هک اسنپفود اگر در اروپا بود چقدر آب میخورد؟
تاریخ انتشار: ۱۶ دی ۱۴۰۲ | کد خبر: ۳۹۴۶۰۳۰۷
بر اساس تحقیقات مؤسسه Check Point، در سال ۲۰۲۲ حدود ۹.۱ میلیارد حمله سایبری شناسایی شد که نشاندهنده افزایش ۳۸ درصدی نسبت به سال ۲۰۲۱ است. این روند در سال ۲۰۲۳ نیز ادامه داشت و در این سال تقریباً ۱۰.۸ میلیارد حمله سایبری شناسایی شدند. در طول سه ماهه چهارم سال ۲۰۲۲، نزدیک به ۲۸ درصد از حملات سایبری در سراسر جهان موسسات مالی را هدف قرار دادند.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
به گزارش دیجیاتو، علاوه بر این، سرویسهای نرمافزاری مبتنی بر وب و webmail تقریباً ۱۸ درصد، رسانههای اجتماعی با حدود ۱۰ درصد و تدارکات/حملونقل ۹ درصد از حملات ثبت شده را به خود اختصاص دادهاند؛ سایر موارد را میتوانید در نمودار زیر ببینید.
فراوانی حملات سایبری به صنایع آنلاین در سراسر جهان در سه ماهه چهارم سال ۲۰۲۲
بنابراین امنیت سایبری به عنوان یکی از مهمترین مسائل عصر دیجیتال آن قدر اهمیت یافته که توسعه کسب و کارها و حریم خصوصی افراد به آن گره خورده است. به همین سبب در جهان دولتها به وضع قوانین و اقدامات تنظیمگرانه مرتبط روی آوردهاند به عنوان مثال بر اساس گزارش ۲۰۲۱ سازمان ملل، ۱۳۷ کشور از ۱۹۴ کشور قوانین یکپارچهای را برای حفاظت از دادهها و حریم خصوصی وضع کردهاند و از ۲۰۲۱ تا ۲۰۲۳ هفده کشور دیگر به این تعداد افزوده شده است. اکثریت این کشورها از مقررات عمومی حفاظت از دادهها (GDPR) اتحادیه اروپا الگو گرفتهاند و با نگاهی به این قوانین و مقررات و بررسی الزامات امنیت سایبری آنها، ضمن درک تفاوتهای جزئی میتوان این قوانین را به دو دسته مقررات و اقدامات پیشگیرانه و برخوردهای اصلاحی تقسیم کرد که نهادهای متولی با تعریف مسئولیت مشخص تفکیک شدهاند. اقدامات پیشگیرانه شامل پروتکلها و الزامات امنیتی و استانداردهای فنی و برخوردهای اصلاحی شامل جریمه، اقدامات آموزشی، جبران خسارت و... میشود.
اما در ایران با وجود نهادهای سیاستگذار و تقنینی، چون مرکز ملی فضای مجازی و مجلس شورای اسلامی علیرغم وجود مقررات جزیرهای، نه تنها قانون یکپارچهای در این باره تصویب نشده بلکه فعالیت در حوزه امنیت سایبری در کشور با تعدد اختیارات مراکز مختلفی مانند مرکز ماهر زیر نظر وزارت ارتباطات، پلیس فتا، مرکز افتا ریاست جمهوری، سازمان پدافند غیر عامل و ... روبروست و هنوز مشخص نیست که متولی اصلی امنیت سایبری در لایههای مختلف در کشور کدام نهاد و یا دستگاه است؛ بنابراین تعریف مسئولیت نهادهای مرتبط و تنظیم مقررات پیشگرانه و الزامات امنیت سایبری در یک قانون یکپارچه یکی از مهمترین اولویتهای کشور است؛ اما در ادامه این نوشتار با توجه به حمله سایبری اخیر به اسنپ فود و هک حجم عظیمی از دادههای شخصی کاربران، به بررسی این موضوع خواهیم پرداخت که چنان چه پلتفرم دیجیتالی در یکی از کشورهای اروپایی با این حجم از نقض دادهها (Data Breaches) روبرو میشد طبق مقررات (GDPR) مشمول چه برخوردهای اصلاحی میگردید.
اخیرا نیز گروه هکری IRLeaks که در تابستان ۱۴۰۱ اطلاعات کاربران شرکت تاکسی اینترنتی تپسی را هک کرده بود، در ۹ دی ۱۴۰۲ با ارائه نمونههایی، اعلام کرد که اطلاعات بیش از ۲۰ میلیون کاربر و ۸۸۰ میلیون سفارش شرکت اسنپ فود را که در حوزه سفارش آنلاین غذا در ایران فعالیت میکند، به دست آورده است. هرچند اسنپ فود به کاربران اطمینان داده که اطلاعات بانکی و پرداختی آنها در امنیت کامل است، ولی دادههای هک شده از کاربران شامل نام کاربری، رمزعبور، ایمیل، نام و نام خانوادگی، شماره موبایل، تاریخ تولد و ... است و نیز اطلاعات بیش از ۵۱ میلیون آدرس کاربران شامل موقعیت GPS، آدرس کامل، شماره تلفن و ... و همچنین اطلاعات بیش از ۱۸۰ میلیون گوشی هوشمند و تبلت مورد استفاده کاربران شامل: نوع و مدل، پلتفرم، توکن، فروشگاه نصب برنامه و... است. این حجم از اطلاعات در ابعاد مختلف که برخی از آنها در فضای مجازی منتشر شد در کمترین حالت مسائل حیثیتی و در بیشترین حد ممکن تبعات امنیتی برای این کاربران در پی خواهد داشت.
بر اساس مقررات حفاظت از دادههای عمومی (GDPR)، مجازاتهای نقض دادههای شخصی از یک پلتفرم دیجیتال بسته به ماهیت، شدت نقض و مدت تخلف میتواند متفاوت باشد. GDPR به مقامات نظارتی در هر کشور عضو اتحادیه اروپا اجازه میدهد تا جریمههای اداری را برای عدم رعایت مفاد آن اعمال کنند. جرایم اداری در دو ردیف به شرح زیر طبقهبندی میشود:
تخلفات سطح پایینعموماً این تخلفات مربوط به ترتیبات اداری بوده و عواقب منفی و خطر قابل توجهی برای حریم خصوصی دادهها ایجاد نمیکند. جرایم این سطح عموماً برای نقضهای کمتر شدید، مانند عدم انتصاب مامور حفاظت از دادهها (DPO)، عدم نگهداری سوابق فعالیتهای پردازشی، یا عدم انجام ارزیابی تأثیر حفاظت از دادهها (DPIA) در صورت لزوم اعمال میشود. بنابر بررسی نمونهها انجام شده نشان میدهد، آخرین نمونه اطلاعات نقض شده در اسنپ فود مربوط به تاریخ ۱۰ دسامبر یا ۲۰۲۳ (۱۹ آذر ۱۴۰۲) است. با توجه به زمان علنی شدن این نقض دادهها توسط گروه هکری این موضوع احتمالا میتواند حاکی از آن باشد که اطلاعات حدود ۲۰ روز زودتر از اسنپ فود استخراج شده است. فارغ از اینکه علت تعلل طولانی اسنپ فود در اعلان این اتفاق چه بوده، عملا مدت زیادی این مسئله از نظر کاربرانی که دادههای آنها مورد حمله قرار گرفته و احتمال زیاد مقامات نظارتی مانند پلیس فتا پنهان مانده و چنانچه اسنپ فود در اروپا فعال بود طبق GDPR در صورت نقض داده و عدم گزارش تخلف صورت گرفته طی ۷۲ ساعت به مقامات مربوطه و کاربران مورد هدف، مشمول به جریمهای تا سقف ۱۰ میلیون یورو یا ۲ درصد از گردش مالی سالانه (جهانی) سال مالی، (هر کدام که بیشتر باشد) میشد. همین اتفاق در نوامبر ۲۰۲۲ برای شرکت متا به دلیل نقض حفاظت از دادهها و تاخیر در اعلان به موقع کاربران افتاد و مشمول ۲۶۵ میلیون یورو جریمه گردید.
تخلفات سطح بالاهمان طور که گفته شد مقامات نظارتی هنگام تعیین جریمهها عوامل مختلفی (از جمله تعداد کاربر و تعداد داده) را در نظر میگیرند و جریمه نقضهای سطح بالا یا سطح ۲ قابل توجه است، زیرا مستقیما بر حریم خصوصی آنلاین تأثیر میگذارند. این ردیف برای تخلفات جدیتر، از جمله نقض اصول اصلی پردازش دادههای شخصی، نقض حقوق افراد و رضایت کاربران و عدم اجرای اقدامات فنی و سازمانی مناسب برای تضمین امنیت دادهها قابل اعمال است. به عنوان مثال با معیار قراردادن تعداد کاربران مورد حمله سایبری قرار گرفته در اسنپ فود، دو پلتفرم Tigo (چت تصویری) با نقض دادههای شخصی بیش از ۷۰۰۰۰۰ کاربر و PeopleConnect (پشتیبان خدماتی) حدود ۲۰ میلیون نفر در سال ۲۰۲۳ هر کدام بیش از ۱۰۰ میلیون دلار و British Airways (پلتفرم مسافرتی و حمل و نقل هوایی) در ۲۰۱۸، بیست میلیون یورو جریمه شدهاند. به طور کلی اسنپ فود با نقض داده بیش از ۲۰ میلیون کاربر طبق مقررات GDPR در راستای تامین منفعت عمومی مشمول جریمهای تا ۲۰ میلیون یورو یا ۴ درصد از گردش مالی سالانه {جهانی} سال مالی، (هر کدام که بیشتر باشد) میگردد.
اقدامات حقوقی توسط کاربرانعلیرغم جرایم اداری که بیان شد (که در راستای منفعت عمومی اعمال میشود)، طبق الزامات GDPR، اشخاصی که از نقض دادهها تحت تأثیر قرار میگیرند، این حق را دارند که با داشتن ادله کافی، برای خسارات ناشی از نقض مستقیماً از پلتفرم درخواست غرامت کنند و در صورت عدم توافق میتوانند علیه پلتفرم بهدلیل عدم محافظت از دادههای شخصی و مبتنی بر نوع خسارت (که در جدول ۱ آمده است) به دادگاه شکایت کنند. طبق قانون، کاربران تا ۶ سال از آخرین زمان نقض اطلاعات شخصی خود حق شکایت دارند. جریمه ۷۴۶ میلیون یورویی آمازون در ۲۰۲۱ بهدلیل شکایت ۱۰۰۰۰ نفر علیه آمازون در سال ۲۰۱۸ یکی از نمونههای مطرح استفاده از این حق در اروپاست.
انواع خسارت مبالغ خسارتنقض دادههای شخصی تا ۲۰۰۰ پوند
نقض دادههای پزشکی ۲۰۰۰ پوند - ۵۰۰۰ پوند
نقض اطلاعات مالی ۳۰۰۰ پوند - ۸۶۰۰ پوند
نقض داده همراه با عواقب فاجعهبار ۸۶۰۰ پوند - ۲۵۷۰۰ پوند
نقض داده منجر به آسیب جسمانی و عاطفی تا ۴۲۹۰۰ پوند
جدول ۱: حقوق جبران خسارت برای کاربران متضرر از نقض داده طبق GDPR
با توجه به اینکه طبق الزامات بانک مرکزی، ذخیره دادههای مالی کاربران در مرکز داده پلتفرم ممنوع است، احتمال آنکه دادههای درز کرده اسنپفود شامل این دادهها باشد، بسیار کم است. اما با توجه به گستردگی دادهها، اکثر دادههای شخصی در این نقض داده وجود داشتهاند و چنانچه اسنپفود مشمول GDPR بود، تا ۶ سال آینده کاربران متضرر میتوانستند با ارائه مستند به دادگاهها، در جهت احقاق حقوق خود اقدام و طبق جدول ۱ مطالبه خسارت نمایند. در آخر، براساس مقررات GDPR، اسنپفود باید کلیه نیروهای خود را ملزم به شرکت در کمپین (دوره آموزشی) شبیهسازی فیشینگ کند تا آنها در صورت قبولی، گواهینامه مجدد دریافت کنند.
متأسفانه آمار شفافی از گردش مالی اسنپفود در دسترس نیست و آمارهای غیررسمی مختلفی وجود دارد. اما طبق یک محاسبه حداقلی، چنانچه فرض کنیم اسنپفود ۱۰۰ هزار سفارش ۱۰۰ هزار تومانی در هر روز ثبت کند، گردش مالی این پلتفرم در طول سال حدود ۳.۶۵ هزار میلیارد تومان خواهد بود و با فرض کمیسیون ۱۰ تا ۱۵ درصدی، درآمد سالانه آن بین ۳۵۰ تا ۵۵۰ میلیارد تومان محاسبه میشود؛ بنابراین با فرض آنکه طی ۶ سال آینده، کاربری از اسنپفود شکایت نکند، طبق GDPR با توجه به آنکه اسنپفود مشمول هر دو نوع تخلف اداری سطح پایین و بالا شده است، باید ۶ درصد این درآمد را بهعنوان جریمه بپردازد که حدوداً شامل ۳۰ میلیارد تومان میشود. همانطور که پیشتر گفتیم، نیاز به اقدامات اساسیتر برای حفاظت از دادههای شهروندان بهشدت حس میشود.
منبع: فرارو
کلیدواژه: هک اسنپ فود قیمت طلا و ارز قیمت خودرو قیمت موبایل حفاظت از داده ها داده های شخصی امنیت سایبری نقض داده حمله سایبری میلیون یورو نقض داده ها حریم خصوصی ۲۰ میلیون گردش مالی اسنپ فود
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت fararu.com دریافت کردهاست، لذا منبع این خبر، وبسایت «فرارو» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۳۹۴۶۰۳۰۷ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
بهروزرسانی این گوشیها دیگر در دسترس نخواهد بود!
ایتنا - وان پلاس برای گوشیهای سری ۸ و ۸ پرو خود که در سال ۲۰۲۰ روانه بازار شده بود، وعده سه سال بروزرسانی اندروید و ۴ سال آپدیت امنیتی را به کاربران داده بود که با پایان یافتن این زمان، این دو گوشی هیچ آپدیت جدیدی دریافت نخواهند کرد.
وان پلاس برای گوشیهای سری ۸ و ۸ پرو خود که در سال ۲۰۲۰ روانه بازار شده بود، وعده سه سال بروزرسانی اندروید و ۴ سال آپدیت امنیتی را به کاربران داده بود که با پایان یافتن این زمان، این دو گوشی هیچ آپدیت جدیدی دریافت نخواهند کرد.
گوشی وان پلاس ۸ که به صفحهنمایش اولد ۹۰ هرتزی، پردازنده اسنپدراگون ۸۶۵، دوربین اصلی و سلفی ۴۸ و ۱۶ مگاپیکسلی، باتری ۴۳۰۰ میلیآمپرساعتی و شارژ سریع ۳۰ واتی مجهز بود، در زمان عرضه حدود ۷۵۰ دلار قیمت داشت.
اما با پایان یافتن چرخه پشتیبانی و وعده کمپانی برای بروزرسانیهای آن، از این پس هیچ آپدیت جدیدی برای این گوشی و مدل پرو آن ارائه نخواهد شد.
بهروزرسانی گوشی وان پلاس، ثبات و امنیت دستگاه را افزایش میدهد که آخرین بروزرسانی در سری ۸ و ۸ پرو این برند دارای وصله امنیتی آوریل ۲۰۲۴ (فروردین و اردیبهشت ۱۴۰۳) بوده و OxygenOS 13.1.0.587 را برای کاربران به ارمغان میآورد.
این آخرین آپدیت وان پلاس برای این گوشیها بوده که در حال حاضر برای کاربران هندی فعال شده و بهزودی برای کاربران این گوشیها در دیگر نقاط جهان نیز در دسترس قرار خواهد گرفت.