مهم‌ترین محرمانه‌فروشی‌ها

«ما مفت ِ‌مفت به اشتراک می‌گذاریم. آنها حفظ می‌کنند و میلیون‌ها و حتی میلیاردها از فروش آن سود می‌کنند. اساسا کار عده‌ای همین است. آنها هزار و یک راه قانونی و غیر قانونی برای این کار بلدند. در دنیای مجازی کنونی که هر روز بر گستره آن افزوده می‌شود. چه بسیارند افراد یا گروه‌های ناشناس که اطلاعات هر کاربر را جمع‌آوری می‌کنند و از آنها درآمدهای قابل ملاحظه‌ای به جیب می‌زنند. فروش داده‌ها اما لزوما غیرقانونی نیست. خیلی وقت‌ها شرکت‌های مختلف، به‌خصوص آنها که تلفن، نام و نام‌خانوادگی یا حتی شغل‌مان را به آنها، با رضایت شخصی اعلام کرده‌ایم، انباری از اطلاعات ما دارند که می‌توانند آن را با قیمت‌های گزاف به متقاضیان بفروشند. اما واقعا سازوکار فروش داده‌ها از چه قرار است؟ چطور شماره تلفن‌های ما سر از یک شرکت محلی، سازمان مردم‌نهاد یا هر مجموعه دیگری درمی‌آورد؟

شماره‌های بی‌دفاع

یکی از اصلی‌ترین مراکز فروش داده‌ها می‌تواند اپراتورها یا مرکز مخابرات ایران باشد. یکی از شایعاتی که همواره بر سر زبان‌ها بوده، فروش اطلاعات صاحبان سیم‌کارت‌ها از سوی شرکت مخابرات ایران است. داوود زارعیان، مدیر کل روابط عمومی و امور بین‌الملل شرکت مخابرات ایران در گذشته این احتمال را رد کرده و توضیح داده است:‌ وقتی مشترکی ثبت‌ نام می‌کند، اطلاعاتی را در اختیار ما می‌گذارد و ما این اطلاعات را کاملا محرمانه نزد خود نگه می‌داریم و چند رده دسترسی برای آن قائل هستیم. هیچ‌کس در سیستم ما نمی‌تواند بدون دلیل به اطلاعات شخصی کسی دسترسی پیدا کند.

او درباره احتمال خرید داده شرکت‌ها از مخابرات توضیح داده است: درباره این که پیامک تبلیغاتی به چه ترتیب ارسال می‌شود باید بگویم که بسیاری از سازمان‌ها و نهادها شماره تلفن افراد را دارند. به‌عنوان مثال وقتی برای کنکور ثبت‌ نام کرده‌اید، فرم اطلاعات خانواده خود را برای گرفتن یارانه تکمیل کرده‌اید، به یک نمایشگاه رفته‌اید، یا در یک کلاس آموزشی ثبت‌ نام کرده‌اید، شماره تلفن خود را نوشته‌اید. بنابراین بسیاری از مردم خودشان شماره‌هایشان را در اختیار دیگران قرار داده‌اند و شرکت‌های فعال در حوزه تبلیغات می‌توانند با استفاده از آنها بانک اطلاعاتی تهیه کنند. در نتیجه شماره تلفن و آدرس افراد فقط در اختیار مخابرات نیست بلکه خیلی از سازمان‌ها این اطلاعات را در اختیار دارند.

توضیحات زارعیان در آن سال‌ها اگر چه در ظاهر مخابرات را از فروش اطلاعات مردم تبرئه کرده اما کمکی به حل مسئله نکرده است. چطور و تحت چه سازوکاری سازمان هدفمندی یارانه‌ها، یک آموزشگاه و ... اطلاعات خود را به شرکت‌های فعال در حوزه تبلیغات می‌فروشند؟ آیا همه آنها که این روزها داده‌های ما را در دست دارند، برای انبارکردن اطلاعات ما مجوز کسب کرده‌اند؟

فروش قانونی داده‌ها چگونه است؟

هر شرکتی سازوکار خودش را دارد اما مخابرات ایران ترجیح می‌دهد نام فروش روی این جابه‌جایی دیتا نگذارد. بر اساس اعلام مخابرات، روش‌های بسیاری برای ارسال پیامک انبوه وجود دارد. یکی از روش‌ها این است که مثلا فردی می‌گوید من می‌خواهم برای کسانی که در شهر ری زندگی می‌کنند، پیامک بفرستم. زارعیان در این‌ باره توضیح داده است: در این زمان هم نیازی به مشخصات افراد نداریم بلکه روی آنتن‌های شهر ری تنظیم می‌کنیم و این پیامک به تلفن‌هایی که زیر این آنتن‌ها هستند، فرستاده می‌شود. ممکن است فردی ساکن آن منطقه نباشد اما به هر حال اگر در آن زمان در آن محدوده باشد، آن پیامک را دریافت می‌کند.

مهم‌ترین محرمانه‌فروشی‌ها در سال‌های گذشته

در چند سال اخیر بارها و بارها خبر فروش داده‌ها و اطلاعات شخصی ایرانی‌ها دست به‌دست شده است. هر بار داده‌های ایرانی‌ها از یک راه تازه‌ای نشت پیدا کرده است. در آخرین مورد، بخشی از کاربران در توییتر خبر دادند که یک باگ در سیستم ثبت‌ احوال پیدا شده که به‌واسطه حضور این باگ، اطلاعات هویتی ۷۰میلیون ایرانی لو رفته است. خبر اما در حد شایعه باقی‌مانده بود تا این که، یک بات تلگرامی ایجاد شد که صحت قضیه را به همه ثابت کرد. کاربران مختلف می‌توانستند با استفاده از شماره ملی و تاریخ تولد خود اطلاعات، نام، نام‌خانوادگی، نام پدر و جنسیت و وضعیت حیات خود را به‌راحتی مشاهده کنند.

در همین رابطه سخنگوی سازمان ثبت احوال کشور مدتی بعد توضیح داد: «وزارت بهداشت مانند ۲۰۰ دستگاه دیگر با ما تفاهمنامه‌ای امضا کرده تا بحث تبادل اطلاعات مربوط به احراز هویت در فضای مجازی را انجام دهیم. بر اساس این تفاهمنامه و با توجه به شرایط حساس کشور در زمان شیوع ویروس کرونا هم اطلاعات سامانه ثبت‌ احوال طبق پروتکل‌های امنیتی لازم با وزارت بهداشت به اشتراک گذاشته شد اما متأسفانه به‌ نظر می‌رسد یک اشتباه غیر عمد که می‌تواند حاصل فشارهای این‌ روزها باشد باعث شده که این وزارتخانه اطلاعات را در اینترنت قرار دهد.»

اما آیا این توضیحات، داده‌های پخش شده را دوباره محرمانه می‌کند؟

کمی قبل‌تر از این ماجراها، ‌کاربران رایتل قربانی خرید و فروش داده شدند. داده‌های ۵.۵میلیون نفر لو رفت و هکر برای بازپس‌دادن آنها، درخواست مبلغ گزافی را به بیت‌کوین کرد. البته رایتل این خبر را تکذیب کرده است!

باز هم به عقب برمی‌گردیم. شماره تلفن، نام کاربری و ... ۴۲میلیون ایرانی از تلگرام نشت کرد. البته مشکل امنیت پایین تلگرام نبود. کاربران ایرانی به‌ خاطر محدودیت‌هایی که با آن مواجه بودند از زیرشاخه‌های غیر رسمی تلگرام به نام هات‌گرام، تلگرام طلایی و... استفاده می‌کردند و همین رفتار فکر نشده موجب شد که اطلاعات آنها توسط گروهی به نام «سامانه شکار» در فضای وب منتشر شود که دانلود و دسترسی به آن بدون هیچ رمز عبوری امکان‌پذیر بود. البته کاربران سیب‌اپ هم تجربه تلخی از لورفتن اطلاعات خود دارند و همه این‌ وقایع مربوط به یکی - دو سال اخیر است.

داده‌ها، سیری چند؟

کسی نرخی برای این اطلاعات بی‌زبان در اختیار همشهری نمی‌گذارد. بررسی‌ها اما نشان می‌دهد که برای مثال افشاکننده داده‌های ۴۲میلیون کاربر ایرانی تلگرام، آنها را در بازار سیاه ۵۰۰‌دلار به فروش رسانده یا ارزش اطلاعات رایتلی‌ها بیش از ۵بیت کوین برآورد شده است. در مجموع به‌ نظر می‌رسد فروش داده‌ها گردش مالی بالایی برای دست‌اندرکاران این حوزه فراهم کند. برای مثال دانشگاه MIT‌ یکی از معتبرترین دانشگاه‌های جهان در یکی از گزارش‌های پژوهش‌محور خود نوشته است: داده‌ها به‌عنوان یک دارایی اصلی، به بازاری پرسود برای شرکت‌های فناوری تبدیل شده‌اند. شرکت‌های فناوری در آمریکا از فروش داده‌ها و اطلاعات کاربران سالانه درآمدی بالغ بر ۲۰۰میلیارد دلار به‌ دست می‌آورند.

چرا باید از افشای داده‌هایمان بترسیم؟

اطلاعاتی که بدون مرز منتشر شوند، همیشه خطرناکند. افشای داده‌ها می‌تواند کاربران را در معرض خطر جدی قرار دهد. علاوه بر این که می‌توان مثلا به شماره تلفن و هویت کاربرانی که از تلگرام استفاده می‌کنند دسترسی پیدا کرد، می‌توان از این اطلاعات برای حمله به کاربران نیز استفاده کرد. به‌ عنوان مثال، شخص ثالت با اطلاعاتی که در اختیار دارد می‌تواند برای تعویض سیم‌کارت اقدام کند و اگر موفق به این کار شود، می‌تواند به تماس‌ها و پیامک‌های کاربر نیز دسترسی پیدا کند. راه باج‌خواهی، کلاهبرداری و... به این وسیله هموار و هموارتر می‌شود.

هنوز ارزش اطلاعات خود را نمی‌دانیم

کیوان نقره‌کار، پژوهشگر حوزه فناوری اطلاعات:

داده‌های محرمانه بسیار گرانقیمت و ارزشمند هستند و فروش آن در همه دنیا جرم به‌حساب می‌آید. در دنیای داده‌ها ۲ مدل «داده»‌وجود دارد. مدل اول، نوعی است که شامل مشخصات خصوصی افراد مثل نشانی، کد ملی و ... است. نوع دوم اما بر اساس تحلیل و رفتار مشتریان به‌ وجود آمده و جمع‌آوری می‌شود. نوع دوم را بارها به شکل ناخودآگاه شرکت‌ها، سازمان‌ها و ... از ما دریافت کرده‌اند. برای مثال این داده‌ها نشان می‌دهد که من به کدام سرورهای آنتن‌دهی نزدیک‌ترم؟

در هر دو صورت، کسی که صاحب چنین بانک اطلاعاتی‌ای هست، حق واگذاری یا فروش داده‌ها را ندارد. این داده‌ها عموما با عنوان «محرمانگی» ذخیره می‌شوند؛‌ مگر این که خود مشتری یا کاربر با طرف مقابل توافقی بکند. چه بسیار برگه‌ها و فرم‌هایی که ما نخوانده امضا می‌کنیم و با امضاکردن آن ناخودآگاه به سازمان یا شرکت معهود اجازه انتشار اطلاعات خود را می‌دهیم.

اما راه انتشار این داده‌ها چیست؟ بعضی از شرکت‌ها خیلی راحت اعلام می‌کنند که در حال فروش داده کاربران به زیرمجموعه‌های خود هستند. راه دیگر انتشار این داده‌ها برای فروش هم «هک‌شدن» است که باز هم صاحب بانک اطلاعاتی باید در پیشگاه مردم و قانون توضیح بدهد که چرا امنیت کافی را برای این اطلاعات در نظر نگرفته است؟

خوب است بدانیم که کاربر این حق را دارد که از مجموعه‌ای که اطلاعات او را به هر شکلی به فروش رسانده یا در اختیار مجموعه‌ای قرار داده شکایت کند اما عموما این اتفاق نمی‌افتد؛ چراکه ما خود ارزش اطلاعات خود را نمی‌دانیم.»