کاسبان نشتداده
روزانه هزاران فایل شخصی اطلاعات از مبادی رسمی و غیررسمی فروخته میشود، بیآنکه روح کاربران از آنها خبر داشته باشد
مائده امینی_روزنامه نگار
ما مفت ِمفت به اشتراک میگذاریم؛ آنها حفظ میکنند و میلیونها و حتی میلیاردها از فروش آن سود میکنند. اساسا کار عدهای همین است؛ آنها هزار و یک راه قانونی و غیرقانونی برای این کار بلدند. در دنیای مجازی کنونی که هر روز بر گستره آن افزوده میشود، چه بسیارند افراد یا گروههای ناشناس که اطلاعات هر کاربر را جمعآوری میکنند و از آنها درآمدهای قابل ملاحظهای به جیب میزنند. فروش دادهها اما لزوما غیرقانونی نیست. خیلی وقتها شرکتهای مختلف، بهخصوص آنها که تلفن، نام و نامخانوادگی یا حتی شغلمان را به آنها، با رضایت شخصی، اعلام کردهایم، انباری از اطلاعات ما دارند که میتوانند آن را با قیمتهای گزاف به متقاضیان بفروشند. اما واقعا سازوکار فروش دادهها از چه قرار است؟ چطور شماره تلفنهای ما سر از یک شرکت محلی، سازمان مردمنهاد یا هر مجموعه دیگری در میآورد؟
شمارههای بیدفاع
یکی از اصلیترین مراکز فروش دادهها میتواند اپراتورها یا مرکز مخابرات ایران باشد. یکی از شایعاتی که همواره بر سر زبانها بوده، فروش اطلاعات صاحبان سیمکارتها از سوی شرکت مخابرات ایران است. داوود زارعیان، مدیرکل روابط عمومی و امور بینالملل شرکت مخابرات ایران در گذشته این احتمال را رد کرده و توضیح داده است: وقتی مشترکی ثبتنام میکند، اطلاعاتی را در اختیار ما میگذارد و ما این اطلاعات را کاملا محرمانه نزد خود نگه میداریم و چند رده دسترسی برای آن قائل هستیم. هیچکس در سیستم ما نمیتواند بدون دلیل به اطلاعات شخصی کسی دسترسی پیدا کند.
او درباره احتمال خرید داده شرکتها از مخابرات توضیح داده است: در رابطه با اینکه پیامک تبلیغاتی به چه ترتیب ارسال میشود باید بگویم که بسیاری از سازمانها و نهادها شماره تلفن افراد را دارند. بهعنوان مثال وقتی برای کنکور ثبتنام کردهاید، فرم اطلاعات خانواده خود را برای گرفتن یارانه تکمیل کردهاید، به یک نمایشگاه رفتهاید، یا در یک کلاس آموزشی ثبتنام کردهاید، شماره تلفن خود را نوشتهاید. بنابراین بسیاری از مردم خودشان شمارههایشان را در اختیار دیگران قرار دادهاند و شرکتهای فعال در حوزه تبلیغات میتوانند با استفاده از آنها بانک اطلاعاتی تهیه کنند. در نتیجه شماره تلفن و آدرس افراد فقط در اختیار مخابرات نیست بلکه خیلی از سازمانها این اطلاعات را در اختیار دارند.
توضیحات زارعیان در آن سالها اگرچه در ظاهر مخابرات را از فروش اطلاعات مردم تبرئه کرده اما کمکی به حل مسئله نکرده است. چطور و تحت چه سازوکاری سازمان هدفمندی یارانهها، یک آموزشگاه و... اطلاعات خود را به شرکتهای فعال در حوزه تبلیغات میفروشند؟ آیا همه آنها که این روزها دادههای ما را در دست دارند، برای انبارکردن اطلاعات ما مجوز کسب کردهاند؟
فروش قانونی دادهها چگونه است؟
هر شرکتی سازوکار خودش را دارد اما مخابرات ایران ترجیح میدهد نام فروش روی این جابهجایی دیتا نگذارد. براساس اعلام مخابرات، روشهای بسیاری برای ارسال پیامک انبوه وجود دارد. یکی از روشها این است که مثلا فردی میگوید من میخواهم برای کسانی که در شهر ری زندگی میکنند، پیامک بفرستم. زارعیان در اینباره توضیح داده است: در این زمان هم نیازی به مشخصات افراد نداریم بلکه روی آنتنهای شهر ری تنظیم میکنیم و این پیامک به تلفنهایی که زیر این آنتنها هستند، فرستاده میشود. ممکن است فردی ساکن آن منطقه نباشد اما به هر حال اگر در آن زمان در آن محدوده باشد، آن پیامک را دریافت میکند.
مهمترین محرمانهفروشیها در سالهای گذشته
در چند سال اخیر بارها و بارها خبر فروش دادهها و اطلاعات شخصی ایرانیها دست بهدست شده است. هر بار دادههای ایرانیها از یک راه تازهای نشت پیدا کرده است. در آخرین مورد، بخشی از کاربران در توییتر خبر دادند که یک باگ در سیستم ثبتاحوال پیدا شده که بهواسطه حضور این باگ، اطلاعات هویتی ۷۰میلیون ایرانی لو رفته است. خبر اما در حد شایعه باقیمانده بود تا اینکه، یک بات تلگرامی ایجاد شد که صحت قضیه را به همه ثابت کرد. کاربران مختلف میتوانستند با استفاده از شماره ملی و تاریخ تولد خود اطلاعات، نام، نامخانوادگی، نام پدر و جنسیت و وضعیت حیات خود را بهراحتی مشاهده کنند.
در همین رابطه سخنگوی سازمان ثبت احوال کشور مدتی بعد توضیح داد: «وزارت بهداشت مانند ۲۰۰ دستگاه دیگر با ما تفاهمنامهای امضا کرده تا بحث تبادل اطلاعات مربوط به احراز هویت در فضای مجازی را انجام دهیم. براساس این تفاهمنامه و با توجه به شرایط حساس کشور در زمان شیوع ویروس کرونا هم اطلاعات سامانه ثبتاحوال طبق پروتکلهای امنیتی لازم با وزارت بهداشت به اشتراک گذاشته شد اما متأسفانه بهنظر میرسد یک اشتباه غیرعمد که میتواند حاصل فشارهای این روزها باشد باعث شده که این وزارتخانه اطلاعات را در اینترنت قرار دهد.» اما آیا این توضیحات، دادههای پخش شده را دوباره محرمانه میکند؟
کمی قبلتر از این ماجراها، کاربران رایتل قربانی خرید و فروش داده شدند. دادههای 5.5میلیون نفر لو رفت و هکر برای بازپسدادن آنها، درخواست مبلغ گزافی را به بیتکوین کرد. البته رایتل این خبر را تکذیب کرده است!
باز هم به عقب برمیگردیم. شماره تلفن، نام کاربری و... 42میلیون ایرانی از تلگرام نشت کرد. البته مشکل امنیت پایین تلگرام نبود. کاربران ایرانی بهخاطر محدودیتهایی که با آن مواجه بودند از زیرشاخههای غیررسمی تلگرام به نام هاتگرام، تلگرام طلایی و... استفاده میکردند و همین رفتار فکر نشده موجب شد که اطلاعات آنها توسط گروهی به نام «سامانه شکار» در فضای وب منتشر شود که دانلود و دسترسی به آن بدون هیچ رمز عبوری امکانپذیر بود. البته کاربران سیباپ هم تجربه تلخی از لورفتن اطلاعات خود دارند و همه این وقایع مربوط به یکی دو سال اخیر است.
دادهها، سیری چند؟
کسی نرخی برای این اطلاعات بیزبان در اختیار همشهری نمیگذارد. بررسیها اما نشان میدهد که برای مثال افشاکننده دادههای ۴۲میلیون کاربر ایرانی تلگرام، آنها را در بازار سیاه ۵۰۰دلار به فروش رسانده و یا ارزش اطلاعات رایتلیها بیش از 5بیت کوین برآورد شده است. در مجموع بهنظر میرسد فروش دادهها گردش مالی بالایی برای دستاندرکاران این حوزه فراهم کند. برای مثال دانشگاه MIT یکی از معتبرترین دانشگاههای جهان در یکی از گزارشهای پژوهشمحور خود نوشته است: دادهها بهعنوان یک دارایی اصلی، به بازاری پرسود برای شرکتهای فناوری تبدیل شدهاند. شرکتهای فناوری در آمریکا از فروش دادهها و اطلاعات کاربران سالانه درآمدی بالغ بر 200میلیارد دلار بهدست میآورند.
چرا باید از افشای دادههایمان بترسیم؟
اطلاعاتی که بدون مرز منتشر شوند، همیشه خطرناکند. افشای دادهها میتواند کاربران را در معرض خطر جدی قرار دهد. علاوه بر اینکه میتوان مثلا به شماره تلفن و هویت کاربرانی که از تلگرام استفاده میکنند دسترسی پیدا کرد، میتوان از این اطلاعات برای حمله به کاربران نیز استفاده کرد. بهعنوان مثال، شخص ثالت با اطلاعاتی که در اختیار دارد میتواند برای تعویض سیمکارت اقدام کند و اگر موفق به این کار شود، میتواند به تماسها و پیامکهای کاربر نیز دسترسی پیدا کند. راه باجخواهی، کلاهبرداری و... به این وسیله هموار و هموارتر میشود.
هنوز ارزش اطلاعات خود را نمیدانیم
کیوان نقرهکار
پژوهشگر حوزه فناوری اطلاعات
دادههای محرمانه بسیار گرانقیمت و ارزشمند هستند و فروش آن در همه دنیا جرم بهحساب میآید. در دنیای دادهها 2 مدل «داده»وجود دارد، مدل اول، نوعی است که شامل مشخصات خصوصی افراد مثل نشانی، کد ملی و... است. نوع دوم اما براساس تحلیل و رفتار مشتریان بهوجود آمده و جمعآوری میشود. نوع دوم را بارها به شکل ناخودآگاه شرکتها، سازمانها و... از ما دریافت کردهاند. برای مثال این دادهها نشان میدهد که من به کدام سرورهای آنتندهی نزدیکترم؟
در هر دو صورت، کسی که صاحب چنین بانک اطلاعاتیای هست، حق واگذاری یا فروش دادهها را ندارد. این دادهها عموما با عنوان «محرمانگی» ذخیره میشوند؛ مگر اینکه خود مشتری یا کاربر با طرف مقابل توافقی بکند. چه بسیار برگهها و فرمهایی که ما نخوانده امضا میکنیم و با امضاکردن آن ناخودآگاه به سازمان یا شرکت معهود اجازه انتشار اطلاعات خود را میدهیم.
اما راه انتشار این دادهها چیست؟ بعضی از شرکتها خیلی راحت اعلام میکنند که در حال فروش داده کاربران به زیرمجموعههای خود هستند. راه دیگر انتشار این دادهها برای فروش هم «هکشدن» است که باز هم صاحب بانک اطلاعاتی باید در پیشگاه مردم و قانون توضیح بدهد که چرا امنیت کافی را برای این اطلاعات درنظر نگرفته است؟
خوب است بدانیم که کاربر این حق را دارد که از مجموعهای که اطلاعات او را به هر شکلی به فروش رسانده یا در اختیار مجموعهای قرار داده شکایت کند اما عموما این اتفاق نمیافتد؛ چراکه ما خود ارزش اطلاعات خود را نمیدانیم.