مهم ترین سرقت اطلاعات در دنیای تکنولوژی
اگر اخبار دنیای تکنولوژی را دنبال کنید، می بینید که آمار هک دیتابیس ها و افشای اطلاعات محرمانه به وضعیت نگران کننده ای رسیده است. روزی نیست که با خبر سرقت داده ها در مقیاس خرد و کلان مواجه نشویم. این رخدادها، به خوبی آسیب پذیری و شکنندگی زیرساخت های مالی و تجاری تحت وب را نشان می دهند.
آمارها نشان می دهند حدود 7 درصد یا به عبارتی 1.35 تریلیون دلار از تولید ناخالص داخلی آمریکا به شکل دیجیتالی خلق می شود و به همین دلیل، هک خرابکارانه شرکت های بزرگ آمریکایی به یکی از اهداف اصلی جامعه تبهکاران آنلاین بدل شده است.
دسته بندی و مرتب سازی این رخدادهای امنیتی در بحث سرقت اطلاعات را می توان به شیوه های مختلف انجام داد. بعضی از حملات از لحاظ سیاسی اهمیت دارند و برخی دیگر از رویه های نوین امنیت سایبری و جرائم آنلاین پرده بر می دارند. در این مطلب قصد داریم چند نمونه از مهم ترین حملات خرابکارانه که شهروندان عادی را هدف قرار داده اند، مرور کنیم.
اکوئیفاکس
[هک و سرقت اطلاعات]
شاید خبرساز ترین و مهم ترین حادثه نفوذ و سرقت اطلاعات طی سال های اخیر مربوط به اکوئیفاکس (Equifax) باشد. این شرکت ارائه دهده خدمات مالی و اعتباری در سپتامبر 2017 اعلام کرد تمامی اطلاعات سوابق خرید و هزینه های مشتریان به دست هکرها افتاده است. در این رخداد، اطلاعات مالی محرمانه بیش از 145 میلیون نفر در آمریکا و چند میلیون نفر در انگلستان به سرقت رفت. پیامدهای این حادثه حتی شرکت رقیب اکوئیفاکس یعنی تراست یونیون را هم تحت تأثیر قرار داد.
عوامل زیادی در اهمیت فوق العاده هک اکوئیفاکس به عنوان جدی ترین نمونه سرقت اطلاعات نقش دارند. یکی از مهم ترین موارد که حتی به خود هک هم مربوط نمی شود، واکنش نامناسب و فقدان پاسخگویی شرکت اکوئیفاکس است. این شرکت پس از وقوع حمله و اطلاع یافتن از سرقت داده ها، تا پنج ماه هیچگونه واکنش عمومی به این حادثه نشان نداد و همه سوابق مربوط به آن را پنهان کرد.
مدیریت اشتباه این حادثه به حدی مورد توجه رسانه ها قرار گرفت که پیامدهای سنگینی را برای مدیران ارشد اکوئیفاکس به بار آورد. نهایتاً ریچارد اسمیت، مدیرعامل وقت این شرکت مجبور به استعفا شد.
نکته مهم دیگر در رابطه با هک اکوئیفاکس این است که ضعف های امنیتی حوزه دیجیتال را پیش چشم همگان به نمایش گذاشت. در واقع همه فهمیدند حتی شرکتی که به طور مستقیم با مشتریان در ارتباط نیست، چقدر اطلاعات حساس و مهم را در اختیار دارد و مدیریت سبکسرانه این داده ها چه پیامدهای ناگواری خواهد داشت.
دو سال پس از این حادثه، هنوز هم اکوئیفاکس در صدر اخبار دنیای تکنولوژی حضور دارد. به تازگی مبلغ جریمه این شرکت از سوی کمیسیون تجارت فدرال آمریکا بین 575 تا 700 میلیون دلار اعلام شده که البته رقم چشمگیری هم نیست.
کپیتال وان
از حادثه هک کپیتال وان (Capital One) چند روز بیشتر نمی گذرد، ولی می توان این مورد را هم در صفحات اول کتاب های تاریخ امنیت دنیای تکنولوژی ثبت کرد. این شرکت هلدینگ خدمات مالی آمریکایی چند روز قبل از سرقت اطلاعات محرمانه حدود 100 میلیون مشتری خبر داد.
تحقیقات رسمی در مورد سرقت اطلاعات کپیتال وان آغاز شده و مراجع قضایی در حال ارزیابی مقدار خسارت های مالی و اعتباری ناشی از این واقعه هستند. به نظر می رسد حداقل به خاطر درس هایی که از هک اکوئیفاکس آموخته شده، باید پاسخ قاطعی برای این سهل انگاری در نظر گرفت. از طرفی می بینیم که حتی مؤسسه مالی و اعتباری بزرگی مثل کپیتال وان هم به راحتی مورد سوء استفاده هکرها قرار می گیرد.
کپیتال وان می گوید بخش اعظم اطلاعات حساس به سرقت رفته، رمزنگاری شده اند و احتمالاً هکرها توانایی استفاده از آنها را ندارند. با این حال اتخاذ راهکارهای امنیتی پس از هک و به خصوص مسدود کردن حساب های مشتریان، پیامدهای جبران ناپذیری خواهد داشت که تا چند سال این شرکت را تحت تأثیر قرار می دهد.
نکته جالب در مورد سرقت اطلاعات مشتریان کپیتال وان این است که کل عملیات توسط یک نفر انجام شده و سیستم های امنیتی این مؤسسه بزرگ، توانایی مقابله با تصمیمات شوم این شخص را نداشته اند.
واناکرای
اگرچه واناکرای (WannaCry) مستقیماً کاربران نهایی را هدف قرار نداده، اما مقیاس و گستردگی حمله با این بدافزار در سال 2017 همه کارشناسان امنیتی را به حیرت واداشت. باج افزار واناکرای در بیش از 150 کشور جهان بالغ بر 200 هزار قربانی گرفت و خسارات جبران ناپذیری را به سیستم های تولید و سامانه های اطلاعاتی وارد ساخت. در نتیجه میلیون ها کارمند در سرتاسر جهان دچار نابسامانی و بحران شدند.
واناکرای به سادگی در فهرست مهم ترین بدافزارهای تاریخ قرار می گیرد، چون درس های متعددی را کاربران و کارشناسان حوزه امنیت آموخت. اول اینکه نشان داد صنایع مختلف تا چه اندازه به فناوری های قدیمی وابسته اند، چون اکثر حملات روی کامپیوترهای مبتنی بر ویندوز XP انجام شده بود. واناکرای حتی زیرساخت های حیاتی مثل مرکز خدمات بهداشتی ملی انگلستان را هم به زانو درآورد.
نکته مهم دیگر این است که واناکرای از اکسپلویت متعلق به آژانس امنیت ملی آمریکا (NSA) برای نفوذ به سیستم ها استفاده می کرد. این اکسپلویت توسط شرکت گروه هکری شدو بروکرز (TSB) منتشر شد و نشان داد جمع آوری و نگهداری اکسپلویت های خطرناک توسط سازمان های جاسوسی ملی، چه پیامدهای ناگواری دارد.
سازمان مدیریت پرسنل ایالات متحده
نفوذ به شبکه سازمان مدیریت پرسنل ایالات متحده (OPM) اطلاعات پرسنلی بیش از 22 میلیون کارمند دولت آمریکا را در اختیار هکرها قرار داد. بعضی از این افراد به اطلاعات محرمانه دسترسی داشته اند. بین اطلاعات به سرقت رفته، مجموعه اثر انگشت 5 میلیون نفر از کارمندان نیز به چشم می خورد.
این حمله نشان داد زیرساخت های امنیتی OPM تا چه اندازه آسیب پذیر است. نفوذ به OPM در دو مرحله انجام شد. در مرحله اول که در سال 2013 رخ داد، اسناد مهمی از این سازمان به سرقت رفت تا هکرها برای گام بعدی آماده شوند. در مرحله دوم که سال 2014 به اجرا درآمد هم هکرها توانستند به شبکه داخلی این سازمان نفوذ کرده و اطلاعات کارمندان را به سرقت ببرند. کنگره آمریکا چندین بار هشداد داد که OPM هیچگونه آمادگی برای مقابله با این حملات نداشته است.
سرقت اطلاعات OPM به هکرهای چینی نسبت داده می شود، ولی این موضوع اهمیتی ندارد. این حمله، موقعیت خطرناک و آسیب پذیری را برای تعداد زیادی از پرسنل ارتش و نیروهای اطلاعاتی آمریکا به وجود آورد که تا سال ها بعد می تواند امنیت ملی این کشور را تحت تأثیر قرار دهد.
اشلی مدیسون
جولای 2015 بود که اطلاعات حساب کاربری بیش از 36 میلیون عضو وب سایت دوست یابی اشلی مدیسون به سرقت رفت و در فضای وب به اشتراک گذاشته شد. اگرچه اکثر کاربران با نام مستعار در چنین سایت هایی ثبت نام می کنند، ولی باز هم از طریق اطلاعات کارت اعتباری یا آدرس ایمیل تعداد زیادی از آنها شناسایی شدند. آمار و ارقام درستی از تعداد کاربران شناسایی شده وجود ندارد، ولی در بین آنها کارمندان دولت هم دیده می شوند.
یکی از ابعاد مهم این حمله، تلاش هکرها و تبهکاران برای باجگیری از کاربران سایت فوق بود. این حادثه همچنین ابعاد اجتماعی و اخلاقی زیادی پیدا کرد. همچنین محققین کنجکاو حوزه جامعه شناسی به تجزیه و تحلیل اطلاعات پرداختند و نتایج جالبی به دست آوردند. هک اشلی مدیسون نشان داد حتی اگر پای زیان مالی در کار نباشد، سرقت اطلاعات محرمانه می تواند پیامدهای نابهنجاری در سطح جامعه داشته باشد.