روزی که کاربران ایرانی در فهرست هکرهای اسنپ‌فود جستوجو اطلاعاتی درمورد خود از نام و نام خانوادگی و آدرس گرفته تا صورت حساب شام دیشبشان می‌گشتند نزدیک‌ترین رویارویی با درز اطلاعات شخصی را توانایی می‌کردند. اکنون روزهای قبل یک گروه هکری به نام Codebreakers ادعا کرده که به اطلاعات ۴۲ میلیون ایرانی در بانک سپه دسترسی اشکار کرده است. آنها یک راه پیش روی بانک سپه گذاشته‌اند: یا مذاکره می‌کنی یا اطلاعات را به فروش می‌گذاریم.

یکی از اولین چانه‌زنی‌ هکرها بر سر اطلاعات ایرانی‌ها به سال ۱۳۹۱ برمی‌گردد. داستانی که آن را یک مدیر ایرانی شرکت خدمات پرداخت الکترونیک اغاز کرد. سپس از او هکرهای فرد دیگر از راه رسیدند که با خواست‌های شبیه، مدیران بانکی، بیمه‌ای و استارتاپی را لای منگنه قرار دادند.

به گمان زیاد اولین هک در ایران به سال ۲۰۰۰ برمی‌گردد. یقیناً این چیزی است که در آرشیو سایت Zone-H ثبت شده. جایی که هکرها برای کسب اعتبار دستاوردهای خود را گزارش خواهند داد. اگر نقطه اغاز را فقط دعوا به دامنه اینترنتی .ir قرار دهیم این وبسایت می‌گوید که اسفند ماه سال ۱۳۷۸ فرد یا گروهی از هکرها صفحات مهم چند وب سایت دولتی را مورد حملات ظاهری قرار دادند.

درمورد وقتی سخن می‌زنیم که دولت خاتمی تازه دو سال است بر سر کار آمده و اینترنت تا این مدت به شکل گسترده در اختیار کاربرها قرار نگرفته است. در قم در یک یا دو مرکز دفاتر خدمات اینترنتی برای طلاب اراعه می‌شد ولی مردم عادی (آن هم زیاد تر دانشجوها و محققان) فقط در معدود کافی‌نت‌های کلان‌شهرها از اینترنتی با شدت ۲۸ تا ۵۶ کیلوبیت بر ثانیه می‌توانند منفعت گیری می‌کنند.

این هکرها یک گروه بین‌المللی بودند که زیاد ساده فقط به صفحه مهم وب‌سایت‌های گوناگون از ایران تا برزیل و مکزیک دعوا می‌کردند و به مرحله باج‌خواهی نمی‌رسیدند.

یکی از روزهای بهار سال ۱۳۹۱ مدیر یک شرکت نرم افزاری در تهران وبلاگ خود را با پست تازه به روز کرد که این پست تا زمان‌ها به خبر اول مملکت تبدیل شد. خسرو زارع‌فرید برای جلب دقت مدیران به ناامن بودن سیستم بانکی سرزمین اطلاعات نزدیک به سه میلیون حساب بانکی را به همراه رمز عبورشان انتشار کرد. این همه اطلاعات را از کجا آورده می بود؟

او مالک تنها شرکت خدمات پرداخت الکترونیک PSP  می بود که دستگاه‌های خودپرداز سرزمین را تامین می‌کرد. زارع‌فرید ابتدا تیر ماه سال ۱۳۹۰ اطلاعات کامل هزار کارت بانکی را برای مدیران عامل بانک‌های گوناگون ارسال و سپس خواست ۵۰۰ میلیون تومان حق‌السکوت می‌کند که تقریبا معادل ۲۸ هزار دلار رسمی آمریکا می‌شد. بانک ملی و ملت به مطلب این مدیر جوان جواب خواهند داد و اظهار آمادگی می‌کنند که با هم یک قرارداد ببندند اما هنگامی او گفت و گو به پول می‌رسد دیگر جوابی به زارع‌فرید نمی‌دهند.

این هکر سپس از تلاش ارتش سایبری ایران برای اشکار کردن او از ایران فرار می‌کند.

وبلاگ مهم او تا این مدت در دسترس است و پستی به زبان انگلیسی دارد که نوشته من هکر نیستم چرا که فقط شماره کارت و PIN کارت‌های بانکی مردم را انتشار کردم. آن زمان فردی تصوری از این نداشت که نشت اطلاعات می‌تواند چه تبعاتی داشته باشد و همه نگرانی‌ها با عوض کردن رمز کارت بانکی مردم انگار به آخر رسید.

یکی از شگفت‌ترین شکل‌های خرید و فروش  اطلاعاتی که با نشت داده‌ها به دست آمده سال ۱۳۹۳ اتفاق افتاد. وقتی که اطلاعات حداقل  ۲۰ میلیون مشترک ایرانسل از طریق چند وبگاه با رقم‌های زیاد ارزان به فروش رسید. این اطلاعات شامل شماره تلفن، کد ملی، نام و نام خانوادگی، آدرس و کد پستی می بود و این داده‌ها با قیمت‌هایی بین ۵ تا ۳۰ میلیون تومان در بازار سیاه دست به دست می‌چرخید. این اطلاعات شخصی چطور به بازار رسیده می بود؟

وزیر ارتباطات زمان اینطور روایت کرده می بود: «ایرانسل اطلاعات خود را در اختیار یکی از نهادها قرار داد و اطلاعات توسط یکی از کارمندان آن نهاد به بیرون درز کرد که همان زمان آن نهاد با آن کارمند برخورد کرد.»

ماجرا اینجا همه نمی‌بشود. دو سال سپس یک بات تلگرامی از راه رسید که مجدد همان اطلاعات لو رفته را اشکار کرد. این بار دیگر با دارک‌وب و فروم‌های هکری روبه رو نبودیم بلکه یک جوان ۱۹ ساله دانشجوی رشته مهندسی کامپیوتر با مبالغی ارزان‌تر همان اطلاعات را از طریق این بات تلگرامی به فروش می‌رساند که یقیناً نزدیک به یک روز سپس بازداشت می‌بشود.

ساعت ۱۷ یازدهم شهریور سال ۱۴۰۲ انتظار  هر اتفاقی را می‌شد داشت به جز این که باخبر شویم همه آن مبدا و مقصدهایی که روزی در تپسی زده بودیم اکنون قیمت یک مبادله میلیاردی برای یک هکر اشکار کرده است.

میلاد منشی‌پور، مدیرعامل زمان تپسی، در توییتر خبر داد که هکرها در روزهای قبل به بخشی از اطلاعات کاربران تپسی دسترسی اشکار کرده‌ و به‌جستوجو اخاذی بودند. آنها از تپسی ۳۵ هزار دلار پول می‌خواستند و تهدید می‌کردند که به این حجم از اطلاعات دسترسی دارند: نام و نام خانوادگی و شماره موبایل و اطلاعات سکونت ۲۷ میلیون مسافر، ۶ میلیون راننده و از همه مهمتر ۱۳۶ میلیون سفر که در آن مشخصات مسافر و مبدا و مقصد آنها معلوم است. تصمیم شرکت تپسی این می بود که به خواسته هکرها برای پرداخت باج تن ندهد.

تصمیم آنها از این کار اخاذی بوده و برای عدم نشر اطلاعات، خواست پول کرده‌اند. ما تصمیم گرفتیم به این اخاذی تن ندهیم چرا که در مذاکره با آنها فهمید شدیم که نه‌تنها ضمانتی برای عدم نشر اطلاعات و سوءاستفاده‌های آتی وجود ندارد، بلکه تشویقی برای ادامه‌‌ این عمل درمورد دیگر شرکت‌ها نیز خواهد می بود.

– میلاد منشی‌پور، مدیرعامل اسبق تپسی

این گروه ساعتی سپس از انتشار کردن خبر تپسی اظهار کردند که اطلاعات مشترکان ۱۹ شرکت بیمه‌ای را هک کرده‌اند و به قیمت ۸۱ هزار دلار می‌فروشند. سازمان مرکزی بیمه کلیت این نوشته را تایید کرد اما پای میز خرید وفروش با آنها ننشست.

چهار ماه سپس هکرهای تپسی در همان کانال تلگرامی خبر دادند که این بار به اطلاعات کاربران اسنپ‌فود دست اشکار کردند. آنها این بار ۳۰ هزار دلار برای این اطلاعات خواست کرده بودند و داخل مشت‌شان این اطلاعات را داشتند: بیشتر از ۲۰ میلیون کاربر شامل نام کاربری، پسورد، ایمیل، نام و نام خانوادگی، شماره موبایل، تاریخ تولد و دیتای بیشتر از ۸۸۰ میلیون خواست محصول. در نهایت هیچ دیتایی فروخته نشد که انگار نشان از توافق بین طرفین برای عدم انتشار کردن اطلاعات داشت.

سپس از اسن‍پ‌فود هم نوبت به اپلیکیشن اتاقک رسید. آنها ابتدا مثالای از اطلاعات مشتریان اتاقک انتشار کردند تا نشان دهند اعتبار دیتابیس‌شان تا چه اندازه است. استراتژی اتاقک این بار این می بود که تصمیم به مذاکره گرفت و از فروش اطلاعات جلوگیری شد.

نه فقط ایران بلکه مرور ازمایش ها شبیه در دنیا نشان داده که هیچ سامانه‌ای نمی‌تواند ادعا کند که کاملا غیر قابل هک شدن است. حتی امن‌ترین سیستم‌ها امکان پذیر روزی یک نقطه ضعف اشکار کنند که راه را به روی نشت اطلاعات باز کنند. با این حال برخی از محدودیت‌ها و یقیناً سیاست‌گذاری‌ها در ایران این صدمه‌‌پذیری را زیاد تر کرده است. برای مثال در سرزمین ما تا این مدت قانونی برای حفاظت از داده‌ها و اطلاعات وجود ندارد که شرکت‌ها را ملزم به پاسخگویی کند و این نوشته یکی از خلأهای بزرگ در حوزه امنیت سایبری سرزمین است.

از طرف دیگر فیلترینگ سطح امنیت کاربران و پلتفرم‌ها را افت داده و صدمه‌پذیری را بالا برده است. تحریم‌ها هم بر افزایش حملات سایبری و لو رفتن اطلاعات بی تاثییر نیستند. کارشناسان می‌گویند: «امنیت یک فرایند مداوم است و باید یک چرخه طراحی، ممیزی، پایش و… به طور مداوم انجام بشود. در رابطه سرزمین ما به علت تحریم ابزارها، منفعت گیری از پروتکل‌‌های امنیتی رایگان و متن‌باز بین‌المللی، نوشته فیلترینگ و… امنیت به طور کلی پایین است.»

به همین خاطر هم در دو سال قبل گروه‌های جدیدی از هکرها ظهور کرده‌اند که انرژی و توانایی خودشان را صرف اشکار کردن این نقاط ضعف در سیستم‌ها می‌گذارند و به جای باج و سواستفاده، مشکلات را گزارش خواهند داد. شرکت‌های گوناگون گاه به شکل داوطلبانه برای بازدید امنیت سایبری پلتفرم‌های خود رویدادهای باگ بانتی برگزار کرده و با دعوت از هکرهای کلاه‌سفید از آنها می‌خواستند که به جست‌وجوی صدمه‌پذیری‌های احتمالی در اپلکیشن‌ها و سامانه‌های پلتفرم‌ها بپردازند. کوششهایی که احتمالا به تنهایی کافی نباشد اما می‌تواند تا اندازه‌ای امنیت شبکه‌‌ها را در این رویدادها در معرض سنجش قرار دهد.