داستان هک اسنپ فود از ابتدا تا انتها

اسنپ فود هک شد! داستان هک اسنپ فود از ابتدا تا انتها

به گزارش رسانه مدیاتی، اسنپ فود از جمله اپلیکیشن‌هایی است که امروزه افراد زیادی در کشور ما از آن استفاده می‌کنند. به احتمال زیاد شما هم از جمله افرادی هستید که از این برنامه برای خریدهای خود یا ثبت سفارش غذا استفاده کرده‌اید. اما در روزهای اخیر خبری منتشر شده بود مبنی بر اینکه اسنپ فود هک شده است. خبری ناخوشایند که مسلما کاربران این برنامه را نگران کرده است. در ادامه این مطلب بیشتر درباره این خبر بخوانید.

هک اسنپ فود و لو رفتن اطلاعات کاربران

متاسفانه چندی پیش، اسنپ فود خبر هک شدنش را تایید کرد. اسنپ فود توسط همان گروه هکری هک شده است که امسال تپسی را هک کرده بودند. این گروه ادعا کرده بود که اطلاعات بیش از 20 میلیون کاربر و 880 میلیون سفارش اسنپ فود را به‌دست آورده است. خبری نگران‌کننده که اصلا برای کاربران اسنپ فود خوشایند نبوده است.

این هکر‌ها، در کانال تلگرامی خود، بخشی از اطلاعاتی که هک شده را منتشر کرده‌اند. این اطلاعات شامل بیش از 20 میلیون نام کاربری، پسورد، ایمیل، نام و نام خانوادگی، شماره موبایل، 51 میلیون موقعیت مکانی، آدرس کامل، شماره تلفن، اطلاعات بیش از 160 میلون سفر انجام شده توسط پیک، اطلاعات بیش از 600 هزار پرداخت سفارش شامل نام مشتری، شماره کارت و … می‌شود. بررسی نمونه‌های هک شده نشان می‌دهد که آخرین نمونه اطلاعات درز شده، مربوط به تاریخ 10 دسامبر 2023 است.

- تبلیغات -

اکنون اسنپ فود این خبر را تایید کرده و گفته است: “مسئولیت این اتفاق را می‌پذیریم. در حال بررسی دقیق موضوع هستیم. از طریق مذاکره با هکرها تمام تلاش خود را برای جلوگیری از انتشار اطلاعات کاربران انجام خواهیم داد.” همچنین اسنپ در بیانیه دیگری اعلام کرد که اطلاعات بانکی مشتریان چون رمز دوم و کد امنیتی، در امنیت کامل است و لو نرفته است. هنوز پس از گذشت چند روز، نمی‌دانند که هکرها داخلی بودند یا خارجی!

هر چند که این حرف‌ها، مشکل بزرگی که برای کاربران به‌وجود آمده است را حل نخواهد کرد‌ و از طرفی شایعاتی وجود دارد، مبنی بر اینکه هکرها حاضر به مذاکره با تیم اسنپ نیستند و فقط قصد فروش این اطلاعات را به قیمت گزاف 30 هزار دلار، دارند.

یکی از کاربران شبکه اجتماعی ایکس نیز نوشته است: “ایرنا خبر داده که پلیس فتا هک اطلاعات اسنپ فود رو تأیید کرده، خود اسنپ فود هم بدون کوچک‌ترین عذرخواهی تأیید کرده. حالا کاربران نباید بدونن چه اطلاعاتی و چطور و برای کجا استفاده شده؟ این اطلاع‌رسانی‌های غیرمسئولانه به کدام پرسش کاربران پاسخ می‌ده؟”

کاربر دیگری نیز نوشته است: “سال 2013 و 2014 حساب کاربری حدود 200 میلیون کاربر یاهو هک شد. خاطرم هست که دادگاه، حکم به دادن غرامت به مردم داد. خب، حالا که تمام اطلاعات شخصی ما از طریق اسنپ فود به دست هکرها افتاده و اون‌ها هم برای فروش گذاشتنش، اسنپ نباید غرامت بده؟ اصلاً دادگاهی براش برگزار میشه؟!”

به روز رسانی جدید:

براساس اعلام تیم هکری، مذاکرات این تیم با اسنپ فود به نتیجه رسیده است و اعلام کرده‌اند که دیتای سمپل و اطلاعاتی را که جهت فروش در فرومی قرار داده بودند، حذف کرده‌اند.

جمع بندی:

چندین نکته که از زبان برخی از دوستان نیز مطرح شده است، باید ذکر کنیم. نکتۀ اول و جالب ماجرا این است که اسنپ فود در برنامۀ باگ بانتی خود، بیشترین مبلغ پرداختی برای بالاترین ردۀ باگ قابل کشف توسط کاربران را، رقم 7 میلیون تومان ذکر کرده است که با توجه به حجم دیتا و بزرگی پلتفرم، بعید به نظر می‌رسد که هکری حاضر باشد این مبلغ را در ازای بالاترین سطح آسیب پذیری دریافت کند و صرفا به یک گزارش سادۀ باگ، اکتفا نماید.

نکتۀ دوم و جالب‌تر این است که براساس بررسی بسیاری از کاربران که در حوزه‌های مختلف تخصص داشته‌اند، بسیاری از موارد ابتدایی امنیتی نیز در پلتفرم اسنپ رعایت نشده است که از جملۀ آن‌ها می‌توان به امکان دسترسی به فایل‌های ارسال شدۀ کاربران استفاده کنندۀ پلتفرم اسنپ مانند تصاویر ارسالی گزارش‌های سفارشات، اشاره کرد.

نکتۀ سوم و قابل تامل این است که، اسنپ علیرغم اینکه ساعت‌های زیادی از این موضوع سپری شده بود، حتی در قبال مواردی که بسیار بدیهی به نظر می‌رسیدند، هیچ واکنشی از خود نشان نداد. به عنوان مثال می‌توانست فایل‌های تصاویری که براساس آدرس آن‌ها به راحتی قابل مشاهده بودند را به نوعی از دسترس خارج کند که این موضوع اتفاق نیافتاد و به نظر می‌رسد دلیل اصلی آن، بی اهمیت بودن دیتای کاربران از هر جنبه‌ای باشد. از سوی دیگر، با توجه به عدم وجود قانون بازدارنده و یا سیستم نظارتی، اسنپ فود هیچ واکنشی در راستای حفظ امنیت حداقلی دیتای کاربران از خود نشان نداد.

نکتۀ چهارم که در راستای نکتۀ قبلی می‌توان به آن اشاره کرد، بحث شو بودن واکنش‌ها است. اسنپ فود اعلام کرده است که اطلاعات پرداختی کاربران مانند CVV لو نرفته و امن است، این در حالی است که اصلا این اطلاعات در پلتفرم اسنپ فود ذخیره نمی‌شود که در مورد امن بودن یا نبودن ذخیرۀ آن صحبتی از سوی اسنپ انجام شود. آنچه که بدیهی و واضح است، کل اطلاعات موجود در پلتفرم اسنپ، به صورت کامل لو رفته است و ارسال پیام‌هایی مبنی بر امن بودن اطلاعات پرداختی کاربران، صرفا یک شو بوده و وجهه واقعی ندارد.

کما اینکه اسنپ فود در برابر اعلام کاربران مبنی بر اینکه تصاویری که کاربران پلتفرم اسنپ فود در گزارش‌های سفارشات ارسال کرده‌اند، به راحتی در دسترس و قابل مشاهده هستند، هیچ واکنش نشان نداد و اقدامی نکرد و این خود نیز، موید این مطلب است که تیم اسنپ فود، صرفا با هدف شو کردن این موضوع که پیگیر این اتفاق هستند، پیغام‌هایی را ارسال کرده است.

نکتۀ پنجم و نهایی که از این موضوع و اتفاقات پیش آمده می‌توان برداشت کرد، این است که با توجه به شواهد موجود، تنها موضوعی که برای اسنپ فود دارای اهمیت بوده است، جلوگیری از فروخته شدن اطلاعات به شخص ثالث، نه با هدف حفظ امنیت اطلاعات کاربران، بلکه با هدف جلوگیری از ایجاد رقیب احتمالی به واسطۀ استفاده از این دیتای عظیم بوده است که ظاهرا موفق به انجام این کار نیز شده است.