روزنامه ابتکار

ماجرای هک‏شدن حساب کاربری برخی کاربران اسنپ چیست؟ سفر رایگان بر بال اعتبار اکانت‌های دزدی

گروه جامعه: تاکسی‌های اینترنتی، از زمان ظهورشان در ایران، حواشی گوناگونی داشته‌اند؛ از اعتراض‌های تاکسی‌های شهری و تاکسی‏‏تلفنی‌ها گرفته تا گلایه‌های کاربران از سرویس، قیمت و رفتار رانندگان؛ از ماجرای راننده‌ای که یک خانم مسافر را به دلیل از سر افتادن شالش پیاده کرد تا راننده دیگری که به یک مسافر تجاوز کرده بود. دسترسی‌های این اپلیکیشن‌ها و نیز دخالت در نصب اپلیکیشن‌های دیگر روی گوشی تلفن همراه از چالش‌های دیگر این سرویس‌دهنده‌ها بود. در شرایطی که این روزها خبر می‌رسد این شرکت‌ها قرار است زیر چتر نظارتی شهرداری بروند، برخی نگرانی‌ها درباره امنیت حساب‌های کاربری کاربران ادامه دارد.
ماجرا بار اولی نیست که اتفاق می‌افتد، اما همچنان روی می‌دهد. روز گذشته کاربری در حساب توئیتر خود نوشت: «ظاهرا حساب اسنپ‌م هک شده. در سابقه سفرها، لابلای سفرهای خودم، سفرهای زیادی در قم انجام شده و هزینه سفر از حساب من کسر شده است. عجیب آنکه در بخش اطلاعات کاربری شماره همراه دیگری را نشان می‌دهد! شماره همراهم را به ]حساب کاربری پشتیبانی اسنپ در توئیتر[ دادم، گفت چنین کاربری نداریم. فعلا حساب را مسدود کرد». وی که با انتشار تصاویری ادعای خود را مستند کرده، در ادامه نوشته است: «نکته جالب کسی که از حساب اسنپ من در شهر قم استفاده می‌کند، این است که: 1-در تمام سفرها، یک آدرس دو بار تکرار نشده! گویا یک نفر نیست و آدرس‌ها متنوع‌اند. 2-هر بار حسابم را شارژ کرده‌ام، سفرهای قم شروع شده‌اند تا در یکی دو روز، شارژ خالی شود». این کاربر در ادامه خلاصه پیگیری خود از این شرکت را هم شرح داده و به نقل از اسنپ آورده است: «ما که نمی‌تونیم بگیم واقعا هک شده باشید، شاید از آشناهاتون باشن. نتیجه: کلا حساب رو مسدود می‌کنیم و برید یه حساب جدید بسازید». او اشاره می‌کند: «با شماره طرف تو قم هم تماس گرفتم گفت اصلا من نبودم برو هر کاری دلت می‌خواد بکن!». این کاربر نوشته است که حدود 75 هزار تومان از حسابش به این شکل کسر شده است.
کاربران دیگری هم درباره بروز مسئله مشابه نوشته‌اند. مثلا کاربری در توئیتر اشاره کرده است: «با این که قم هستم سفرهای مختلفی تو همدان برام ثبت شده و از شارژم کم شده بود. جالب اینجاست که دقیقا تو همون ساعت و روز من تو قم هم با اسنپ سفر داشتم. ولی نکته مهم اینجاست که اسنپ هیچ کاری نکرد و تامام». یک کاربر دیگر هم با شرح مشکل مشابهی که برایش پیش آمده و با اشاره به این که بانک اطلاعاتی نشت کرده است، در نهایت پرسیده: «چرا نباید بعد از نشت، اطلاع‌رسانی به کلیه کاربران می‌شد؟».
چنان که گفته شد، موضوع هک حساب‌های کاربری جدید نیست، اما تداوم آن نشان می‌دهد که اقدامات اسنپ، چه از نظر ارتقای امنیت و چه از نظر توضیح و آموزش کاربران کافی نبوده است.


نیمه دوم سال گذشته بود که اخباری درباره آگهی‌های فروش اکانت‌های دارای موجودی اسنپ منتشر شد. در این آگهی‌ها، ضمن اشاره به مبلغ موجودی حساب‌ها، اشاره شده بود که اطلاعات کاربری قابل تغییر است و خریدار می‌تواند شماره تلفن و ایمیل و نام کاربری حسابی که خریداری می‌کند را تغییر دهد. همزمان برخی فعالان حوزه امنیت، به اسنپ درباره سازوکار کرک شدن آسان حساب‌های کاربری اسنپ و انتشار اطلاعات کاربران هشدار دادند.
روابط‏عمومی اسنپ در آن زمان در واکنش به این اخبار اعلام کرد: «گاهی ضعیف و محتمل‌بودن رمزهای عبور یک حساب کاربری امکان سوءاستفاده‌ را فراهم می‌کند. در تمام دنیا رایج است که برخی از کاربران هنگام ثبت‌نام در سرویس‌های مختلف از رمزهای عبور ساده‌ استفاده می‌کنند. موسسه‌های فعال در زمینه‌ی امنیت اطلاعات سایبری همواره درباره‌ی استفاده از این رمزها هشدار می‌دهند. رمزهایی نظیر «۱۲۳۴۵۶»، «qwerty» و «۱۱۱۱۱۱» از جمله موارد پُرکاربردی هستند که به لحاظ امنیتی ضعیف شمرده می‌شوند. کاربران سرویس‌های داخلی نیز از این قاعده مسثتنی نیستند و گاهی از این رمزها در فرم ثبت‌نام خود استفاده می‌کنند. علاوه بر این رمزهایی که با استفاده از اطلاعات شخصی (مانند کدملی، تاریخ تولد و سایر اطلاعات هویتی) تعیین می‌شوند زمینه سوءاستفاده را برای افراد سودجو فراهم می‌کنند». روابط‏عمومی این شرکت اضافه کرد: «در کنار این موارد، استفاده از اپلیکیشن‌های غیراستاندارد و تاییدنشده نیز می‌تواند باعث در معرض خطر قرار گرفتن رمزهای عبور کاربران شود. این مورد می‌تواند در اندروید خطری جدی باشد، چراکه نصب فایل از منابع غیررسمی در آن امکان‌پذیر است و احتمال دارد اپلیکیشن‌های ناشناس در آن حاوی بدافزار باشد. این بدافزارها می‌توانند اطلاعات شما را ذخیره و برای فرد دیگری ارسال کنند». آن‌ها در ادامه گفته‌اند: «به تازگی گزارش‌های محدودی در خصوص تلاش برای دسترسی به حساب اسنپ برخی از کاربران دریافت کرده‌ایم. ضمن اطمینان از محفوظ بودن اطلاعات کاربران، اعلام می‌کنیم که حفظ این اطلاعات از اهمیت بسزایی برای ما برخوردار است. سیستم شناسایی هویت اسنپ تمامی رمزهای عبور کاربران را به صورت هَش‌شده (Hash) ذخیره می‌کند. یعنی تنها شخص کاربر از رمز عبور خود مطلع است و حتی اسنپ نیز به رمزهای کاربرانش به صورت واضح (plain) دسترسی ندارد». اسنپ سپس توصیه‌هایی هم به کاربران خود ارائه داده است: «از آنجایی که بخشی از فرایند امنیت اطلاعات کاربران منوط به رعایت استانداردهای امنیتی از سوی شخص خودشان است، رعایت موارد ذیل در هنگام استفاده از تمامی خدمات آنلاین، نظیر اسنپ، پیشنهاد می‌شود:
برای کاهش ریسک، در هنگام ثبت‌نام از رمزهای قوی (شامل حروف بزرگ، کوچک، عدد و کاراکتر) استفاده کنید. در صورتی که اکنون حساب اسنپ دارید می‌توانید با رفتن به قسمت تنظیمات اپلیکیشن رمز عبور خود را تغییر دهید و از یک رمز قوی استفاده کنید.
همواره از آخرین نسخه اپلیکیشن موردنظر خود استفاده کنید. در صورت نصب آخرین نسخه اپلیکیشن اسنپ (روی آی‌اواس یا اندروید) می‌توانید از قابلیت ثبت‌نام/ورود با شماره تلفن همراه استفاده کنید. در این حالت یک رمز یکبار مصرف (OTP) به شماره‌‌ای که در اسنپ وارد کرده‌اید ارسال می‌شود. این رمز تنها یک بار قابل استفاده خواهد بود و پس از اینکه کاربر آن را در اپلیکیشن اسنپ وارد کند دیگر معتبر نخواهد بود. به این ترتیب رمز عبور شما هر بار فقط روی سیم‌کارتی که با آن قصد ورود به اسنپ را دارید ارسال و در دسترس‏تان قرار می‌گیرد.
گفتنی است به منظور ارتقای سطح امنیت و حفاظت از اطلاعات کاربران، به زودی امکان جدیدی به اپلیکیشن اسنپ اضافه خواهد شد که بیش از پیش مانع سوء‌استفاده‌های احتمالی می‌شود. با وجود این امکان، در صورت استفاده از حساب کاربری شما در یک دستگاه جدید پیامک و ایمیلی برایتان ارسال می‌شود تا در جریان قرار بگیرید و آن را تایید کنید. به این ترتیب، در صورت نیاز می‌توانید به سرعت رمز ورود خود را تغییر دهید و مانع هرگونه سوء‌استفاده‌ احتمالی شوید».
درباره تکرار این ماجرا نیز روابط‏عمومی اسنپ به همین توضیحات پیشین ارجاع داده است. مسئله اما اینجاست که آیا مسئولیت هک‏شدن حساب‌های کاربران تنها با خودشان است؟ در این صورت با وجود تکرار ماجرا بعد از ماجرای پیشین، ‌می‌شد اطلاع‌رسانی مناسبی در این زمینه صورت گیرد تا کاربران مجددا در دام سوءاستفاده‌گران نیفتند. همچنین آیا امکان ندارد که سازوکارهای احراز هویت مالک اکانت یا تغییر در حساب کاربری به گونه‌ای برنامه‌نویسی شود که امنیت آن بیشتر باشد؟ چنان که مشاهده می‌کنیم درباره بسیاری از حساب‌های کاربری آنلاین، حساسیت‌ها در این باره بسیار زیاد است و روش‌های گوناگونی اعم از تایید رمز دو مرحله‌ای، ارسال رمز موقت و... برای بالا بردن امنیت حساب‌های کاربری استفاده می‌شود. حداقل می‌توان تا حل مسئله، از کاربران خواست که اعتبار حساب خود را شارژ نکنند و یا این امکان موقتا تا رفع مشکل غیرفعال شود. رخ ندادن این اتفاق، این شک و شبهه را برای کاربران به وجود خواهد آورد که اسنپ حاضر نیست برای رضایت مشتری و بالا بردن امنیت کاربرانش، از سود وجود این مبالغ در حساب خود بگذرد.
در جستجوی آگهی‌های مربوط به فروش اکانت‌های اعتباری، یک مورد عجیب هم انتشار آگهی فروش اکانت کاربری با اعتبار 27 میلیون و 535 هزار تومانی است! فروشنده که قیمت این معامله را توافقی اعلام کرده، در این آگهی نوشته است: «قابل استعلام از خود اسنپ، حساب روی یک سیمکارت ایرانسل هست که سیمکارت بنامتون میشه». وجود چنین آگهی مشکوکی می‌تواند میزان حساسیت درباره ماجراهای مشابه را هم بالا ببرد و باید مورد توجه اسنپ و کاربرانش قرار گیرد.
شاید در نگاه اول، اعتبار حساب‌های کاربری و بحث مالی هک اکانت‌های اسنپ به چشم بیاید، اما مقاصد و زمان‌های سفرها، شماره تلفن و سایر اطلاعات کاربران نیز در صورت هک اکانت می‌تواند مورد سوءاستفاده قرار گیرد و حتی سهل‌انگاری کاربران هم نمی‌تواند نافی مسئولیت سرویس‌دهنده در ارتقای امنیت کاربرانش باشد و شاید بهتر است راهکاری فراتر از بستن حساب پیشین و باز کردن حساب جدید در واکنش به این مسائل اتخاذ شود. در نهایت به نظر می‌رسد پیگیری قانونی چنین جرائمی هم نیاز به پیگیری متمرکز اسنپ دارد تا هکرهای سوءاستفاده‌گر، حریم امن تعقیب نشدن را در اطراف خود حس نکنند و بدانند که در صورت انجام چنین جرمی، مورد تعقیب قانون و مجازات قرار خواهند گرفت. فراموش نکنیم که حیات کسب‌وکارهای خدماتی به مشتریان آن وابسته است و اگر نارضایتی کاربران فزاینده و جمعی شود و به حرکت‌هایی مثل تحریم هم برسد، یک کسب‌وکار، به‏ویژه با ساختار استارت‏آپی، ضربه شدیدی متحمل خواهد شد؛ به خصوص که انحصار بازار از دست آن شرکت خارج شده و رقبا چشم‏انتظار از دست رفتن بخشی از سهم بازار توسط یک شرکت و تصاحب آن باشند.
لینک منبع خبر
پربازدیدترین‌های روزنامه ها
پس از انتشار تصاویر ماهواره ای از میزان خسارت ها به پایگاه نواتیم، دیروز نیز تصاویر ماهواره‌ای پایگاه رامون ارتش صهیونیستی منتشر شد که نشان می دهد علاوه بر آشیانه ها، مراکز تجهیزات نظامی نیز توسط موشک های بالستیک ایران هدف قرار گرفته است (خراسان) امیر واحدی: این‌بار با بمب‌افکن su ۲۴ پاسخ ویرانگر می‌دهیم / سردار حاجی‌زاده: صد در صد می‌زنیم (جوان) اخبار ویژه (کيهان) پیام صریح ایران به جنگ‌طلبان صهیونیست (تجارت)
سایر اخبار این روزنامه
رئیس‌جمهوری در مراسم رژه نیروهای مسلح: آماده‌ایم از خطاهای همسایگان در منطقه بگذریم جلال خوش‌چهره کارنامه ترامپ در جامعه بین‌الملل ماجرای هک‏شدن حساب کاربری برخی کاربران اسنپ چیست؟ سفر رایگان بر بال اعتبار اکانت‌های دزدی چرا بازیگران جوان حاضر به پذیرفتن گریم‌های سنگین نیستند؟ پیرم نکن! ‌همه بندهای اقتصاد مقاومتی به بازار سرمایه مرتبط هستند بازار سرمایه، راه‌گذار به سوی اقتصاد شفاف «ابتکار» از رفتارهای غلط در فضای سیاسی کشور گزارش می‌دهد رویکرد تخریبی آفت فعالیت سیاست‌ورزی «‌ابتکار» شروع اعتراضات خیابانی در مصر و پیامدهای آن را بررسی می‌کند احیای قیام عربی؟ ظریف در گفت‌و‌گو با رسانه‌های چینی و آمریکایی: ایران آغازگر جنگ نخواهد بود رئیس دیوان‏عالی کشور: محاکمه نجفی ناقص بود معاون رئیس‏جمهوری در امور زنان و خانواده‏‏: ورزشگاه‏ها سالم‏ترین فضا برای ایجاد نشاط زنان است