تاکسیهای اینترنتی، از زمان ظهورشان در ایران، حواشی گوناگونی داشتهاند؛ از اعتراضهای تاکسیهای شهری و تاکسیتلفنیها گرفته تا گلایههای کاربران از سرویس، قیمت و رفتار رانندگان؛ از ماجرای رانندهای که یک خانم مسافر را به دلیل از سر افتادن شالش پیاده کرد تا راننده دیگری که به یک مسافر تجاوز کرده بود.
گروه جامعه: تاکسیهای
اینترنتی، از زمان ظهورشان در ایران، حواشی گوناگونی داشتهاند؛ از
اعتراضهای تاکسیهای شهری و تاکسیتلفنیها گرفته تا گلایههای کاربران
از سرویس، قیمت و رفتار رانندگان؛ از ماجرای رانندهای که یک خانم مسافر را
به دلیل از سر افتادن شالش پیاده کرد تا راننده دیگری که به یک مسافر
تجاوز کرده بود. دسترسیهای این اپلیکیشنها و نیز دخالت در نصب
اپلیکیشنهای دیگر روی گوشی تلفن همراه از چالشهای دیگر این
سرویسدهندهها بود. در شرایطی که این روزها خبر میرسد این شرکتها قرار
است زیر چتر نظارتی شهرداری بروند، برخی نگرانیها درباره امنیت حسابهای
کاربری کاربران ادامه دارد.
ماجرا بار اولی نیست که اتفاق میافتد، اما
همچنان روی میدهد. روز گذشته کاربری در حساب توئیتر خود نوشت: «ظاهرا حساب
اسنپم هک شده. در سابقه سفرها، لابلای سفرهای خودم، سفرهای زیادی در قم
انجام شده و هزینه سفر از حساب من کسر شده است. عجیب آنکه در بخش اطلاعات
کاربری شماره همراه دیگری را نشان میدهد! شماره همراهم را به ]حساب کاربری
پشتیبانی اسنپ در توئیتر[ دادم، گفت چنین کاربری نداریم. فعلا حساب را
مسدود کرد». وی که با انتشار تصاویری ادعای خود را مستند کرده، در ادامه
نوشته است: «نکته جالب کسی که از حساب اسنپ من در شهر قم استفاده میکند،
این است که: 1-در تمام سفرها، یک آدرس دو بار تکرار نشده! گویا یک نفر نیست
و آدرسها متنوعاند. 2-هر بار حسابم را شارژ کردهام، سفرهای قم شروع
شدهاند تا در یکی دو روز، شارژ خالی شود». این کاربر در ادامه خلاصه
پیگیری خود از این شرکت را هم شرح داده و به نقل از اسنپ آورده است: «ما که
نمیتونیم بگیم واقعا هک شده باشید، شاید از آشناهاتون باشن. نتیجه: کلا
حساب رو مسدود میکنیم و برید یه حساب جدید بسازید». او اشاره میکند: «با
شماره طرف تو قم هم تماس گرفتم گفت اصلا من نبودم برو هر کاری دلت میخواد
بکن!». این کاربر نوشته است که حدود 75 هزار تومان از حسابش به این شکل کسر
شده است.
کاربران دیگری هم درباره بروز مسئله مشابه نوشتهاند. مثلا
کاربری در توئیتر اشاره کرده است: «با این که قم هستم سفرهای مختلفی تو
همدان برام ثبت شده و از شارژم کم شده بود. جالب اینجاست که دقیقا تو همون
ساعت و روز من تو قم هم با اسنپ سفر داشتم. ولی نکته مهم اینجاست که اسنپ
هیچ کاری نکرد و تامام». یک کاربر دیگر هم با شرح مشکل مشابهی که برایش پیش
آمده و با اشاره به این که بانک اطلاعاتی نشت کرده است، در نهایت پرسیده:
«چرا نباید بعد از نشت، اطلاعرسانی به کلیه کاربران میشد؟».
چنان که
گفته شد، موضوع هک حسابهای کاربری جدید نیست، اما تداوم آن نشان میدهد که
اقدامات اسنپ، چه از نظر ارتقای امنیت و چه از نظر توضیح و آموزش کاربران
کافی نبوده است.
نیمه دوم سال گذشته بود که اخباری درباره آگهیهای فروش
اکانتهای دارای موجودی اسنپ منتشر شد. در این آگهیها، ضمن اشاره به مبلغ
موجودی حسابها، اشاره شده بود که اطلاعات کاربری قابل تغییر است و خریدار
میتواند شماره تلفن و ایمیل و نام کاربری حسابی که خریداری میکند را
تغییر دهد. همزمان برخی فعالان حوزه امنیت، به اسنپ درباره سازوکار کرک شدن
آسان حسابهای کاربری اسنپ و انتشار اطلاعات کاربران هشدار دادند.
روابطعمومی
اسنپ در آن زمان در واکنش به این اخبار اعلام کرد: «گاهی ضعیف و
محتملبودن رمزهای عبور یک حساب کاربری امکان سوءاستفاده را فراهم میکند.
در تمام دنیا رایج است که برخی از کاربران هنگام ثبتنام در سرویسهای
مختلف از رمزهای عبور ساده استفاده میکنند. موسسههای فعال در زمینهی
امنیت اطلاعات سایبری همواره دربارهی استفاده از این رمزها هشدار میدهند.
رمزهایی نظیر «۱۲۳۴۵۶»، «qwerty» و «۱۱۱۱۱۱» از جمله موارد پُرکاربردی
هستند که به لحاظ امنیتی ضعیف شمرده میشوند. کاربران سرویسهای داخلی نیز
از این قاعده مسثتنی نیستند و گاهی از این رمزها در فرم ثبتنام خود
استفاده میکنند. علاوه بر این رمزهایی که با استفاده از اطلاعات شخصی
(مانند کدملی، تاریخ تولد و سایر اطلاعات هویتی) تعیین میشوند زمینه
سوءاستفاده را برای افراد سودجو فراهم میکنند». روابطعمومی این شرکت
اضافه کرد: «در کنار این موارد، استفاده از اپلیکیشنهای غیراستاندارد و
تاییدنشده نیز میتواند باعث در معرض خطر قرار گرفتن رمزهای عبور کاربران
شود. این مورد میتواند در اندروید خطری جدی باشد، چراکه نصب فایل از منابع
غیررسمی در آن امکانپذیر است و احتمال دارد اپلیکیشنهای ناشناس در آن
حاوی بدافزار باشد. این بدافزارها میتوانند اطلاعات شما را ذخیره و برای
فرد دیگری ارسال کنند». آنها در ادامه گفتهاند: «به تازگی گزارشهای
محدودی در خصوص تلاش برای دسترسی به حساب اسنپ برخی از کاربران دریافت
کردهایم. ضمن اطمینان از محفوظ بودن اطلاعات کاربران، اعلام میکنیم که
حفظ این اطلاعات از اهمیت بسزایی برای ما برخوردار است. سیستم شناسایی هویت
اسنپ تمامی رمزهای عبور کاربران را به صورت هَششده (Hash) ذخیره میکند.
یعنی تنها شخص کاربر از رمز عبور خود مطلع است و حتی اسنپ نیز به رمزهای
کاربرانش به صورت واضح (plain) دسترسی ندارد». اسنپ سپس توصیههایی هم به
کاربران خود ارائه داده است: «از آنجایی که بخشی از فرایند امنیت اطلاعات
کاربران منوط به رعایت استانداردهای امنیتی از سوی شخص خودشان است، رعایت
موارد ذیل در هنگام استفاده از تمامی خدمات آنلاین، نظیر اسنپ، پیشنهاد
میشود:
برای کاهش ریسک، در هنگام ثبتنام از رمزهای قوی (شامل حروف
بزرگ، کوچک، عدد و کاراکتر) استفاده کنید. در صورتی که اکنون حساب اسنپ
دارید میتوانید با رفتن به قسمت تنظیمات اپلیکیشن رمز عبور خود را تغییر
دهید و از یک رمز قوی استفاده کنید.
همواره از آخرین نسخه اپلیکیشن
موردنظر خود استفاده کنید. در صورت نصب آخرین نسخه اپلیکیشن اسنپ (روی
آیاواس یا اندروید) میتوانید از قابلیت ثبتنام/ورود با شماره تلفن همراه
استفاده کنید. در این حالت یک رمز یکبار مصرف (OTP) به شمارهای که در
اسنپ وارد کردهاید ارسال میشود. این رمز تنها یک بار قابل استفاده خواهد
بود و پس از اینکه کاربر آن را در اپلیکیشن اسنپ وارد کند دیگر معتبر
نخواهد بود. به این ترتیب رمز عبور شما هر بار فقط روی سیمکارتی که با آن
قصد ورود به اسنپ را دارید ارسال و در دسترستان قرار میگیرد.
گفتنی
است به منظور ارتقای سطح امنیت و حفاظت از اطلاعات کاربران، به زودی امکان
جدیدی به اپلیکیشن اسنپ اضافه خواهد شد که بیش از پیش مانع سوءاستفادههای
احتمالی میشود. با وجود این امکان، در صورت استفاده از حساب کاربری شما
در یک دستگاه جدید پیامک و ایمیلی برایتان ارسال میشود تا در جریان قرار
بگیرید و آن را تایید کنید. به این ترتیب، در صورت نیاز میتوانید به سرعت
رمز ورود خود را تغییر دهید و مانع هرگونه سوءاستفاده احتمالی شوید».
درباره
تکرار این ماجرا نیز روابطعمومی اسنپ به همین توضیحات پیشین ارجاع داده
است. مسئله اما اینجاست که آیا مسئولیت هکشدن حسابهای کاربران تنها با
خودشان است؟ در این صورت با وجود تکرار ماجرا بعد از ماجرای پیشین، میشد
اطلاعرسانی مناسبی در این زمینه صورت گیرد تا کاربران مجددا در دام
سوءاستفادهگران نیفتند. همچنین آیا امکان ندارد که سازوکارهای احراز هویت
مالک اکانت یا تغییر در حساب کاربری به گونهای برنامهنویسی شود که امنیت
آن بیشتر باشد؟ چنان که مشاهده میکنیم درباره بسیاری از حسابهای کاربری
آنلاین، حساسیتها در این باره بسیار زیاد است و روشهای گوناگونی اعم از
تایید رمز دو مرحلهای، ارسال رمز موقت و... برای بالا بردن امنیت حسابهای
کاربری استفاده میشود. حداقل میتوان تا حل مسئله، از کاربران خواست که
اعتبار حساب خود را شارژ نکنند و یا این امکان موقتا تا رفع مشکل غیرفعال
شود. رخ ندادن این اتفاق، این شک و شبهه را برای کاربران به وجود خواهد
آورد که اسنپ حاضر نیست برای رضایت مشتری و بالا بردن امنیت کاربرانش، از
سود وجود این مبالغ در حساب خود بگذرد.
در جستجوی آگهیهای مربوط به
فروش اکانتهای اعتباری، یک مورد عجیب هم انتشار آگهی فروش اکانت کاربری با
اعتبار 27 میلیون و 535 هزار تومانی است! فروشنده که قیمت این معامله را
توافقی اعلام کرده، در این آگهی نوشته است: «قابل استعلام از خود اسنپ،
حساب روی یک سیمکارت ایرانسل هست که سیمکارت بنامتون میشه». وجود چنین آگهی
مشکوکی میتواند میزان حساسیت درباره ماجراهای مشابه را هم بالا ببرد و
باید مورد توجه اسنپ و کاربرانش قرار گیرد.
شاید در نگاه اول، اعتبار
حسابهای کاربری و بحث مالی هک اکانتهای اسنپ به چشم بیاید، اما مقاصد و
زمانهای سفرها، شماره تلفن و سایر اطلاعات کاربران نیز در صورت هک اکانت
میتواند مورد سوءاستفاده قرار گیرد و حتی سهلانگاری کاربران هم نمیتواند
نافی مسئولیت سرویسدهنده در ارتقای امنیت کاربرانش باشد و شاید بهتر است
راهکاری فراتر از بستن حساب پیشین و باز کردن حساب جدید در واکنش به این
مسائل اتخاذ شود. در نهایت به نظر میرسد پیگیری قانونی چنین جرائمی هم
نیاز به پیگیری متمرکز اسنپ دارد تا هکرهای سوءاستفادهگر، حریم امن تعقیب
نشدن را در اطراف خود حس نکنند و بدانند که در صورت انجام چنین جرمی، مورد
تعقیب قانون و مجازات قرار خواهند گرفت. فراموش نکنیم که حیات کسبوکارهای
خدماتی به مشتریان آن وابسته است و اگر نارضایتی کاربران فزاینده و جمعی
شود و به حرکتهایی مثل تحریم هم برسد، یک کسبوکار، بهویژه با ساختار
استارتآپی، ضربه شدیدی متحمل خواهد شد؛ به خصوص که انحصار بازار از دست آن
شرکت خارج شده و رقبا چشمانتظار از دست رفتن بخشی از سهم بازار توسط یک
شرکت و تصاحب آن باشند.