xtrim
محمدتقی راشت نیا۲۱:۲۱ | سه شنبه، ۱۵ مهر ۱۳۹۹

دسترسی به اطلاعات کاربران مثل آب خوردن

به گزارش جهان صنعت نیوز:  در بسیاری از مواقع دسترسی به اطلاعات کاربران حتی نیازی به حملات سایبری هم ندارد چراکه صرافی‌های آنلاین اصلا از اطلاعات کاربران حفاظت نمی‌کنند، دانشگاه‌ها اطلاعات دانشجویان را به صورت پی‌دی‌اف درآورده و به راحتی با یک جست‌وجوی ساده در گوگل می‌توان به این اطلاعات دسترسی پیدا کرد. بسیاری از دیتابیس‌ها و سیستم‌ها هیچ حفاظتی از اطلاعات کاربران انجام نمی‌دهند و هک کردن بسیاری از سامانه‌های بانکی، بیمه‌ای یا سامانه‌ای مانند فنی و حرفه‌ای بسیار ساده است به طوری که با ساده‌ترین روش‌های هک می‌توان به اطلاعات دسترسی پیدا کرد. بنابراین اگر در ایران دانشجو بودید، اکنون اطلاعات بسیاری از شما در اینترنت موجود است. اگر در ایران زندگی می‌کنید و قصد دارید رمزارز خرید و فروش کنید بهتر است که منصرف شوید چراکه اطلاعات شما بدون حفاظت در اختیار سودجویان قرار گرفته و به راحتی با این اطلاعات پولشویی می‌کنند.

اطلاعات بی‌حفاظت در صرافی‌های آنلاین

یک کارشناس امنیت سایبری در بررسی‌های گسترده‌ای که داشته متوجه شده اطلاعات کاربران بسیاری در فضای مجازی فاش شده و حملات سایبری به سامانه‌های مختلف همچنان در حال انجام است.

جواد دادگر کارشناس امنیت سایبری در گفت‌و‌گو با «جهان ‌صنعت» اظهار کرد: از چند ماه قبل که فاش شدن اطلاعات کاربری را بررسی کردم، متوجه اتفاقاتی که در صرافی‌های آنلاین رخ داد شدم. در این صرافی‌های آنلاین که بیت‌کوین و رمزارزها به فروش می‌رسند اطلاعات تمامی کاربران فاش شده است.

opal

وی افزود: صرافی‌های آنلاین اطلاعاتی از کاربران مانند کارت ملی، کارت بانکی و عکس می‌گرفتند و نگهداری می‌کردند و این امر مشکلات بسیاری را برای کاربران ایجاد کرد.

دادگر تاکید کرد: هکرها برای دستیابی به اطلاعات کاربران حتی نیازی به هک کردن صرافی‌ها نداشتند چراکه تمامی اطلاعات به صورت محافظت‌نشده نگهداری می‌شد و حتی برای دسترسی به اطلاعات کاربران نیازی به حمله سایبری یا هک هم نبود. به راحتی سودجویان می‌توانستند در صرافی‌های آنلاین به اطلاعات کاربران دسترسی یابند و از اطلاعاتی مانند کارت ملی و کارت بانکی سوءاستفاده کنند.

وی افزود: این اتفاق در چند صرافی آنلاین رخ داد. هر کدام از این صرافی‌ها اطلاعات ۱۰ هزار تا ۲۰ هزار کاربر را نگهداری می‌کردند که به راحتی کلاهبرداران به این اطلاعات دسترسی پیدا کرده و از آنها پکیجی ایجاد کرده و در صرافی‌های دیگر احراز هویت می‌کردند و با اطلاعات کاربران پولشویی می‌کردند.

سرویس‌های حفاظت‌نشده

دادگر گفت: اتفاق بزرگ‌تر دیگری که رخ داد برای یکی از دیتابیس‌ها به نام سرویس الستیک بود. این سرویس نیز محافظت‌نشده بود و تمامی اطلاعات بدون هیچ رمز و حفاظتی روی سرویس قرار داشت. از این طریق افراد مختلف می‌توانستند به راحتی از طریق شماره تلفن به آی‌دی تلگرام افراد دسترسی پیدا کنند و از طریق آی‌دی تلگرام به شماره تلفن‌ها برسند.

وی افزود: نرم‌افزار مایکت نیز اطلاعات کاربران را بدون حفاظت در دسترس قرار داده بود و برای دسترسی به اطلاعات کاربران حتی نیازی به هک و حمله سایبری نبود. بسیاری از دیتابیس‌های کشور به صورت محافظت‌نشده اطلاعات کاربران را جمع‌آوری کرده‌اند و هر فردی می‌تواند بدون هیچ حمله سایبری و بدون نیاز به هک اطلاعات کاربران در دیتابیس‌ها را جمع‌آوری کند.

هک‌های ابتدایی

دادگر گفت: از مواردی که بررسی کردیم رسیدیم به پنل یکی از اپراتورها که هک شده بود و اطلاعات پنج تا شش میلیون کاربر رایتل در اختیار کلاهبرداران قرار گرفته بود.

او افزود: چندی پیش نیز پرتال سازمان فنی و حرفه‌ای هک شده بود و اطلاعات کاربران آن لو رفته بود. بسیاری از سامانه‌های کشور اگرچه رمز دارند و محافظت شده‌اند اما از روش‌های محافظتی بسیار ضعیفی استفاده می‌کنند به صورتی که با ابتدایی‌ترین روش‌های هک به راحتی می‌توان به اطلاعات کاربران سامانه‌ها دسترسی پیدا کرد.

این فعال امنیت سایبری تاکید کرد: در حال حاضر نیز از اطلاعات بسیاری از سامانه‌ها با ابتدایی‌ترین روش‌های هک سوءاستفاده می‌شود اما رسانه‌ای نمی‌شود و هیچ فردی از سامانه مورد نظر به کاربران اطلاع نمی‌دهد که اطلاعات‌شان در سامانه فوق هک شده است.

اطلاعات دانشجویان با جست‌وجو یافت می‌شوند

به گفته دادگر از همه بدتر سامانه‌های دانشگاه‌های کشور هستند که اطلاعات دانشجویان را به صورت پی‌دی‌اف در گوگل منتشر می‌کنند و به راحتی در دسترس همگان قرار می‌دهند. با یک جست‌وجوی ساده می‌توان نام و نام خانوادگی، شماره ملی، نمرات تحصیلی و دیگر اطلاعات موجود در دانشگاه‌ها را در اختیار داشت.

او تاکید کرد: سامانه‌های حفاظت‌نشده دانشگاه‌ها موجب شده اطلاعات گسترده‌ای از دانشجویان کشور فاش شود و تقریبا اطلاعات همه کاربران در یکی از این سامانه‌ها لو رفته است. چندی پیش یک شرکت بیمه‌ای مورد حمله سایبری قرار گرفت و اطلاعات کاربران این شرکت نیز در اینترنت فاش شد.

دادگر مشکلات سیاستگذاری و نظارت ضعیف را عامل اصلی فاش شدن اطلاعات کاربران می‌داند و به اعتقاد او هرگز روال مشخصی وجود نداشته که داده‌ها را چگونه حفاظت کنیم و نگهداری آن به چه طریق باید باشد.

سخن آخر

مشکل از سیاستگذاری شروع می‌شود. نه مجلس، نه سازمان رگولاتوری هیچ قوانینی برای لزوم حفاظت از اطلاعات کاربران وضع نکرده و هیچ نظارتی روی چگونگی حفاظت از اطلاعات کاربران ندارد به طوری که دانشگاه‌ها که باید معتمد دانشجویان باشند به راحتی اطلاعات آنها را لو می‌دهند و کاربران بسیاری از سامانه‌های کشوری مانند برخی شرکت‌های بیمه و حتی شرکت‌های صنعتی به دلیل حفاظت ضعیف، اطلاعات‌شان مورد سوءاستفاده سودجویان قرار می‌گیرد. اگر از اطلاعات کاربران برای پولشویی و مقاصد شوم استفاده شود خبردار نمی‌شوند اما مقصر اصلی این امر سازمان رگولاتوری، نهادهای دولتی و نظارتی و قانونگذاری است.

 

اخبار برگزیدهخواندنیدانش و فناوری
برچسب ها

شناسه : 143095
لینک کوتاه :
محمدتقی راشت نیا۲۱:۲۱ | سه شنبه، ۱۵ مهر ۱۳۹۹
تمام حقوق این وب سایت برای جهان صنعت نیوز محفوظ است. | نشر مطالب با ذکر نام جهان صنعت نیوز بلامانع است.