خطرات نقض داده | 5 مورد از مهم‌ترین تهدیدات داده‌های سرقتی

خطرات نقض داده | 5 مورد از مهم‌ترین تهدیدات داده‌های سرقتی

تا به اینجای سال ۱۴۰۲ چندین سازمان دولتی و خصوصی کشور هک شده‌اند و اطلاعات میلیون‌ها شهروند ایرانی به دست هکرها افتاده است. برای مثال می‌توان به هک سازمان ثبت احوال و هک اسنپ فود اشاره کرد که منجر به لو رفت اطلاعات هویتی، اطلاعات بانکی، آدرس، شماره تلفن و بسیاری دیگر از اطلاعات شخصی میلیون‌ها شهروند ایرانی شدند. با انتشار اخبار هر کدام از این هک‌ها در شبکه‌های اجتماعی، سوالی که بسیاری از کاربران می‌پرسند این است که چرا چنین اطلاعاتی می‌توانند برای مجرمین سایبری ارزشمند باشند. در واقع، در بسیاری از موارد، کاربران عمومی شبکه‌های اجتماعی این سوال را مطرح می‌کنند که اگر هکرها به رمز کارت‌های بانکی کاربران دسترسی پیدا نکرده‌اند، چه خطری کاربران را تهدید می‌کند. در این مقاله می‌خواهیم با توضیح مهم‌ترین خطرات نقض داده، به چنین سوالاتی پاسخ دهیم. با سایبرنو همراه باشید.

آنچه در ادامه می خوانید:

نقض داده چیست؟

نقض داده چه خطراتی برای کاربران دارد؟

چه راهکارهایی برای جلوگیری از نقض داده وجود دارد؟

سوالات پرتکرار

 

نقض داده چیست؟

اگر بخواهیم خیلی ساده بگوییم، منظور از نقض داده، رخدادی امنیتی است که در آن، هکرها به صورت غیر مجاز به داده‌های حساس دسترسی پیدا می‌کنند. این داده‌ها می‌توانند شامل داده‌های شخصی مشتریان یک سازمان خصوصی یا ارباب رجوعان یک سازمان دولتی، اطلاعات محرمانه کسب و کارها، اسرار محرمانه دولتی یا هر نوع اطلاعات حساس دیگری باشند. معمولا، هکرها به صورت مستقیم از این داده‌ها برای اهداف بدخواهانه و مجرمانه استفاده می‌کنند یا آن‌ها را در دارک وب به فروش می‌رسانند. در هر صورت، نقض داده رویداد بسیار خطرناکی است که می‌تواند برای شهروندان و سازمان‌ها، تبعات جبران‌ناپذیری داشته باشد.

برای مثال می‌توان از هک سازمان ثبت احوال، هک وزارت علوم، هک تپسی و هک اسنپ فود به عنوان مهم‌ترین رویدادهای نقض داده که اخیرا در کشور ما رخ داده‌اند، اشاره کرد. چنین رویدادهایی منجر به لو رفتن اطلاعات شخصی میلیون‌ها شهروند ایرانی و سرقت اسناد محرمانه تجاری و دولتی شده است.

در مواردی که نقض داده منجر به لو رفتن اطلاعات شخصی کاربران مثل اطلاعات هویتی آن‌ها، شماره کارت‌های بانکی، آدرس محل سکونت، شماره تلفن و ... می‌شود، معمولا این سوال برای عموم مردم ایجاد می‌شود که چنین اطلاعاتی چه ارزشی دارند و چه خطراتی را متوجه قربانیان می‌سازند.

 

نقض داده چه خطراتی برای کاربران دارد؟

جدا از خطراتی که نقض داده می‌تواند برای سازمان‌های دولتی و خصوصی داشته باشد، داده‌های سرقت شده کاربران و ارباب رجوعان سازمان‌های خصوصی و دولتی می‌تواند تهدیداتی را متوجه آن کاربران سازد. در اینجا ۶ مورد از مهم‌ترین خطرات نقض داده برای کاربران را آورده‌ایم. همچنان با مجله سایبرنو همراه باشید.

۱- جعل هویت

یکی از مهم‌ترین خطرات نقض داده که نه تنها کاربران، بلکه امنیت کشور را تهدید می‌کند، جعل هویت برای اجرای فعالیت‌های مجرمانه و تروریستی است. مجرمین و تروریست‌ها می‌توانند با هک کردن پایگاه‌های داده نگهداری اطلاعات مشتریان شرکت‌های خصوصی مثل اسنپ یا هک کردن پایگاه‌های داده ذخیره داده‌های شهروندان در سازمان‌های دولتی یا حتی خرید چنین اطلاعاتی از دارک وب، هویت اشخاصی که اطلاعات آن‌ها لو رفته است را جعل کنند.

برای مثال در رخدادهای اخیر نقض داده که در کشور ما رخ داده است، اطلاعات هویتی بسیاری مثل کد ملی، تاریخ تولد، شماره تلفن همراه، آدرس منزل و محل کار و ... در اختیار هکرها قرار گرفته است که امکان جعل هویت را فراهم می‌آورند.

بدین ترتیب، مجرمین و تروریست‌ها می‌توانند با انجام اقدامات خرابکارانه، نه تنها مشکلات زیادی را برای کاربرانی که هویت آن‌ها جعل شده است، ایجاد کنند، بلکه بدون نگرانی نسبت به بازداشت شدن، اقدامات خرابکارانه خود را پیش ببرند و امنیت کشور را با مشکل مواجه کنند.

۲- کلاهبرداری مالی

خطر دیگری که قربانیان نقض داده را تهدید می‌کند، انواع و اقسام کلاهبرداری‌های مالی است که با پشتیبانی اطلاعات هویتی و اطلاعات مالی مثل شماره کارت‌های بانکی و تراکنش‌های مالی قربانیان انجام می‌شود. با اینکه معمولا درگاه‌های بانکی از امنیت بسیار بالایی برخوردار هستند و امکان به دست آوردن رمز کارت‌های بانکی کاربران برای هکرها تقریبا نزدیک به صفر است و با وجود به نیاز به احراز هویت دو عاملی برای پرداخت‌های اینترنتی، همواره احتمالا سوء استفاده مجرمین و کلاهبرداران از سایر اطلاعات کاربران مثل شماره کارت‌ بانکی یا جزئیات تراکنش‌ها که در بعضی موارد نقض داده در سال‌های اخیر لو رفته‌اند، وجود دارد.

برای مثال می‌توان به نوعی کلاهبرداری تلفنی اشاره کرد که در آن، تیم‌های کلاهبرداری حرفه‌ای با در اختیار داشتن اطلاعاتی مثل شماره تلفن، نام و نام خانوادگی، شماره کارت بانکی و ... به صورت تلفنی با مخاطبان هدف خود تماس می‌گیرند و تلاش می‌کنند تا با مهندسی اجتماعی و بهانه آوردن یا پریتکستینگ (pretexting)، آن‌ها را ترغیب به افشای اطلاعاتی مثل رمز پیامکی کنند. در یک کمپین کلاهبرداری تلفنی که اخیرا فعال بوده است، کلاهبرداران با در اختیار داشتن شماره ملی، شماره تلفن و شماره کارت بانکی قربانیان نقض داده، با آن‌ها تماس می‌گیرند و به آن‌ها خبر (جعلی) می‌دهند که در یک قرعه‌کشی یا مسابقه برنده شده‌اند و با مهندسی اجتماعی تلاش می‌کنند تا قربانی را ترغیب به افشای کد پیامکی کنند. در صورتی که قربانی فریب بخورد، به راحتی امکان خالی کردن حساب کاربری او وجود دارد.

معمولا، مجرمین در چنین سناریوهایی نیز از جعل هویت برای خرید اشتراک تلفن ثابت یا سیم کارت یا افتتاح حساب‌های بانکی استفاده می‌کنند و گفتیم که از اطلاعات افشا شده در رویدادهای نقض داده برای این منظور استفاده می‌شود.

۳- حملات اسپم و فیشینگ

هکرها از شماره تلفن‌ها و ایمیل‌های افشا شده در رویدادهای نقض داده برای اجرای ارسال ایمیل‌های اسپم و اجرای کمپین‌های فیشینگ استفاده می‌کنند و قربانیان را در معرض خطر افشای اطلاعات محرمانه‌تری مثل رمز کارت‌های بانکی و ... قرار می‌دهند. همچنین، هکرها و مجرمین سایبری که می‌خواهند اطلاعات محرمانه و حساس سازما‌ن‌های دولتی و خصوصی را سرقت و به شبکه‌های داخلی این سازمان‌ها نفوذ کنند، می‌توانند با اجرای حملات فیشینگ علیه کارکنان سازمان هدف خود و نفوذ به دستگاه‌های آن‌ها، یک گام به هدف خود نزدیک‌تر شوند.

بنابراین، ضرورت دارد که سازمان‌ها دارای لایه‌های حفاظتی مختلف برای مقابله با این حملات باشند. راهکار امنیت ایمیل سایبرنو می‌تواند از سازمان شما در مقابل ایمیل‌های اسپم و فیشینگ محافظت کند.

۴-  خطرات امنیتی فیزیکی

رویدادهای نقض داده در سازمان‌های دولتی و خصوصی و لو رفتن اطلاعات شهروندان مثل آدرس منزل و محل کار می‌تواند آن‌ها را در معرض خطرات فیزیکی مثل سرقت یا سوء قصد قرار دهد. گذشته از این، هکرها می‌توانند با جعل هویت یا به دست آوردن سایر اطلاعات حساس وارد سازمان‌های حساس شوند.

۵- آسیب به اعتبار و آبروی افرار و سازمان‌ها

یکی دیگر از خطرات نقض داده می‌تواند افشای اطلاعاتی باشد که در صورت عمومی شدن، به اعتبار افراد، سازمان‌ها و حتی حکومت‌ها و مقبولیت آن‌ها خدشه وارد می‌کنند. افشای اسناد محرمانه دولتی، اسناد قضایی، اسناد محرمانه درون‌سازمانی و ... می‌تواند مشکلات متعددی برای دولت‌ها، شخصیت‌های حقیقی و شخصیت‌های حقوقی ایجاد کند. در چنین مواردی، احتمال رخداد اخاذی و درخواست حق السکوت وجود دارد.

 

چه راهکارهایی برای جلوگیری از نقض داده وجود دارد؟

تا اینجا گفتیم که خطرات نقض داده برای افراد، سازمان‌ها و حتی دولت‌ها چیست. واضح است که سازمان‌ها باید راهکارهایی برای مقابله با رویدادهای نقض داده بیاندیشند. به طور کلی می‌توان چندین راهکار برای جلوگیری از تکرار چنین رویدادهای تلخی پیش روی کاربران، سازمان‌ها و نهادهای قانون‌گذار وجود دارد:

۱- کاربران تا جای ممکن اطلاعات محرمانه خود را در پلتفرم‌های آنلاین مثل وبسایت‌های فروشگاهی و ... وارد نکنند. هر چه اطلاعات شخصی شما در پایگاه‌های داده کمتری ذخیره شده باشد، احتمال نشت آن‌ها به دلیل نقض داده، کمتر خواهد بود.

۲- شرکت‌های خصوصی و سازمان‌های دولتی با امن سازی شبکه‌ها و سرورهای خود و استقرار سامانه‌های امنیتی مثل فایروال‌ها، سیستم‌های شناسایی نفوذ، سیستم‌های پیشگیری از نفوذ، سامانه‌های مدیریت و نظارت بر لاگ، سامانه‌های انتقال امن فایل، راهکارهای امنیت ایمیل، امنیت شبکه خود را ارتقاء دهند و احتمال نقض داده را به حداقل برسانند. گذشته از این، شرکت‌های خصوصی و سازمان‌های دولتی باید در سیاست‌های ذخیره داده‌های کاربران بازنگری کنند و صرفا اطلاعات ضروری را با رضایت کاربر و آگاهی‌رسانی نسبت به خطرات نقض داده، ذخیره‌کنند.

۳- نهاد‌های تنظیم‌گر و قانون‌گذار باید سیاست‌های سخت‌گیرانه‌ای را برای حفاظت از داده‌های کاربران اتخاذ کنند و سازمان‌های خصوصی و دولتی را موظف به حفاظت از داده‌های کاربران کنند. قوانین وضع شده باید به گونه‌ای باشند که سازمان‌ها را در مقابل موارد نقض داده پاسخگو کنند و امکان جبران خسارت‌های مادی و معنوی کاربران را فراهم آورند.

سوالات پرتکرار

۱- منظور از نقض داده چیست؟

منظور از نقض داده، دسترسی غیر مجاز هکرها با هک کردن شبکه‌ها و سرورهای سازمان‌های دولتی یا خصوصی، به داده‌های حساس سازمانی یا داده‌های کاربران دریافت‌کننده خدمات از آن سازمان‌ها است.

۲- اطلاعات کاربران عمومی چه ارزشی برای هکرها دارند؟

هکرها می‌توانند با گردآوری اطلاعات شخصی کاربران عمومی، اقدامات مجرمانه‌ای مثل جعل هویت، کلاهبرداری، حملات فیشینگ و اسپم، سوء قصد به جان و مال افراد و اخاذی از آن‌ها را انجام دهند یا این اطلاعات را در دارک وب به تروریست‌ها و مجرمین دیگر بفروشند.

۳-آیا سازمان‌ها در ایران باید در برابر نقض داده کاربران خود پاسخگو باشند؟

با اینکه در کشور ما قوانینی برای حفاظت از حریم خصوصی و داده‌های شخصی شهروندان وجود دارد اما خلاء قانونی زیادی در موضوع نقض داده‌های شخصی و حریم خصوصی شهروندان به واسطه سازمان‌های دولتی و شرکت‌های خصوصی در قانون دیده می‌شود که بازنگری در بعضی قوانین را اجتناب‌ناپذیر می‌سازد. برای اطلاعات بیشتر در این باره می‌توانید به مقاله «چالش‌های نظام حقوقی ایران در نقض داده‌ها و حریم خصوصی در فضای سایبر» (رییسی‌دزکی و قاسم‌زاده‌لیاسی، ۱۳۹۹) مراجعه کنید.

 

تاریخ انتشار: 1402/11/10
تاریخ بروزرسانی: 1402/11/11
user avatar
نویسنده: امیر ظاهری مدیر تولید محتوا سایبرنو
امیر ظاهری در سال ۱۳۹۴ از دانشگاه «تربیت مدرس» در مقطع کارشناسی ارشد رشته «بیوفیزیک» فارغ‌التحصیل شد. او که به فناوری، امنیت سایبری، رمزنگاری و بلاک‌چین علاقه داشت، نویسندگی در این حوزه‌ها را شروع کرد و در سال ۱۳۹۸ به عضویت هیئت تحریریه «زومیت»، پربازدیدترین مجله تخصصی فناوری ایران، درآمد. او سابقه همکاری به عنوان کارشناس تولید محتوا با استارت‌آپ «جاب ویژن» نیز دارد. در سال ۱۴۰۰ همکاری خودش را با سایبرنو شروع کرد و از آن زمان تاکنون به صورت تخصصی در حوزه امنیت سایبری فعالیت دارد.
برچسب‌های مرتبط
این مطلب را با دوستان خود به اشتراک بگذارید
نظرات کاربران

برای دریافت خبرنامه و اخبار

آدرس پست الکترونیکی خود را وارد کنید

تمامی حقوق مادی و معنوی این سایت متعلق به شرکت مهندسی دنیای فناوری امن ویرا (سایبرنو) می‌باشد.