اسنپ فود هک شد! داستان هک اسنپ فود از ابتدا تا انتها
به گزارش رسانه مدیاتی، اسنپ فود از جمله اپلیکیشنهایی است که امروزه افراد زیادی در کشور ما از آن استفاده میکنند. به احتمال زیاد شما هم از جمله افرادی هستید که از این برنامه برای خریدهای خود یا ثبت سفارش غذا استفاده کردهاید. اما در روزهای اخیر خبری منتشر شده بود مبنی بر اینکه اسنپ فود هک شده است. خبری ناخوشایند که مسلما کاربران این برنامه را نگران کرده است. در ادامه این مطلب بیشتر درباره این خبر بخوانید.
هک اسنپ فود و لو رفتن اطلاعات کاربران
متاسفانه چندی پیش، اسنپ فود خبر هک شدنش را تایید کرد. اسنپ فود توسط همان گروه هکری هک شده است که امسال تپسی را هک کرده بودند. این گروه ادعا کرده بود که اطلاعات بیش از 20 میلیون کاربر و 880 میلیون سفارش اسنپ فود را بهدست آورده است. خبری نگرانکننده که اصلا برای کاربران اسنپ فود خوشایند نبوده است.
این هکرها، در کانال تلگرامی خود، بخشی از اطلاعاتی که هک شده را منتشر کردهاند. این اطلاعات شامل بیش از 20 میلیون نام کاربری، پسورد، ایمیل، نام و نام خانوادگی، شماره موبایل، 51 میلیون موقعیت مکانی، آدرس کامل، شماره تلفن، اطلاعات بیش از 160 میلون سفر انجام شده توسط پیک، اطلاعات بیش از 600 هزار پرداخت سفارش شامل نام مشتری، شماره کارت و … میشود. بررسی نمونههای هک شده نشان میدهد که آخرین نمونه اطلاعات درز شده، مربوط به تاریخ 10 دسامبر 2023 است.
اکنون اسنپ فود این خبر را تایید کرده و گفته است: “مسئولیت این اتفاق را میپذیریم. در حال بررسی دقیق موضوع هستیم. از طریق مذاکره با هکرها تمام تلاش خود را برای جلوگیری از انتشار اطلاعات کاربران انجام خواهیم داد.” همچنین اسنپ در بیانیه دیگری اعلام کرد که اطلاعات بانکی مشتریان چون رمز دوم و کد امنیتی، در امنیت کامل است و لو نرفته است. هنوز پس از گذشت چند روز، نمیدانند که هکرها داخلی بودند یا خارجی!
هر چند که این حرفها، مشکل بزرگی که برای کاربران بهوجود آمده است را حل نخواهد کرد و از طرفی شایعاتی وجود دارد، مبنی بر اینکه هکرها حاضر به مذاکره با تیم اسنپ نیستند و فقط قصد فروش این اطلاعات را به قیمت گزاف 30 هزار دلار، دارند.
یکی از کاربران شبکه اجتماعی ایکس نیز نوشته است: “ایرنا خبر داده که پلیس فتا هک اطلاعات اسنپ فود رو تأیید کرده، خود اسنپ فود هم بدون کوچکترین عذرخواهی تأیید کرده. حالا کاربران نباید بدونن چه اطلاعاتی و چطور و برای کجا استفاده شده؟ این اطلاعرسانیهای غیرمسئولانه به کدام پرسش کاربران پاسخ میده؟”
کاربر دیگری نیز نوشته است: “سال 2013 و 2014 حساب کاربری حدود 200 میلیون کاربر یاهو هک شد. خاطرم هست که دادگاه، حکم به دادن غرامت به مردم داد. خب، حالا که تمام اطلاعات شخصی ما از طریق اسنپ فود به دست هکرها افتاده و اونها هم برای فروش گذاشتنش، اسنپ نباید غرامت بده؟ اصلاً دادگاهی براش برگزار میشه؟!”
به روز رسانی جدید:
براساس اعلام تیم هکری، مذاکرات این تیم با اسنپ فود به نتیجه رسیده است و اعلام کردهاند که دیتای سمپل و اطلاعاتی را که جهت فروش در فرومی قرار داده بودند، حذف کردهاند.
جمع بندی:
چندین نکته که از زبان برخی از دوستان نیز مطرح شده است، باید ذکر کنیم. نکتۀ اول و جالب ماجرا این است که اسنپ فود در برنامۀ باگ بانتی خود، بیشترین مبلغ پرداختی برای بالاترین ردۀ باگ قابل کشف توسط کاربران را، رقم 7 میلیون تومان ذکر کرده است که با توجه به حجم دیتا و بزرگی پلتفرم، بعید به نظر میرسد که هکری حاضر باشد این مبلغ را در ازای بالاترین سطح آسیب پذیری دریافت کند و صرفا به یک گزارش سادۀ باگ، اکتفا نماید.
نکتۀ دوم و جالبتر این است که براساس بررسی بسیاری از کاربران که در حوزههای مختلف تخصص داشتهاند، بسیاری از موارد ابتدایی امنیتی نیز در پلتفرم اسنپ رعایت نشده است که از جملۀ آنها میتوان به امکان دسترسی به فایلهای ارسال شدۀ کاربران استفاده کنندۀ پلتفرم اسنپ مانند تصاویر ارسالی گزارشهای سفارشات، اشاره کرد.
نکتۀ سوم و قابل تامل این است که، اسنپ علیرغم اینکه ساعتهای زیادی از این موضوع سپری شده بود، حتی در قبال مواردی که بسیار بدیهی به نظر میرسیدند، هیچ واکنشی از خود نشان نداد. به عنوان مثال میتوانست فایلهای تصاویری که براساس آدرس آنها به راحتی قابل مشاهده بودند را به نوعی از دسترس خارج کند که این موضوع اتفاق نیافتاد و به نظر میرسد دلیل اصلی آن، بی اهمیت بودن دیتای کاربران از هر جنبهای باشد. از سوی دیگر، با توجه به عدم وجود قانون بازدارنده و یا سیستم نظارتی، اسنپ فود هیچ واکنشی در راستای حفظ امنیت حداقلی دیتای کاربران از خود نشان نداد.
نکتۀ چهارم که در راستای نکتۀ قبلی میتوان به آن اشاره کرد، بحث شو بودن واکنشها است. اسنپ فود اعلام کرده است که اطلاعات پرداختی کاربران مانند CVV لو نرفته و امن است، این در حالی است که اصلا این اطلاعات در پلتفرم اسنپ فود ذخیره نمیشود که در مورد امن بودن یا نبودن ذخیرۀ آن صحبتی از سوی اسنپ انجام شود. آنچه که بدیهی و واضح است، کل اطلاعات موجود در پلتفرم اسنپ، به صورت کامل لو رفته است و ارسال پیامهایی مبنی بر امن بودن اطلاعات پرداختی کاربران، صرفا یک شو بوده و وجهه واقعی ندارد.
کما اینکه اسنپ فود در برابر اعلام کاربران مبنی بر اینکه تصاویری که کاربران پلتفرم اسنپ فود در گزارشهای سفارشات ارسال کردهاند، به راحتی در دسترس و قابل مشاهده هستند، هیچ واکنش نشان نداد و اقدامی نکرد و این خود نیز، موید این مطلب است که تیم اسنپ فود، صرفا با هدف شو کردن این موضوع که پیگیر این اتفاق هستند، پیغامهایی را ارسال کرده است.
نکتۀ پنجم و نهایی که از این موضوع و اتفاقات پیش آمده میتوان برداشت کرد، این است که با توجه به شواهد موجود، تنها موضوعی که برای اسنپ فود دارای اهمیت بوده است، جلوگیری از فروخته شدن اطلاعات به شخص ثالث، نه با هدف حفظ امنیت اطلاعات کاربران، بلکه با هدف جلوگیری از ایجاد رقیب احتمالی به واسطۀ استفاده از این دیتای عظیم بوده است که ظاهرا موفق به انجام این کار نیز شده است.