ابهامات دو هک بزرگ در ۱۴۰۴

حملات سایبری و انکار یا انفعال مسوولان نسبت به آنها در آغاز سال ۱۴۰۴ نیز با هک یکی از بانک‌ها و اپراتورهای بزرگ کشور ادامه یافت. یک گروه هکری در ایام تعطیلات سال نو و گروه دیگری در هفته گذشته ادعا کرد که اطلاعات ۴۲میلیون مشتری یک بانک را در اختیار داشته و به اطلاعات ۳۰‌میلیون مشتری بزرگ‌ترین اپراتور تلفن همراه کشور هم دسترسی دارند.
هر چند تاکنون مسوولان آن بانک و اپراتور، این هک و نشت اطلاعات را تایید نکرده‌اند، اما رئیس مرکز ملی فضای مجازی در اظهارات اخیر خود موضوع دسترسی به داده‌های بانک را نه هک، بلکه سرقت داده اعلام کرده است. این گفته با انتقاد جدی کارشناسان امنیت شبکه مواجه شده و به اعتقاد آنها حملات سایبری در سه سال اخیر ریشه‌دار است و نمی‌توان آن را به کوتاهی یک یا چند کارمند خلاصه کرد.

حملات ریشه‌دار
تقریبا می‌توان گفت که حملات سایبری به مراکز دولتی و خصوصی کشور از سال ۱۴۰۱ در یک چرخه تکرار و تعدد قرار گرفته است؛ تا جایی که در این مدت هر چند وقت یک بار حداقل هک و نشت اطلاعات مرتبط با یک نهاد دولتی یا خصوصی را شاهد بودیم. این وضعیت همراه با انکار یا انفعال مسوولان نسبت به آن و هک یکی از بانک‌ها و اپراتورهای بزرگ کشور در نخستین ماه سال ۱۴۰۴ ادامه یافت.
یک گروه هکری در ایام تعطیلات سال نو و گروه دیگری در هفته گذشته ادعا کرد که اطلاعات ۴۲ میلیون مشتری یک بانک را در اختیار دارد و به اطلاعات ۳۰ میلیون مشتری بزرگ‌ترین اپراتور تلفن همراه کشور دسترسی دارد. گروه هکری Codebreakers در ۱۰فروردین ماه امسال اعلام کرده بود که بیش از ۱۲ ترابایت داده شامل اطلاعات مالی، هویتی و سکونتی ۴۲ میلیون مشتری این بانک را از سال ۱۳۰۴ تا ۱۴۰۴ هک کرده است و قصد دارد آنها را به فروش برساند. طبق ادعای این گروه، اطلاعات بانکی افراد دارندگان مشاغل خاص‌ هم در اطلاعات هک‌شده قرار دارد. گروه Codebreakers در اطلاعیه خود ذکر کرده بود که هک این بانک، در روزهای گذشته انجام شده و مدیران این بانک تا ۷۲ ساعت فرصت داشتند برای جلوگیری از فروش اطلاعات، با هکرها مذاکره کنند. پس از پایان مهلت مذاکره، Codebreakers ادعا کرد که «مدیران این بانک برای مشتریان خود ارزشی قائل نشده و حاضر به پرداخت حتی یک دلار برای حفظ اطلاعات هر مشتری نبودند.» این گروه هکری همچنین در کانال تلگرام خود، فایل‌هایی مربوط به اطلاعات مشتریان عادی، تجاری و دستگاه‌ها و داده‌هایی مربوط به اطلاعات دستگاه‌های پوز و اینترنت این بانک را منتشر کرده و گفته است به زودی «اطلاعات کامل ۲۰ هزار مشتری حقیقی و حقوقی» بانک مذکور را منتشر خواهد کرد. هرچند صحت این اطلاعات قابل تایید نیست، اما در کمتر از یک روز روابط عمومی و مسوولان این بانک هک را تکذیب و اعلام کردند: «تاکنون هیچ‌گونه هک و نفوذی به سیستم‌های بانک صورت نگرفته است. این ادعاهای کذب با هدف تشویش اذهان عمومی صورت می‌گیرد و مشتریان بانک از این نظر خیالشان راحت باشد.» همچنین به گفته آنها سیستم‌های این بانک ارتباطی به اینترنت ندارد و کاملا بسته هستند.
در وضعیتی که سکوت مسوولان این بانک نسبت به حفاظت از اطلاعات مشتریان خود نشان از ابهامات این هک دارد، رئیس مرکز ملی فضای مجازی در اظهارات اخیر خود موضوع دسترسی به داده‌های بانک را نه هک، بلکه سرقت داده اعلام کرده است. محمدامین آقامیری با بیان اینکه چند روز پس از اعلام خبر حمله به آن بانک مشخص شد که اتفاق اخیر هک نبوده، بلکه سرقت داده بوده است، گفت: «خوشبختانه به نتایج خوبی درباره این موضوع رسیده‌ایم که به‌زودی اعلام خواهد شد.» به گفته آقامیری در موضوع اخیر یکی از بانک‌های بزرگ کشور سرقت داده رخ داده و نه هک؛ هک به معنای نفوذ غیرمجاز به سامانه‌های دیجیتال از طریق بهره‌برداری از ضعف‌های امنیتی است، در حالی‌که سرقت داده می‌تواند بدون نفوذ خارجی و از راه‌های مختلف مثل افشای داخلی یا خطای انسانی و... رخ دهد.
بنابراین به نظر می‌رسد تاکید بر سرقت داده در ماجرای این بانک نشان‌دهنده عدم آسیب‌پذیری زیرساخت‌های فنی و محدود بودن این رخداد به نشت اطلاعات است. این گفته با انتقاد جدی کارشناسان امنیت شبکه مواجه شده و به اعتقاد آنها حملات سایبری سه سال اخیر ریشه‌دار است و نمی‌توان آن را به کوتاهی یک یا چند کارمند خلاصه کرد. شاهین نورصالحی، کارشناس و طراح سیستم‌های پیشرفته علم و فناوری، در این باره به «دنیای اقتصاد» می‌گوید: «تداوم هک نهادهای مختلف در کشور و نشت اطلاعات مرتبط با مشتر‌ی‌ها و کاربران آنها پیچیده‌ و ریشه‌دارتر از افشای داخلی یا خطای انسانی است. در حال حاضر مساله فقط هک یکی از بانک‌های بزرگ کشور نیست، بلکه تداوم و تکثر حملات سایبری در سال‌های اخیر است. در مجموع در راستای هک این بانک توصیه می‌کنم در قدم اول به هیچ عنوان یک ریال هم به هکرها باج ندهند. قدم دوم اینکه بقیه بانک‌ها با شروع به یک تحقیق و توسعه واقعی در زیرساخت‌های خود اعتماد مردم را به بانکداری در ایران برگردانند.»
او در ادامه صحبت‌های خود مطرح می‌کند که مهم‌تر از تداوم هک‌های اخیر انکار یا انفعال مسوولان نسبت به این موضوع است؛ زیرا هر بار در زمان هر حمله سایبری آن را تکذیب می‌کنند و درخواست ارائه شواهد دارند. این در حالی است که هک جایگاه‌های سوخت در سال‌های اخیر را به هیچ عنوان به دلیل عدم دسترسی مردم به جایگاه‌های سوخت نتوانستند انکار کنند. در همین وضعیت، برخی از کارشناسان امنیت شبکه از هک یکی از اپراتورهای بزرگ تلفن همراه کشور خبر دادند. سعید سوزنگر در هفته اخیر و در صفحه شخصی از هک این اپراتور و تایید آن در ارتباط با هکرها گفت. ماجرا از این قرار است که یک گروه هکری از نفوذ به پایگاه داده‌ مشتریان بزرگ‌ترین اپراتور تلفن همراه ایران و دسترسی به اطلاعات ۳۰ میلیون مشتری این شرکت خبر داد. بر اساس خبرهای منتشر شده، اطلاعات هک شده شامل اطلاعات فردی مشتریان مانند نام و نام خانوادگی، تاریخ و محل تولد، کد ملی و شماره شناسنامه و نشانی کامل پستی است. با این حال و با گذشت تقریبا پنج روز از این موضوع مسوولان این اپراتور این‌بار حتی تکذیب هم نکرده‌اند و همچنان در قبال مسوولیت حفظ اطلاعات میلیون‌ها ایرانی سیاست سکوت را انتخاب کرده‌اند.

متهمان ردیف اول
در حالی‌که سکوت مسوولان نسبت به درز اطلاعات مشترکان ادامه دارد، اما کارشناسان جرایم سایبری ساکت نماندند و در شبکه‌های اجتماعی خود نسبت به این موضوع واکنش نشان دادند. محمد جرجندی، کارشناس جرایم سایبری، در صفحه ایکس خود در این باره نوشته است که او برای «صحت‌سنجی» اطلاعات منتشر شده، یکی از شماره‌های «مسدود شده» خودش را در سیستم همراه اول بررسی کرده و متوجه شده که اطلاعات منتشر شده «واقعی» است و درز اطلاعات به صورت «قطعی» اتفاق افتاده است. نریمان غریب، پژوهشگر و فعال حوزه امنیت سایبری، در صفحه ایکس خود نوشته است که تحقیقات او، نفوذ اطلاعاتی اخیر را تایید می‌کند.
با این حال باز هم انفعال و سکوت مسوولان نسبت به نشت اطلاعات مهم مردم ادامه دارد. این در حالی است که به گفته رئیس پلیس فتای تهران، در هفته اول سال جاری، در حوزه جرایم اقتصادی مخاطره‌آمیزترین جرم سایبری در پلیس فتای تهران بزرگ از نظر فراوانی کماکان شگرد ارسال لینک‌های آلوده تحت عنوان بسته معیشتی، سامانه ثنا و موارد این‌چنینی بوده است.
حتی گزارش شرکت زیرساخت نیز تداوم حملات سایبری در زمستان سال گذشته و سهم شبکه دستگاه‌های آلوده را تایید می‌کند. گزارش وضعیت حملات منع سرویس توزیع‌شده (DDoS) در زمستان ۱۴۰۳ نشان می‌دهد که تعداد حملات DDoS نسبت‌به پاییز ۱۴۰۳ افزایش یافته و میانگین زمان این حملات، طولانی‌تر شده است. بر اساس داده‌های این گزارش، در زمستان ۱۴۰۳ با ۱۰۱ هزار و ۷۲۰ حمله DDoS مقابله شده است. در این دوره، به‌صورت میانگین روزانه ۱۱۱۰ حمله اتفاق افتاده و مدت زمان حملات به‌طور میانگین، ۵ دقیقه و ۱۸ ثانیه بوده است. این در حالی است که در پاییز ۱۴۰۳، به صورت میانگین روزانه ۶۳۵ حمله به زیرساخت‌های کشور با مدت زمان ۴ دقیقه و ۳۷ ثانیه به‌طور میانگین، ثبت شده بود. همچنین از هر ۱۰۰ حمله، ۴۷ حمله از طریق شبکه دستگاه‌های آلوده اتفاق افتاده و مدت زمان حملات به‌طور میانگین، ۵ دقیقه و ۱۸ ثانیه بوده است. علاوه‌بر این، از هر ۱۰۰ حمله، ۴ حمله مدت زمانی بیشتر از ۱۰ دقیقه داشتند و ۱۰ حمله با ظرفیتی بیشتر از یک میلیون بسته‌برثانیه انجام شده است.
با این اوصاف، از نگاه کارشناسان، فیلترینگ موجب تضعیف شبکه اینترنت در کشور شده و تعدد و تکثر هک‌ها در سال‌های اخیر ثمره این سیاست اشتباه هستند. در این شرایط و با تداوم فیلترینگ، همچنان فیلترشکن‌ها فعال هستند و تهدید شبکه‌های آلوده ادامه دارد. همچنین بررسی‌ها نشان می‌دهد که ایران در قانون‌گذاری برای حفظ امنیت سایبری نیز ضعیف عمل کرده است، با اینکه تدوین و ابلاغ دستورالعمل حفاظت از حریم خصوصی کاربران نیز از دیگر اقدامات مسوولان دولت سیزدهم در سال۱۴۰۲ بود. تاکنون با وجود تمدید مهلت چندباره اجرای این دستورالعمل توسط کسب‌وکارها و پایان کار دولت سیزدهم گزارشی از اجرای آن منتشر نشده است. این در حالی است که نظر کارشناسان و برخی از مدیران کسب‌وکارها درباره بازدارندگی این دستورالعمل نشان می‌دهد که دستورالعمل مذکور از ضمانت اجرایی و بازدارندگی لازم و کافی برخوردار نیست. حتی وضعیت لایحه حفاظت از داده‌های شخصی نیز که در دولت چهاردهم تصویب شد، مشخص نیست و کارشناسان نیز نگاه مثبتی به این لایحه ندارند.