دریافت لینک صفحه با کد QR
امنیت اطلاعات کاربران کیلویی چند؟
4 خرداد 1398 ساعت 22:11
مولف : علی فخار
چند روز پیش در اقدامی بیسابقه به صورت همزمان حسابهای کاربریام مورد حمله سایبری واقع شد. در ابتدا به صورت همزمان حسابهای گوگل، مایکروسافت، تلگرام و سپس حساب کاربریام در اسنپ مورد حمله قرار گرفت که ذهنم را در چند زمینه درگیر کرد.
همانطور که میدانید حسابهای کاربری گوگل، مایکروسافت و تلگرام از امنیت دو مرحلهای بهره میبرند که خوشبختانه بهدلیل فعال بودن این قابلیت، حملهکننده محترم نتوانست به هیچیک از حسابها دسترسی پیدا کند، اما نکته قابل تامل اینجا بود که در پیام هشداری که از سوی تلگرام برایم ارسال شد، مشخص شد که این فرد توانسته کد ورود اولیه را که یا از طریق تلگرام ارسال میشود یا پیامک؛ به درستی وارد کند اما «پسورد ابری» را نداشته تا ورودش تکمیل شود. یعنی اگر من پسورد ابری نداشتم، قطعا به تلگرام من دسترسی پیدا کرده بود که همین مساله جای سوال و ابهام زیادی دارد که چطور چنین چیزی ممکن است.
بعد از این ماجرا، متوجه خلا بسیار جدی حوزه امنیت اطلاعات در استارتاپها و سرویسهای آنلاین داخلی شدم. تقریبا اغلب سرویسهای داخلی از ویژگیهای امنیتی همچون مدیریت نشستها (Session)، امنیت دو-مرحلهای یا ارسال پیام هشدار ورود به اکانت ناشناس و... برخوردار نیستند و چنین زیرساختی را لحاظ نکردهاند.
اصولا نه حاکمیت قوانین سفت و محکمی را در این زمینه لحاظ کرده تا سرویسهای داخلی در صورت عدم محافظت از اطلاعات کاربران جریمه یا محاکمه شوند، نه امنیت کاربران برای سرویسدهندههای داخلی اولویت بالایی دارد. در همین چند ماه گذشته تپسی مورد حمله قرار گرفت و اطلاعات کاربرانش لو رفت، بهتازگی پیامک ورود به اسنپ به افراد بسیار زیادی ارسال شده که ریشه آن هنوز مشخص نیست. اپراتورها نیز پیشتر با اطلاعات کاربران بهصورت «کیلویی» رفتار کردهاند. همه اینها زمانی اتفاق میافتد که دادههای شخصی ما در شبکه اینترنت روزبهروز بیشتر میشود و طبیعی است که کاربران نگران امنیت اطلاعات خود باشند.
در حالی که دادگاه آمریکا مارک زاکربرگ را بخاطر نحوه استفاده فیسبوک از دادههای کاربران دادگاهی میکند، یا اتحادیه اروپا GDPR را تصویب میکند، یا کشورهای مختلف استفاده از اطلاعات شخصی برای تبلیغات و... را ممنوع میکنند؛ ما تاکنون دقیقا چه قدمی برای حفظ امنیت کاربران در فضای مجازی برداشتهایم؟ فکر میکنم لازم است به طور جدی قوانینی تصویب شود و سرویسدهندههای داخلی هم مجبور به رعایت آنها شوند و کاربران هم بتوانند از سرویسدهنده در صورت عدم رعایت قوانین شکایت کنند. با ایجاد حس امنیت، مطمئنا رشد سرویسهای داخلی راحتتر اتفاق میافتد، اما اگر کاربران حس کنند دادههایشان در سرویسهای داخلی امنیت کاملی ندارد، طبیعتا استفاده از سرویسهای خارجی را اولویت خود قرار میدهند.
کد مطلب: 272064
ITMen
https://www.itmen.ir