در این بلاگ‌پست، به سراغ یکی از یک شکارچی آسیب پذیری نام‌آشنا رفتیم تا با او گپ‌وگفت کوتاهی راجع به حریم خصوصی داده‌ها داشته باشیم؛ یاشار شاهین‌زاده (voorivex)

_ شما به عنوان یک متخصص حوزه امنیت، اوضاع حریم خصوصی داده‌ها را به طور کلی در بازه‌ی چند ساله‌ی اخیر چگونه می‌بینید و آیا اوضاع را در این زمینه مناسب می‌دانید؟

اگر ایران و خارج ایران را دو دسته در نظر بگیریم و خارج از ایران هم دو دسته‌ی اروپا و آمریکا را شامل شود، می‌توان گفت متاسفانه در ایران، هیچ قانون مشخصی نداریم. واضح‌تر بگویم؛ اگر پایگاه‌داده‌ای یا استارت‌آپی اطلاعاتش افشا شود، هیچ راه قانونی و حقوقی مشخصی برای پیگیری این حوادث نداریم. ما در این زمینه در دنیا بسیار عقب هستیم و خب می‌بینیم که قانونی در همین زمینه در اروپا تحت عنوان GDPR در حال اجراست که کلیتش این است که شما در هر لحظه می‌توانید از هر پلتفرمی درخواست شفافیت درخصوص این‌که" چه اطلاعاتی نزد آن پلتفرم دارید" کنید و آن پلتفرم موظف است که تمام داده‌هایی که چه به صورت مستقیم و چه به صورت غیر مستقیم از شما ذخیره کرده را، در اختیار شما بگذارد و شما بتوانید آن داده‌ها را دانلود کنید.همچنین می‌توانید درخواست حذف این داده‌ها از پلتفرم را بدهید. در حال حاضر شبکه‌های اجتماعی مشهور از این قانون تبعیت می‌کنند اما در ایران قانونی به این صورت نداریم و علاوه بر عدم وجود چنین قانونی، نقض آن هم اتفاق می‌افتد! به عنوان نمونه، وقتی شما از یک اپلیکیشن سفارش غذا خدمات می‌گیرید، رستورانی که شما از آن سفارش نداده‌اید به شما پیامک تبلیغاتی می‌فرستد. در صورتی که شما موافق این اتفاق نیستید و این، خود یک نقض حریم خصوصی داده‌هاست.

_ بدترین و یا خطرناک‌ترین شکست در حریم خصوصی داده‌ها را کدام حوادث سایبری و نشت اطلاعات کاربران می‌دانید؟ نظرتان در مورد هر کدام از آن حوادث چیست؟ و چه علتی باعث شده که به عنوان بزرگ‌ترین حادثه در این زمینه از آن‌ها یاد شود؟

به نظر بنده در ایران، موضوع تلگرام‌های جعلی یکی از بدترین شکست‌ها در حفظ حریم خصوصی داده‌هاست؛ هر کس، تنها با در دست داشتن اطلاعات افشا شده می‌توانست از طریق نگاشت نام کاربری تلگرام فردی به شماره تماس آن فرد دست پیدا کند. حجم اطلاعات بسیار زیاد بود و نکته اینجا بود که این اطلاعات به سختی به دست می‌آمد. مورد دیگری که می‌توانم ذکر کنم، موضوع نشت اطلاعات سیبچه بود که هر کس با اطلاعات افشاشده می‌توانست هویت افراد صاحب آیفون را به دست بیاورد و شناسایی کند. نمونه‌ی دیگر و بزرگی که می‌توانم بگویم، نشت اطلاعات رایتل بود که هکری از حدود ۱۲ میلیون کاربر رایتل، اطلاعات حدود ۵ میلیون نفر را استخراج کرده بود و خب این اطلاعات از جنبه‌های مختلف حیاتی به حساب می‌آمدند. همان زمان بود که خوش‌بختانه رایتل وارد پلتفرم باگ‌بانتی راورو شد و آسیب‌پذیری‌های دیگری نیز به جز آسیب‌پذیری‌ای که باعث استخراج اطلاعات آن ۵ میلیون نفر می‌شد هم کشف شد و خب به نظر من، شرکتی مانند رایتل باید بیشتر مراقب حفظ حریم خصوصی داده‌های کاربران می‌بود.

_ با توجه به اهمیت حریم خصوصی داده‌ها در شرکت‌ها، راه‌کارهایی که افراد حقوقی و حقیقی می‌توانند برای محافظت از حریم خصوصی داده‌های خود انجام دهند و نکات مهمی را که در این زمینه وجود دارد، چه مواردی هستند؟

از راه‌کارهایی که می‌توانم پیشنهاد کنم این است که مکانیزم‌های امنیتی در سازمان پیاده‌سازی شده باشند. البته، تعداد کاربران هر کسب‌وکار در انتخاب راه‌کار امنیتی مناسب و لازم برای حفظ حریم خصوصی داده‌ها اثر دارد و لازم است که موردتوجه قرار گیرد. و به عنوان نمونه، اگر شما ۱۰۰ هزار کاربر داشته باشید، راه‌کار متفاوتی نیاز دارید تا اینکه ۵ میلیون کاربر داشته باشید. در این راه‌کار باید مشخص باشد که داده‌ها چگونه ذخیره شوند، چگونه از داده‌ها باید مراقبت کرد و چگونه از استخراج اطلاعات از آن‌ها جلوگیری کرد. پیشنهاد شخصی من این است که کاربران اطلاعاتشان را به هر جایی وارد نکنند و به هر جایی اعتماد نکنند و سریع اطلاعاتشان را در اختیار جایی قرار ندهند و درباره پلتفرم بررسی کنند که شناخته شده باشد و امنیت و حریم خصوصی داده‌های کاربران برای آن پلتفرم مهم باشد.

_ موج جدیدی در قالب پیام‌های متنی و چندرسانه‌ای در شبکه‌های اجتماعی و به خصوص پیام‌رسان‌ها راه افتاده است که گفته شده Whatsapp از تاریخ مشخصی اهمیتی به حریم خصوصی کاربران خود نخواهد داد و کاربران را تشویق به حذف Whatsapp می‌کند. به علت گستردگی این موج، کنجکاو بودیم که نظر شما را در این‌باره جویا شویم.

ماجرای Whatsapp، نشان از قدرت رسانه داشت. بعضی دوستان فنی من که پیگیر اخبار امنیتی نیستند هم درباره‌ی این ماجرا از من می‌پرسیدند. منظورم این است که بسیاری از افراد هم بدون آن که دلیلش را بدانند، با موج همراه شدند. در حقیقت، Whatsapp همان کاری را می‌کند که خیلی از شبکه‌های اجتماعی انجام می‌دهند؛ به عنوان نمونه، Instagram هم کاری مشابه Whatsapp می‌کند و خب کسی که تا دیروز اینستاگرام نصب داشته نباید با موج خروج از Whatsapp همراه شود و بایستی Instagram را نیز حذف می‌کرد. احساس من این است که مردم تحت تاثیر این موج قرار گرفتند اما این موج، موج مثبتی است که افرادی که آگاه نبودند نیز آگاه شوند. این موج‌ها باعث می‌شود که ذهنیت مردم نسبت به لزوم حفظ حریم خصوصی داده‌ها شکل بگیرد و شرکت‌ها هم مراقبت خواهند کرد که اتفاقی مشابه Whatsapp برایشان اتفاق نیفتد.

_ حریم خصوصی داده‌ها متعلق به یک دوره‌ی خاص نیست و نخواهد بود. با توجه به رشد نرخ تولید داده‌ها، اهمیت این موضوع بیش از پیش نمایان می‌شود شما آینده‌ی حریم خصوصی داده‌ها را چگونه می‌بینید؟ آیا باز هم شاهد حوادثی در مورد نقض حریم خصوصی داده‌ها و نشت اطلاعات خواهیم بود؟

نقض حریم خصوصی داده‌ها در ایران قطعا اتفاق خواهد افتاد چون ما در ایران هنوز استارت‌آپ‌های قوی نسبت به دنیا نداریم و به عبارتی استارت‌آپ‌های ایرانی اهداف جذابی برای هکرهای دنیا به حساب نمی‌آیند. اما چند سال دیگر که استارت‌آپ‌ها بزرگ‌تر شوند و قوی‌تر شوند احتمال اینکه از خارج هم مورد هدف باشند زیاد است. در خارج از ایران، شرکت‌هایی مثل Spotify و Facebook در زمینه حریم خصوصی داده‌ها بسیار اهمیت قائل می‌شوند چون از سراسر دنیا به آن‌ها حمله می‌شود و واقعا تحمل آن حجم از حملات برای آن‌ها سخت می‌شود ولی در ایران به علت کوچک‌بودن کسب‌وکارها و استارت‌آپ‌ها، هنوز هدف جذابی برای هکرها در جهان نیستند. به عنوان نمونه در این باره، پس از نفوذی که به کافه بازار شد این استارت‌آپ سازوکارهای امنیتی خودش را بسیار جدی گرفت. پیش‌بینی من افزایش نشت اطلاعات در ایران است و به سبب همین موضوع شرکت‌های زیادی هم به مقوله‌ی حفظ حریم خصوصی داده‌ها اهمیت خواهند داد و امیدوارم که قانونی در این زمینه تصویب شود که شرایط حفظ حریم خصوصی داده‌ها از حالت هرج‌و‌مرج خارج شود و امکان پیگیری متخلفان و نقض‌کنندگان حریم خصوصی داده‌ها، به شکل حقوقی وجود داشته باشد. به طور کلی، افزایش حریم خصوصی داده‌ها و همچنین افزایش آگاهی کاربران در آینده اتفاق خواهد افتاد و به همان نسبت نیز، نشت اطلاعات هم بیشتر رخ خواهند داد.

_ با تشکر از زمانی که در اختیار ما قرار دادید.