افشای اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام؛ ماجرا چیست؟
برخی از کاربران تلگرام به مسئولین وزارت ارتباطات تاخته اند و آنها را مسئول این موضوع معرفی کرده اند. اما معاون وزیر ارتباطات و رئیس سازمان فناوری اطلاعات در برابر این انتقادها موضع گرفته و گفته که مقصر این اتفاق وزارت ارتباطات نیست. امیر ناظمی در این باره در توییترش نوشت: "طبق مصوبه ۴۴ شورای عالی فضای مجازی وظیفه امنیت بخش کسبوکار با نیروی انتظامی است؛ هرچند بارها ما مخالفت کردهایم. ما مسوول پاسخگویی این حوادث نیستیم. از آنان مطالبهگری کنید. "
به گزارش فرادید، بر اساس اطلاعات وبسایت Comparitech، این دادهها توسط گروهی به نام «سامانه شکار» روی سرور Elasticsearch قرار گرفته که برای دسترسی به آن هیچگونه رمز عبور و احراز هویتی لازم نبوده است و البته این دادهها در ۲۵ مارس، پس از آنکه یک محقق امنیتی به نام باب دیاچنکو این موضوع را گزارش داده، از این سرور حذف شدهاند.
شرکت رسپینا نیز در واکنش به موضوع میزبانی از سامانه شکار که منجر به نشت اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام شده، اعلام کرد امکان دخل و تصرف در تنظیمات امنیتی سرورهای مشتری توسط شرکت ارائهدهنده خدمات و اجازه قانونی رصد فعالیت یا ورود به حریم خصوصی سرویسگیرندگان را ندارد.
عبدالکریم حسینزاده رییس فراکسیون حقوق شهروندی مجلس نیز، در صفحه شخصی خود در اینستاگرام با اشاره به آنچه «حراج اطلاعات خصوصی» ۴۲ میلیون کاربر ایرانی تلگرام خوانده، «فیلترینگ و فعالیت پوستههای فارسی تلگرام در فضای غیرشفاف» را بی تاثیر ندانسته و نوشته است: "رییس جمهوری برای حفاظت از حقوق شهروندی ایرانیان، باید در مورد این فاجعه ملی دستور رسیدگی، درباره عوامل ناامن کردن فضای مجازی به ملت گزارش دهد. "
مقصر افشای اطلاعات کاربران ایرانی تلگرام کیست؟
با این وجود برخی کارشناسان نیز معتقدند که ضعف قوانین و در برخی موارد نبود قانون موجب بروز این اتفاقات شده و در آینده نیز رخ خواهد داد. میلاد نوری، کارشناس فناوری اطلاعات به ایسنا گفته است که درزمینه جلوگیری از نشت اطلاعات کاربران و حمایت از اطلاعات کاربران در کشور ما قانونی جهت پیشگیری و پیگیری وجود ندارد. او گفت: "وقتی دیتابیس یک اپراتور فاش میشود، با یک تکذیبیه داستانش تمام میشود، وقتی دیتابیس پذیرندههای یک بانک فاش میشود هم میگویند بررسی میکنیم و گزارش میدهیم، اما با گذشت دو سال هنوز نه گزارشی دادند و نه عذرخواهی کردند، وقتی دیتابیس سایت فروش بلیت فاش میشود، میگویند مسئولیتش را پذیرفتیم بدون اینکه به کاربران اخطار دهند چه دیتایی منتشر شده و چه کار باید بکنند. "
وی ادامه داد: "اتفاقات امنیتی اینچنینی ممکن است در سطح گوگل و فیسبوک هم رخ دهد و موضوع جدید و عجیبی نیست، اما آنها کاربران را آگاه میکنند و اطلاع میدهند که اطلاعات شما در معرض خطر است تا اگر نیاز به تغییر رمز عبور یا اقدام خاصی است، این کار را انجام دهند و یا اگر اطلاعات حساسی فاش شده، فکر دیگری کنند. این شرکتها سعی میکنند با توضیح جزییات به کاربران این اطمینان خاطر را بدهند که دیگر این اتفاق تکرار نمیشود و حتی قانون با پیگیری، جلوی آنها میایستد."
این کارشناس فناوری اطلاعات با بیان اینکه به نظر میرسد در ایران اینکه دیتابیس یک سیستم منتشر شود، اهمیتی ندارد، افزود: "هیچکدام از کسبوکارهایی که تاکنون پایگاه دادهشان فاش شده به دادگاه نرسیدند، زیرا قانونی نداریم که تبعاتی برای آنها ایجاد کند. به همین دلیل شرکتها هم ترجیح میدهند این اتفاقات مشمول گذر زمان شود تا کاربران هم موضوع را به فراموشی بسپارند و این خیلی خطرناک است."
نوری با اشاره به نشت اطلاعات کاربران ایرانی در یک سال گذشته که بیشتر از سوی افراد خارجی اتفاق افتاده است، گفت: "این موضوع نشان میدهد خارجیها بازار خوبی پیدا کردند، در ایران قانونی وجود ندارد و خیلی از شرکتها هم امنیت را رعایت نمیکنند. سارقان اطلاعات گاهی قبل از انتشار این اطلاعات، از کسبوکارها درخواست باج کرده و این باج را از طریق بیتکوین و دیگر ارزهایی که ردی از آنها نمیگذارد، دریافت میکنند."
وی افزود: "انتشار اطلاعات اپلیکیشن تاکسییاب به این خاطر بود که روی دیتابیس اطلاعاتش رمزی نگذاشته بودند، در حالی که این موضوع از ابتداییترین اصول امنیت است. یا اکانتی منتسب به اپلیکیشنی که اطلاعات کابرانش فاش شده توییت میکند که اطلاعات خاصی منتشر نشده و صرفا شماره تلفن بوده است. این نشان میدهد این شرکتها نه کارشناس امنیتی دارند و نه به مساله امنیت اهمیت میدهند، در حالی که این موضوع تبعات زیادی دارد."
این کارشناس فناوری اطلاعات درباره لایحه صیانت از دادههای شخصی که هنوز به تصویب نرسیده است، گفت: "این موضوع سالها مسکوت مانده است. سه سال پیش در زمان وزارت محمود واعظی، در جلسهای در سازمان فناوری اطلاعات که با حضور مسعود پزشکیان، نایبرئیس مجلس برگزار شد، گوشزد کردیم که از طریق قانونگذاری به این موضوع بپردازند. چندی پیش در جلسه سازمان نظام صنفی رایانهای با حضور جواد جاویدنیا، معاون دادستانی کل کشور، هم این موضوع را مطرح کردیم. درواقع این موضوع اکنون به اطلاع قوای مجریه، مقننه و قضاییه رسیده، اما هنوز در این زمینه کاری از پیش نرفته است."
نوری با اشاره به اصرار برخی از مسئولان به اینکه اطلاعات کاربران نباید از کشور خارج شود، گفت: "ما مشکل قانونگذاری داریم و یکی از دلایلی که افراد به اپلیکیشنهای ایرانی اعتماد نمیکنند، همین است. اطلاعات کاربران اگر بخواهد در ایران باشد، باید قانونی وجود داشته باشد که از این اطلاعات و مالک آنها حمایت کند. درحال حاضر اگر چت کاربران در یکی از اپلیکیشنهای ایرانی هم لو برود، حتی درصورتیکه هویت اپلیکیشن مشخص باشد و مسئولیت هم بپذیرد، باز هم قانونی وجود ندارد که با این اتفاق برخورد شود."
وی همچنین خاطرنشان کرد: "مدتی پیش پیامرسان سروش را برای فروش گذاشتند و دیتایی که تا چند وقت پیش در اختیار یک نهاد بوده، اکنون میتواند با خرید این پیامرسان توسط یک شخص، در اختیارش قرار گیرد. نشت اطلاعات هر یک از اپلیکیشنها ممکن است پس از مدتی فراموش شود، اما درنهایت به اعتماد عمومی ضربه میزند و باعث میشود حتی اگر یک اپلیکیشن ایرانی وظایف امنیتی خود را هم بهدرستی انجام دهد، بهدلیل نبود اعتماد کاربران آسیب ببیند. بحث حریم شخصی با دلجویی رفع نمیشود، بلکه نیازمند قانون است و باید تبعاتی داشته باشد."
