند تا قربانی را ترغیب به افشای کد پیامکی کنند. در صورتی که قربانی فریب بخورد، به راحتی امکان خالی کردن حساب کاربری او وجود دارد. معمولا، مجرمین در چنین سناریوهایی نیز از جعل هویت برای خرید اشتراک تلفن ثابت یا سیم کارت یا افتتاح حساب‌های بانکی استفاده می‌کنند و گفتیم که از اطلاعات افشا شده در رویدادهای نقض داده برای این منظور استفاده می‌شود.

چه راهکارهایی برای جلوگیری از نقض داده وجود دارد؟

تا اینجا گفتیم که خطرات نقض داده برای افراد، سازمان‌ها و حتی دولت‌ها چیست. واضح است که سازمان‌ها باید راهکارهایی برای مقابله با رویدادهای نقض داده بیاندیشند. به طور کلی می‌توان چندین راهکار برای جلوگیری از تکرار چنین رویدادهای تلخی پیش روی کاربران، سازمان‌ها و نهادهای قانون‌گذار وجود دارد:
  1. کاربران تا جای ممکن اطلاعات محرمانه خود را در پلتفرم‌های آنلاین مثل وبسایت‌های فروشگاهی و … وارد نکنند. هر چه اطلاعات شخصی شما در پایگاه‌های داده کمتری ذخیره شده باشد، احتمال نشت آن‌ها به دلیل نقض داده، کمتر خواهد بود.
  2. شرکت‌های خصوصی و سازمان‌های دولتی با امن سازی شبکه‌ها و سرورهای خود و استقرار سامانه‌های امنیتی مثل فایروال‌ها، سیستم‌های شناسایی نفوذ، سیستم‌های پیشگیری از نفوذ، سامانه‌های مدیریت و نظارت بر لاگ، سامانه‌های انتقال امن فایل، راهکارهای امنیت ایمیل، امنیت شبکه خود را ارتقاء دهند و احتمال نقض داده را به حداقل برسانند. گذشته از این، شرکت‌های خصوصی و سازمان‌های دولتی باید در سیاست‌های ذخیره داده‌های کاربران بازنگری کنند و صرفا اطلاعات ضروری را با رضایت کاربر و آگاهی‌رسانی نسبت به خطرات نقض داده، ذخیره‌کنند.
  3. نهاد‌های تنظیم‌گر و قانون‌گذار باید سیاست‌های سخت‌گیرانه‌ای را برای حفاظت از داده‌های کاربران اتخاذ کنند و سازمان‌های خصوصی و دولتی را موظف به حفاظت از داده‌های کاربران کنند. قوانین وضع شده باید به گونه‌ای باشند که سازمان‌ها را در مقابل موارد نقض داده پاسخگو کنند و امکان جبران خسارت‌های مادی و معنوی کاربران را فراهم آورند.

سوالات پر تکرار

منظور از نقض داده، دسترسی غیر مجاز هکرها با هک کردن شبکه‌ها و سرورهای سازمان‌های دولتی یا خصوصی، به داده‌های حساس سازمانی یا داده‌های کاربران دریافت‌کننده خدمات از آن سازمان‌ها است.
هکرها می‌توانند با گردآوری اطلاعات شخصی کاربران عمومی، اقدامات مجرمانه‌ای مثل جعل هویت، کلاهبرداری، حملات فیشینگ و اسپم، سوء قصد به جان و مال افراد و اخاذی از آن‌ها را انجام دهند یا این اطلاعات را در دارک وب به تروریست‌ها و مجرمین دیگر بفروشند.
با اینکه در کشور ما قوانینی برای حفاظت از حریم خصوصی و داده‌های شخصی شهروندان وجود دارد اما خلاء قانونی زیادی در موضوع نقض داده‌های شخصی و حریم خصوصی شهروندان به واسطه سازمان‌های دولتی و شرکت‌های خصوصی در قانون دیده می‌شود که بازنگری در بعضی قوانین را اجتناب‌ناپذیر می‌سازد. برای اطلاعات بیشتر در این باره می‌توانید به مقاله «چالش‌های نظام حقوقی ایران در نقض داده‌ها و حریم خصوصی در فضای سایبر» (رییسی‌دزکی و قاسم‌زاده‌لیاسی، ۱۳۹۹) مراجعه کنید.

نظر خود را با ما در میان بگذارید

0 0 رای ها
امتیاز دهید
اشتراک در
اطلاع از
guest

0 نظرات
قدیمی‌ترین
تازه‌ترین بیشترین رأی
بازخورد (Feedback) های اینلاین
مشاهده همه دیدگاه ها

مطالب مرتبط