امنیت (Security) انتخاب سردبیر عصر تراکنش کسب‌وکارها

۱۷ نفرت‌انگیز / معرفی ۱۷ مورد از بزرگ‌ترین افشای داده‌های تاریخ

ماهنامه عصر تراکنش / هر جای این دنیا و در هر موقعیتی که قرار داشته باشید، ممکن است در معرض شکاف‌های امنیتی قرار بگیرید. همه‌روزه شاهد بروز شکاف‌های امنیتی کوچک و بزرگی در سراسر جهان هستیم. اما چه چیزی این شکاف‌های امنیتی را از هم متمایز می‌سازد؟ معیار سنجش ابعاد این شکاف‌های امنیتی و اطلاعاتی چیست؟

تایلر آرمردینگ (Taylor Armerding) از سی‌اس‌او (CSO)، لیستی را تدارک دیده است که در آن فهرستی از ۱۷ شکاف امنیتی بزرگ قرن بیست و یکم آورده شده است. این لیست، که با عنوان ۱۷ نفرت‌انگیز مطالعه می‌کنید صرفاً بر مبنای وسعت دست‌کاری یا نفود در داده‌های محرمانه افراد تهیه نشده بلکه ابعاد و خسارات این دست‌کاری‌ها و شکاف‌ها را مورد توجه قرار داده است و این‌که این نشت‌های اطلاعاتی، چه میزان خطر و آسیب را متوجه شرکت‌ها، ارائه دهندگان بیمه یا کاربران دارنده حساب کاربری کرده‌اند.

یاهو (Yahoo)

تاریخ: 2013 الی ۲۰۱۴

دامنه تاثیرات: ۳ میلیارد حساب کاربری

جزئیات: در سپتامبر سال ۲۰۱۶ میلادی، غول بی‌شاخ و دم اینترنت جهان یاهو٬ زمانی که به واپسین لحظات انعقاد قرارداد فروش خود به شرکت ورایزن (Verizon) نزدیک می‌شد، اعلام کرد که در سال ۲۰۱۴ میلادی مورد حملات سایبری بی‌سابقه‌ای قرار گرفته است که این شرکت را به بزرگ‌ترین شرکت هدف حملات سایبری تاریخ تبدیل می‌کند. این شکاف امنیتی تاریخی، که طبق اظهارات یاهو احتمال دارد از سوی هکرهایی تحت پشتیبانی دولتی صورت گرفته باشد، اسامی، آدرس‌های ایمیل، داده‌های مربوط به زمان تولد کاربران و همچنین شماره تماس‌های آن‌ها را مورد تهاجم قرار داده که تعدادشان نیز کم نبوده است.

طبق آمار و ارقام منتشر شده از سوی یاهو در اوایل اعلام هک، کاربران مورد حمله در این شکاف اطلاعاتی گسترده، بیش از ۵۰۰ میلیون کاربر از سراسر جهان بودند که رقمی فراتر از حد تصور بود. یاهو اذعان می‌کرد که اکثریت قریب به اتفاق گذرواژه‌های کاربرانش با استفاده از الگوریتم رمزنگاری قدرتمندی مورد هش قرار گرفته است.

دو سه ماه بعد و در دسامبر همان سال، شرکت ادعا کرد که اطلاعات و گزارشات خود را که قبلا در مورد هک حساب‌های کاربری عنوان کرده بود را پس می‌گیرد و این‌بار ادعا کرد که در هک گروهی یاهو در سال ۲۰۱۳ بیش از یک میلیارد حساب کاربری مورد تهاجم قرار گرفته است! ضمن این‌که معتقد بود علاوه بر اسامی کاربران، تاریخ تولد و آدرس‌های ایمیل آن‌ها، برخی اطلاعات مهم و امنیتی دیگر نظیر پرسش‌های امنیتی و خصوصی کاربران و پاسخ‌های آن‌ها نیز لو رفته‌اند. در اکتبر سال ۲۰۱۷ میلادی، یاهو این برآورد خسارت را نیز بار دیگر مورد تجدید نظر قرار داده و اعلام کرد که در حقیقت، تعداد حساب‌های کاربری مورد تهاجم سایبری در این شرکت بزرگ چیزی بالغ بر ۳ میلیارد حساب بوده است!

این حجم از هک در شرکتی به مقیاس یاهو، باعث افت ارزش ۳۵۰ میلیون دلاری این شرکت در بهای فروش شد و ورایزن در نهایت کسب‌وکار هسته‌ای و اینترنتی یاهو را به ارزش ۴.۴۸ میلیارد دلار خریداری کرد. این قرارداد که با توجه به معضلات سایبری پیش آمده برای یاهو منتفی به نظر می‌رسید، علیرغم تخفیف ۳۵۰ میلیون دلاری‌اش، قراردادی بود که ظاهراً می‌توانست چارچوب‌های حقوقی و رگولاتوری مربوط به شکاف‌های امنیتی و حملات سایبری را برای هر دو طرف معامله تامین کند.

یاهو شرکتی است که در سال ۱۹۹۴ تاسیس شده و این قابلیت را داشت تا به مبالغی بسیار گزاف‌تر از آن‌چه که اکنون معامله شده است به فروش برسد. کمااین‌که قبلاً، یک‌بار نیز تا ارزش‌گذاری ۱۰۰ میلیارد دلاری پیش رفته است. با این حال، یاهو تجارت اصلی خود را به ورایزن فروخته است و پس از این معامله، آن‌چه که از این شرکت باقی مانده، به بخش‌هایی چون یاهو ژاپن و فروشگاه الکترونیکی بزرگ علی‌بابا خواهد پیوسته است. ضمن این‌که یاهو٬ اکنون با تغییر نام٬ تحت عنوان آلتابا (Altaba) فعالیت می‌کند.

ماریوت اینترنشنال (Marriott International)

تاریخ: 2014 الی ۲۰۱۸

دامنه تاثیرات: ۵۰۰ میلیون کاربر

جزئیات: در ماه نوامبر سال ۲۰۱۸ میلادی٬ ماریوت اینترنشنال اعلام کرد که هکرهای سایبری٬ اطلاعات بالغ بر ۵۰۰ میلیون کاربر این شرکت را ربوده‌اند. این شکاف اطلاعاتی مهم و برجسته، که یکی از مهم‌ترین حملات سایبری تاریخ نیز به شمار می‌آید در حقیقت با نفوذ در سیستم‌های پشتیبانی از برند استاروود (Starwood) هتل‌های زنجیره‌ای ماریوت صورت گرفته است و مبدا آن نیز به سال ۲۰۱۴ میلادی برمی‌گردد. این هکرها، پس از حمله سایبری خود به این شرکت تا سال ۲۰۱۶ میلادی نیز در سیستم باقی مانده بوده‌اند و این در حالی است که تا سال گذشته، کسی به این حقیقت مخوف پی نبرده بود.

در مورد تعدادی از کاربران، تنها نام و اطلاعات تماس بوده که مورد حمله قرار گرفته و هک شده است. با این حال در مورد تعدادی از کاربران دیگر نیز هکرها توانسته‌اند به اطلاعاتی ترکیبی از اطلاعات تماس، شماره‌های پاسپورت، شماره‌های میهمانان ویژه و ترجیحی استاروود، اطلاعات سفر و سایر داده‌های شخصی دسترسی پیدا کنند. ماریوت معتقد است که شماره‌ها و تاریخ‌های انقضای کارت‌های اعتباری بیش از ۱۰۰ میلیون کاربر این شرکت نیز به سرقت رفته است، هرچند که هنوز این‌که هکرها بتوانند این شماره کارت‌ها را رمزگشایی کرده و مورد استفاده قرار دهند در هاله‌ای از ابهام قرار دارد.

بر اساس مقاله‌ای که از سوی نیویورک تایمز منتشر شده است در آخرین تحقیقات به‌عمل آمده در خصوص این پرونده حساس و مهم سایبری، پای یک گروه جاسوسی چینی به میان آمده است که به نظر قصد داشته اطلاعات شهروندان آمریکایی را گردآوری کند. در صورتی که این ادعا صحت داشته باشد٬این شکاف امنیتی بزرگ‌ترین نشت اطلاعاتی ناشی از یک دولت ملی در طول تاریخ قلمداد خواهد شد.

ای‌بی (eBay)

تاریخ: می ۲۰۱۴

دامنه تاثیرات: در معرض خطر قرار گرفتن ۱۴۵ میلیون کاربر

جزئیات: ای‌بی به‌عنوان یکی از غول‌های تجارت الکترونیک جها٬ در ماه می سال ۲۰۱۴ میلادی خبر از یک حمله سایبری گسترده در سیستم خود داد که اسامی، آدرس‌ها، تاریخ‌های تولد و پسوردهای رمزنگاری‌شده بالغ بر ۱۴۵ میلیون کاربر آن را مورد هدف قرار داده بود. طبق اظهارات شرکت، هکرها توانسته‌ بودند با استفاده از اعتبار سه مورد از کارمندان شرکت به شبکه نفوذ کرده و طی دسترسی داخلی و کامل ۲۹۹ روزه خود به داده‌ها و اطلاعات ذخیره‌سازی شده در این سیستم٬ پایگاه داده کاربران را تخلیه اطلاعاتی کنند.

به دنبال این شکاف اطلاعاتی مهم و گسترده، این شرکت از کاربرانش خواست تا پسوردهای خود را تغییر دهند. هرچند که به گفته شرکت، شماره‌های کارت‌های اعتباری کاربران خوشبختانه در جای دیگری نگهداری می‌شده و نیازی به تغییر آن‌ها وجود نداشت و تهدیدی متوجه‌شان نبود. گفتنی است که ای‌بی، پس از انتشار این خبر و به دلیل عدم اطلاع‌رسانی به کاربران و ضعف اجرای فرایند تجدید پسورد به شدت مورد انتقاد قرار گرفت.

جان دوناهو (John Donahue) مدیرعامل ای‌بی، اذعان می‌کند که این شکاف امنیتی سبب افت جدی فعالیت‌های کاربری در این سیستم شده، اما تاثیرات آن روی خط مشی سیستم چندان گسترده و آسب‌رسان نبوده است. به‌ویژه که درآمد این شرکت در سه‌ ماهه دوم سال ۱۳ درصد افزایش را نیز نشان می‌داد و سود شرکت نیز ۶ درصد افزایش یافته بود. چیزی‌که از منظر تحلیل‌گران اندکی عجیب به نظر می‌رسید.

اکوئیفاکس (Equifax)

تاریخ: ۲۹ جولای ۲۰۱۷

دامنه تاثیرات: اطلاعات شخصی (اعم از شماره‌های امنیتی اجتماعی، تاریخ‌های تولد، آدرس‌ها و برخی از شماره‌ها و اطلاعات مروبط به گواهینامه‌های رانندگی رانندگان) بالغ بر ۱۴۳ میلیون کاربر؛ ضمن این‌که اطلاعات کارت‌های اعتباری ۲۰۹۰۰۰ کاربر نیز در معرض خطر قرار گرفته بود.

جزئیات: اکوئیفاکس، یکی از بزرگ‌ترین شرکت‌های اعتباری ایالات متحده آمریکا است که در هفتم سپتامبر ۲۰۱۷ اعلام کرد که یک آسیب‌پذیری اپلیکیشنی در یکی از وب‌سایت‌های این شرکت، منجر به شکاف اطلاعاتی گسترده‌ای شده که اطلاعات و داده‌‌های شخصی چیزی در حدود ۱۴۷.۹ میلیون کاربران را در معرض هک قرار داده است. علیرغم این‌که این شکاف امنیتی در بیست و نهم جولای سال ۲۰۱۷ میلادی کشف شده است؛ اما شرکت اذعان می‌کند که زمان آغاز آن به اواسط ماه می بر‌می‌گردد.

هیرت‌لند پیمنت سیستمز (Heartland Payment Systems)

تاریخ: مارس ۲۰۰۸

دامنه تاثیرات: بالغ بر ۱۳۴ میلیون کارت اعتباری

جزئیات: هنگام بروز این شکاف اطلاعاتی هیرت‌لند ماهیانه چیزی در حدود ۱۰۰ میلیون فرایند پرداختی را پردازش می‌کرد. خرده‌فروشان زیادی در حدود ۱۷۵۰۰۰ شرکت تحت پشتیبانی این سیستم بودند که از شرکت‌هایی کوچک تا متوسط را تشکیل می‌دادند و به همین دلیل نیز مقیاس هک بسیار گسترده بود. این شکاف امنیتی تا سال ۲۰۰۹ در خفا مانده بود تا این‌که ویزا و مسترکارت، با آگاه ساختن هیرت‌لند از برخی معاملات و تراکنش‌های مشکوک از سوی حساب‌هایی که این شرکت پردازش می‌کرد٬ زمینه‌ساز کشف هک شدند.

عواقب این نشت اطلاعاتی برای هیرت‌لند گزاف بود چرا که انطباق با پی‌سی‌آی دی‌اس‌اس (Payment Card Industry Data Security Standard) را از دست داد و تا می ۲۰۰۹ نیز از انجام تراکنش‌های مبتنی بر کارت‌های اعتباری شرکت‌های مهم و معتبر منع شد. ضمن این‌که شرکت بالغ بر ۱۴۵ میلیون دلار غرامت یا جریمه بابت تراکنش‌های جعلی متحمل شد.

هیات منصفه فدرال آلبرت گونزالس (Albert Gonzalez) و دو فرد مجهول‌الهویه روسی را در سال ۲۰۰۹ میلادی شناسایی کرد. گونزالس کوبایی – آمریکایی به‌عنوان یکی از عوامل اصلی این حمله سایبری اعتراف کرد که روشی بین‌المللی را ابداع کرده و با استفاده از آن کارت‌های اعتباری و دبیت کارت‌ها را دزدیده است. وی در ماه مارس سال ۲۰۱۰ میلادی، به ۲۰ سال حبس محکوم شد. از آن پس بود که مفاهیمی همچون آسیب‌پذیری و تزریق اس‌کیوال (SQL injection) به خوبی درک شد و بسیاری از تحلیل‌گران تا اسل‌ها خرده‌فروشان و شرکت‌های نیازمند خدمات پرداخت و امثال آن را از چنین شکاف‌هایی برحذر می‌داشتند.

تارگت استورز (Target Stores)

تاریخ: دسامبر ۲۰۱۳

دامنه تاثیرات: اطلاعات دبیت کارت‌ها و کارت‌های اعتباری و/یا اطلاعات تماس بالغ بر ۱۱۰ میلیون کاربر

جزئیات: این شکاف اطلاعاتی دقیقا قبل از جشن شکرگذاری اتفاق افتاد هرچند که چندین هفته پس از آن کشف شد. غول خرده‌فروشی جهان تارگت استورز، در ابتدای امر اعلام کرد که هکرها از طریق برخی واسط‌های سوم شخص فعال در حیطه تهویه مطبوع و با استفاده از پایانه‌های فروش و دستگاه‌های کارت‌خوان این شرکت به سیستم نفوذ کرده و شماره کارت‌های اعتباری و دبیت کارت‌های کاربران را هک کرده‌اند. تعداد کاربران مورد حمله در این گزارش چیزی در حدود ۴۰ میلیون نفر بود که با آمار واقعی آسیب دیدگان فاصله بسیاری داشت.

با این حال در ژانویه سال ۲۰۱۴ میلادی شرکت اعلام کرد که به صورت تقریبی و بر اساس تخمین‌های صورت گرفته، تعداد کاربرانی که اطلاعات شخصی و احراز هویتی‌شان به سرقت رفته است بالغ بر ۷۰ میلیون نفر بوده است. اطلاعاتی شامل اسامی کامل کاربران، آدرس آن‌ها، آدرس‌های ایمیل‌شان و شماره تلفن‌هایشان. هرچند که این رقم نیز بعدها افزایش پیدا کرد و در نهایت مشخص شد که این شکاف امنیتی گسترده بیش از ۱۱۰ میلیون کاربر را تحت‌الشعاع قرار داده است.

مدیر ارشد اطلاعات شرکت در مارس ۲۰۱۴ و مدیرعامل شرکت نیز در می همان سال استفعای خود را تسلیم کردند و خساراتی که تارگت استورز از این حمله سایبری متحمل شده بود مرز ۱۶۲ میلیون دلار را رد کرد.

البته با بهبود چارچوب‌های امنیتی٬ تارگت استورز باز هم توانست محبوبیت و اعتبار خود را به دست آورد. هر چند که طی توافق‌نامه‌ای که در خصوص فعالیت‌های این شرکت صادر شده است، شرکت متعهد شده است تا از مارس ۲۰۱۷ میلادی (زمان صدور توافق‌نامه)، طی مدت زمانی ۱۸۰ روزه بهبودهای امنیتی ویژه خود را تحت نظر تام کلرمن (Tom Kellermann) مدیرعامل استراتژیک سایبر ونچرز (Strategic Cyber Ventures) و مدیر ارشد امنیت اسبق ترند میکرو (Trend Micro) پیاده‌سازی کند.

تی‌جی‌ایکس کامپنیز اینک (TJX Companies, Inc)

تاریخ: دسامبر ۲۰۰۶

دامنه تاثیرات: ۹۴ میلیون کارت اعتباری

جزئیات: این‌که این شکاف امنیتی وسیع چگونه صورت گرفته است هنوز هم در هاله‌ای از ابهام قرار دارد و گزارش‌های ضدالنقیضی پیرامون آن منتشر شده است. یکی از مفروضات این است که گروهی از هکرها، از سیستم رمزنگاری ضعیف این شرکت سوء استفاده کرده و اطلاعات کارت‌های اعتباری مورد تراکنش بین دو فروشگاه مارشال در میامی و فلوریدا را هک کرده‌اند. فرضیه دیگری وجود دارد که احتمال می‌دهد این حمله سایبری، از طریق کیوسک‌های درون فروشگاهی تی‌جی‌ایکس صورت گرفته است. کیوسک‌هایی که به مردم این امکان را می‌دهند تا به صورت الکترونیکی شغل مورد درخواست خود را سفارش دهند و ثبت‌نام کنند.

آلبرت گونزالس یکی از بزرگ‌ترین کلاهبرداران اینترنتی جهان که لقب افسانه هک را به وی داده‌اند و هکر هریت‌لند و بسیاری از شرکت‌های مطرح دیگر نیز بوده است، یکی از اصلی‌ترین مهره‌های این حمله سایبری عظیم بوده است.

اوبر (Uber)

تاریخ: اواخر سال ۲۰۱۶

دامنه تاثیرات: اطلاعات شخصی بالغ بر ۵۷ میلیون کاربر اوبر و بیش از ۶۰۰۰۰۰ راننده

جزئیات: آن‌چه که باعث شده شکاف اطلاعاتی اوبر به یکی از داغ‌ترین شکاف‌های امنیتی این لیست مبدل شود نحوه کشف این شکاف اطلاعاتی است که می‌تواند برای بسیاری از شرکت‌های دیگر درس عبرت باشد.

در اواخر سال ۲۰۱۶ میلادی اوبر متوجه شد که دو تن از هکرها، قابلیت دسترسی به اسامی، آدرس ایمیل‌ها و شماره تلفن‌های ۵۷ میلیون مورد از کاربران اوبر را در اختیار دارند. ضمن این‌که کشف کرد شماره گواهینامه بالغ بر ۶۰۰۰۰۰ تن از رانندگان نیز برای این هکرها قابل دسترسی است. البته تا جایی که گزارش شده است، هیچ‌گونه اطلاعات دیگری نظیر شماره کارت‌های اعتباری یا شماره‌های امنیتی اجتماعی این کاربران در معرض دسترسی هکرها قرار نگرفته است و از این بابت هنوز نگرانی وجود ندارد. تنها چیزی که اثبات شده است قابلیت دسترسی این هکرها به گیت‌هاب (GitHub) اوبر بوده است که باعث شده رمزهای عبور و پسوردهای کاربران را در اختیار خود بگیرند.

اما قسمت بحرانی‌تر و تاسف‌بار این داستان که قرار شد درس عبرتی برای سایر شرکت‌ها نیز باشد از آن‌جایی شروع شد که اوبر تصمیم گرفت برای یک سال این ماجرا را عموم مردم مخفی کند. همین امر نیز سبب شد تا مجبور شوند برای جبران کم‌کاری خود مبلغ ۱۰۰۰۰۰ دلار به هکرها بپردازند تا این داده‌ها را به نحوی دستکاری کنند که آب از آب تکان نخورد! این مبلغ، علاوه بر این‌که برای اوبر از نظر مالی خسارت بود، بلکه باعث شد تا این شرکت مجبور شود مدیر ارشد امنیت خود را نیز به‌عنوان فردی خائن و خلافکار اخراج کند.

در حقیقت، شکاف اطلاعاتی اوبر، نه تنها باعث از دست دادن مبلغ هنگفتی پول برای این شرکت شد بلکه آبرو، اعتبار و شهرت آن را نیز خدشه‌دار کرد. زمانی‌که این شکاف اطلاعاتی رو شد، شرکت در حال مذاکره برای انجام معامله با سافت‌بانک بود. اوبری که در ابتدای امر ۶۸ میلیارد دلار ارزش‌گذاری شده بود در دسامبر به ارزش بسیار پایین‌تری در حدود ۴۸ میلیارد دلار معامله شد. بسیاری از تحلیل‌گران بر این عقیده‌اند که بخش اعظمی از این افت ارزش در کنار شکاف اطلاعاتی و ضعف سایبری ناشی از ضعف عملکرد اوبر در مواجهه با این معظل بوده است.

جی‌پی مورگان چیس (JP Morgan Chase)

تاریخ: جولای سال ۲۰۱۴

دامنه‌ تاثیرات: ۷۶ میلیون خانواده و ۷ میلیون کسب‌وکار کوچک

جزئیات: بزرگترین بانک منطقه، در تابستان سال ۲۰۱۴ قربانی حملات هکرها شد. در اثر این حمله، داده‌های مربوط به بیش از نیمی از خانوارهای ایالات متحده (۷۶ میلیون خانواده) و ۷ میلیون کسب‌وکار کوچک در معرض سواستفاده قرار گرفت. داده‌های فاش شده عبارت بودند از نام، آدرس، شماره‌ی تلفن، آدرس ایمیل و اطلاعات بایگانی‌شده‌ی کاربران در کمیسیون بورس و اوراق بهادار آمریکا (SEC).

بانک اعلام کرد که هیچ پولی از حساب‌ها به سرقت نرفته و «هیچ مدرکی دال بر به خطر افتادن اطلاعات حساب مشتریان، اعم از شماره‌ی حساب، رمزهای عبور، شناسه‌ی کاربران، تاریخ تولد و شماره‌ی تامین اجتماعی آن‌ها وجود ندارد.»

بااین‌حال، بنا بر شنیده‌ها، هکرها توانایی دستیابی به امتیازات اساسی بیش از ۹۰ درصد سرورهای بانک را داشتند و اگر می‌خواستند، می‌توانستند اقداماتی خرابکارانه از جمله انتقال وجه و بستن حساب‌های بانکی را انجام دهند. بر طبق گزارش موسسه‌ی اس‌ای‌ان‌اس (SANS Institute)، جی‌پی مورگان سالیانه ۲۵۰ میلیون دلار را صرف حفظ و ارتقای امنیت خود می‌کند.

در ماه نوامبر سال ۲۰۱۵، مقامات فدرال ۴ نفر را به هک کردن سیستم بانک جی‌پی‌ مورگان چیس و دیگر موسسات مالی متهم کردند. گری شالون (Gery Shalon)، جاشوا ساموئل ارون (Joshua Samuel Aaron) و زیو اورنستاین (Ziv Orenstein) به ۲۳ مورد جرم، از جمله دسترسی غیر مجاز به کامپیوترها، سرقت هویت و اوراق بهادار، ارتکاب کلاهبرداری‌های الکترونیکی و پولشویی متهم شدند. هویت هکر چهارم که در ایجاد شکاف در شبکه، سه نفر دیگر را کمک می‌کرد، ناشناخته باقی ماند.

شالون و اورنستاین، که هر دو اسرائیلی تبار هستند، در ماه ژوئن سال ۲۰۱۶ ادعای بی‌گناهی کرده و از دادگاه تقاضای دادخواهی کردند. ارون نیز ماه دسامبر سال ۲۰۱۷ در فرودگاه جی‌اف‌کی (JFK Airport) نیویورک دستگیر شد.

اداره‌ی مدیریت منابع انسانی ایالات متحده (OPM)

تاریخ: ۲۰۱۲ الی ۲۰۱۴

دامنه‌ تاثیرات: اطلاعات شخصی ۲۲ میلیون نفر از کارکنان فعلی و سابق فدرال.

جزئیات: هکرها، که گفته می‌شود اهل کشور چین هستند، از سال ۲۰۱۲ وارد سیستم اداره‌ مدیریت منابع انسانی ایالات متحده شده بودند، ولی این حمله تا ۲۰ مارس سال ۲۰۱۴ ناشناخته باقی مانده بود. یک فرد یا تیم هکر دیگر نیز در ماه می سال ۲۰۱۴، از طریق شخص ثالث، به سیستم اداره‌ی مدیریت منابع انسانی ایالات متحده دسترسی پیدا کرده بود؛ این حمله تا حدود یک سال، شناسایی نشده بود. مزاحمان به صورت غیرقانونی، داده‌های شخصی از جمله اطلاعات دقیق امنیتی طبقه‌بندی شده (security clearance) و اثر انگشت را به سرقت برده بودند.

جیمز کومی (James Comey)، رئیس سابق اف‌بی‌آی، در سال ۲۰۱۷ صحبتی در مورد اطلاعات درج شده در فرم استاندارد ۸۶ (SF-86) انجام داد. وی عنوان کرد که این فرم برای ثبت سوابق کارمندان مورد استفاده قرار می‌گیرد و افزود: «در SF-86 مربوط به من، لیست تمامی محل‌های اقامت من از سن ۱۸ سالگی به بعد، تمامی سفرهای خارجی من و اعضای خانواده‌ام و آدرس آن‌ها نوشته شده است. از این رو، تنها هویت شخصی من نیست که تحت تاثیر قرار گرفته، من خواهر، برادر و ۵ فرزند دارم و داده‌های آن‌ها نیز در معرض خطر قرار گرفته است.»

در گزارش منتشر شده توسط کمیته‌ی نظارت و اصلاحات دولتی مجلس (House Committee on Oversight and Government Reform) آسیب ناشی از این حمله در یک عنوان خلاصه شده است: «نقض داده‌های اداره‌ی مدیریت منابع انسانی ایالات متحده: چگونه دولت امنیت ملی ما را برای بیش از یک نسل، به خطر انداخت».

شبکه‌ی پلی‌استیشن سونی (Sony’s PlayStation Network)

تاریخ: ۲۰ آوریل سال ۲۰۱۱

دامنه‌ تاثیرات: ۷۷ میلیون حساب موجود در شبکه‌ی پلی‌استیشن سونی مورد حمله قرار گرفت. ارزش حدودی خسارات در طول یک ماه که سایت به تعطیلی کشیده شد، ۱۷۱ میلیون دلار تخمین زده شده است.

جزئیات: این حمله‌ی خرابکارانه را بدترین نقض داده‌ی جامعه‌ی بازی‌های ویدیویی معرفی کرده‌اند. بالغ بر ۷۷ میلیون حساب کاربری آسیب دیدند که در ۱۲ میلیون مورد از آن‌ها، عملیات رمزنگاری‌ بر روی شماره‌ی کارت اعتباری انجام نگرفته بود. هکرها موفق شدند به نام کامل، رمز عبور، ایمیل، آدرس منزل، تاریخچه‌ی خرید، نام کاربری و رمز عبور PSN/Qriocity دسترسی پیدا کنند. جان لینکوس (John Linkous) از ای‌آی‌کیو‌نتورکس (eIQnetworks) اعلام می‌کند: «اکنون اشخاص تعجب می‌کنند و با خود می‌گویند: اگر کمپانی پرآوازه‌ی سونی طعمه‌ی چنین حمله‌ی امنیتی قرار گرفته، پس چه بلاهایی ممکن است سر دیگر شرکت‌های چند ملیتی، که میلیون‌ها پرونده از داده‌های کاربران را در دست دارند، بیاید؟» او معتقد است که دست‌اندرکاران حوزه‌ی امنیت فناوری اطلاعات، باید از این حمله درس بگیرند و به شکلی پیوسته، نسبت به شناسایی و اعمال راهکارهای کنترلی درون سازمانی اقدام کنند. وی برای مشتریان نیز یک توصیه دارد: «مراقب باشید که داده‌هایتان را به دست چه کسی می‌دهید. در برخی از موارد، این اشتراک داده بسیار گران‌تر از دسترسی به بازی‌های آنلاین و سایر دارائی‌های مجازی تمام می‌شود.»

در سال ۲۰۱۴، کمپانی سونی طی یک دعوی دادخواهی گروهی، که در راستای موضوع نقض داده‌ها انجام گرفته بود، با پرداخت ۱۵ میلیون دلار به قربانیان موافقت کرد.

آنتم (Anthem)

تاریخ: فوریه‌ی سال ۲۰۱۵

دامنه‌ تاثیرات: سرقت اطلاعات شخصی ۷۸.۸ میلیون مشتری فعلی و سابق.

جزئیات: دومین شرکت بیمه‌گر بزرگ حوزه‌ی سلامت ایالات متحده، که پیش‌تر با نام ولپوینت (WellPoint) شناخته می‌شد، اعلام کرد که در اثر یک حمله‌ی سایبری، داده‌های مربوط به نام، آدرس، شماره‌ی تامین اجتماعی، تاریخ تولد، تاریخچه‌ی شغلی مشتریان سابق و فعلی و هر آن‌چه که برای سرقت هویت یک شخص لازم است، افشا شده‌اند.

فورچون (Fortune) با انتشار گزارشی در ماه ژانویه عنوان کرد که تحقیقات به پایان رسیده و ظاهرا، یک دولت خارجی هکرها را استخدام کرده بوده تا بزرگترین نقض داده در تاریخچه‌ی صنعت بهداشت و درمان را رقم بزند. در گزارش آمده که حمله، یک سال قبل از کشف و رسانه‌ای شدن، شروع شده بوده است. در آن زمان، یک کاربر از شرکت‌های تابعه‌ی آنتم، با کلیک کردن بر روی لینک ایمیلی با محتوای فیشینگ، راه را برای ورود هکرها به این شرکت باز کرده بود. ضرر و زیان ناشی از این حمله هنوز به صورت دقیق تعیین نشده، ولی برآورد می‌شود که مبلغ آن به بیش از ۱۰۰ میلیون دلار برسد.

آنتم در سال ۲۰۱۶ عنوان کرد که هیچ مدرکی دال بر فروش، به اشتراک‌گذاری و استفاده‌ی کلاهبردارانه از داده‌ها یافت نشده و همچنین کارت‌های اعتباری و اطلاعات پزشکی افراد به سرقت نرفته است.

آر‌اس‌ای سکیوریتی (RSA Security)

تاریخ: مارس سال ۲۰۱۱

دامنه‌ تاثیرات: امکان به سرقت رفتن اطلاعات ثبت شده‌ی ۴۰ میلیون کارمند.

جزئیات: میزان خسارات ناشی از حمله‌ی سایبری که به سرقت اطلاعات شناسه‌های تایید هویت غول امنیتی سکیورآی‌دی (SecurID) انجامید، هنوز در دست بررسی است.

کمپانی آراس‌ای، که به عنوان بخش امنیتی شرکت ای‌ام‌سی (EMC) شناخته می‌شود، اعلام کرده که دو تیم هکر مجزا، در همکاری با یک دولت خارجی، مجموعه‌ای از حملات فیشینگ را علیه کارمندان آراس‌ای ترتیب داده‌اند. برای انجام این حمله‌ی سایبری، از جعل هویت افراد مورد اعتماد کارکنان، به منظور نفوذ در شبکه‌ی شرکت استفاده شده است.

ای‌ام‌سی در ماه جولای سال ۲۰۱۷ اعلام کرد که دست کم ۶۶ میلیون دلار برای اصلاح و بازسازی اثرات حمله، هزینه کرده است. طبق اظهارات مدیران آراس‌ای، هیچ یک از شبکه‌های مشتریان مورد آسیب قرار نگرفته‌اند. جان لینکوس، معاون رئیس و مدیر ارشد امنیت و انطباق ای‌آی‌کیونتورکس، این ادعا را قبول ندارد و معتقد است: «آر‌اس‌ای، با اتخاذ رویکرد غیر شفاف در مورد بخش حمله‌کننده و (مهم‌تر از آن) داده‌های به سرقت رفته، کمکی به حل موضوع نکرده است.» وی در ادامه‌ی سخنانش گفت: «زمان می‌برد، ولی در آینده باور عموم بر این خواهد بود که حملات بعدی، مانند حملات لاکهید-مارتین (Lockheed-Martin)، ال۳ (L3) و غیره، از نقض داده‌ی آراس‌ای ناشی شده‌اند.»

وی عنوان می‌کند، ضرر و زیانی که بیش از همه خودنمایی می‌کند، آسیب روانی مربوط به این حمله است؛ زیرا این گمان در ذهن‌ها ایجاد شده که حتی شرکت‌های امنیتی خوبی مانند آر‌اس‌ای هم از خطر هک شدن در امان نیستند.

جنیفر بیوک (Jennifer Bayuk)، یک مشاور مستقل امنیت داده و استاد موسسه‌ی فناوری استیونز (Stevens Institute of Technology) در سال ۲۰۱۲ در مصاحبه‌ای با سرچ‌سکیوریتی (SearchSecurity) عنوان کرد که این نقض داده، «ضربه‌ی سهمگینی به صنعت محصولات امنیتی وارد کرده، زیرا آر‌اس‌ای، یک اسطوره‌ی تاثیرگذار در این صنعت به شمار می‌رود».

استاکس‌نت (Stuxnet)

تاریخ: یکی از روزهای سال ۲۰۱۰، ولی منشا اصلی آن به سال ۲۰۰۵ برمی‌گردد.

دامنه‌ تاثیرات: هدف از استاکس‌نت، حمله به برنامه‌ی هسته‌ای ایران بوده و همچنین، به عنوان یک نمونه‌ی الگو برای نفوذ در دنیای واقعی، ایجاد اختلال در شبکه‌ی توزیع برق، منابع آب و سیستم‌های حمل‌ونقل عمومی مورد استفاده قرار گرفته است.

جزئیات: اثرات منفی بلاواسطه‌ی کرم رایانه‌ای استاکس‌نت، دست‌کم در ایالات متحده، ناچیز بوده‌اند، ولی تعداد بسیاری از کارشناسان، این حمله را در زمره‌ی برترین نقض داده‌های بزرگ مقیاس قرار می‌دهند. استدلال کارشناسان آن است که استاکس‌نت ثمرات فیزیکی مهمی داشته است.

بدافزار استاکس‌نت، به منظور هدف قرار دادن سیستم‌های زیمنس اس‌سی‌ای‌دی‌ای (Siemens SCADA) طراحی شد و با آسیب رساندن به حدود ۹۸۴ سانتریفیوژ غنی‌سازی اورانیوم، برنامه‌ی هسته‌ای ایران را مختل کرد. این حمله را به صورت مشترک، به ایالات متحده و اسرائیل منسوب می‌کنند، ولی این ادعا هیچگاه به صورت رسمی تایید نشده است.

وری‌ساین (VeriSign)

تاریخ: سراسر سال ۲۰۱۰

دامنه‌ تاثیرات: به سرقت رفتن اطلاعاتی که تاکنون اعلام عمومی نشده‌اند.

جزئیات: کارشناسان امنیتی، به صورت متفق‌القول عنوان می‌کنند: بدترین مورد در نقض داده‌های وری‌ساین، که در طی آن هکرها توانسته بودند به اطلاعات و سیستم‌های دارای حق ویژه دسترسی پیدا کنند، مدیریت ضعیف این حمله توسط مدیران شرکت بوده است. وری‌ساین هیچ‌گاه حملات را رسانه‌ای نکرد. حمله تا سال ۲۰۱۱ عمومی نشده بود و در این سال، از طریق یک حکم قانونی مربوط به کمیسیون بورس و اوراق بهادار آمریکا، مردم از ماجرای وری‌ساین خبردار شدند.

همان‌گونه که در مجله‌ی پی‌سی‌ورلد (PCWorld) آمده، وری‌ساین اطلاعات مربوط به نقض داده را طوری در پرونده‌های فصلی کمیسیون بورس و اوراق بهادار آمریکا ناچیز جلوه می‌داد که انگار یک اتفاق پیش پا افتاده‌ی معمولی رخ داده است.

وری‌ساین از یک سو اعلام کرد که هیچ‌یک از سیستم‌های حیاتی، ازقبیل سرورهای DNS و سرورهای دارای گواهی دیجیتال (certificate servers) مورد سواستفاده قرار نگرفته‌اند و از سوی دیگر، اشاره کرد که «هکرها به اطلاعات موجود در بخش کوچکی از کامپیوترها و سرورهای ما دسترسی پیدا کرده بودند.»

هنوز اطلاعاتی در مورد نوع اطلاعات سرقتی و میزان آسیب آن بر شرکت و مشتریان، گزارش نشده است.

هوم دیپو (Home Depot)

تاریخ: سپتامبر سال ۲۰۱۴

دامنه‌ تاثیرات: سرقت اطلاعات کارت اعتباری و بدهی ۵۶ میلیون مشتری.

جزئیات: این خرده‌فروش تجهیزات ساخت‌وساز و مصالح ساختمانی در ماه سپتامبر اعلام کرد که آن‌چه بدان مشکوک بوده، درست از آب درآمده و معلوم شده که از ماه می یا آوریل، سیستم پایانه‌ی فروش (POS) شرکت به یک بدافزار آلوده بوده است. کمپانی بعدها عنوان کرد که تحقیقات نشان داده: نرم‌افزار آنتی‌ویروس مورد استفاده در هوم دیپو، توسط یک بدافزار «منحصربه‌فرد که به دست یک مشتری ساخته شده» هدف حمله مخرب قرار گرفته بوده است.

در ماه مارس سال ۲۰۱۶، کمپانی موافقت کرد که ۱۹.۵ میلیون دلار را به عنوان غرامت به مشتریان آمریکایی بپردازد و ۱۳ میلیون دلار را برای بازپرداخت ضرر و زیان‌های غیر قابل بازگشت پرداخت شده از جیب (out-of-pocket loss)، به صاحبان مغازه اختصاص دهد. این شرکت همچنین اعلام کرد که برای محافظت از سیستم تعیین هویت صاحبان کارت، هر یک سال و نیم، حداقل ۶.۵ میلیون دلار هزینه خواهد کرد.

این فرآیند تسویه، ۴۰ میلیون نفر که داده‌های کارت پرداختشان به سرقت رفته بود و ۵۲ میلیون نفر که آدرس ایمیلشان مورد حمله‌ی هکر قرار گرفته بود را شامل می‌شود. برخی از مشتریان، هم در دسته‌ی مربوط به کارت پرداخت و هم در دسته‌ی مربوط به آدرس ایمیل حضور داشتند. طبق برآورد شرکت، هزینه‌های ناشی از این نقض داده، پیش از کسر مالیات، به ۱۶۱ میلیون دلار می‌رسد. مخارج تسویه با مشتری و پرداخت حق بیمه در برآورد این رقم لحاظ شده‌اند.

ادوبی (Adobe)

تاریخ: اکتبر سال ۲۰۱۳

دامنه‌ تاثیرات: داده‌های ثبت شده‌ی ۳۸ میلیون کاربر.

جزئیات: برای اولین بار، وبلاگ‌نویس حوزه‌ی امنیت، برایان کربز (Brian Krebs) بود که حمله به شرکت ادوبی را گزارش کرد؛ ولی تا مشخص شدن مقیاس و ماهیت داده‌های نقض شده، دو هفته طول کشید. در ابتدا کمپانی اعلام کرد که هکرها داده‌های رمزنگاری‌شده‌ی مربوط به کارت اعتباری ۳ میلیون مشتری و رمز عبور ورود به سیستم تعداد نامعینی از حساب‌های کاربری را به سرقت برده‌اند.

در روزهای بعدی ماه، ادوبی عنوان کرد که هکرها موفق شده‌اند به شناسه‌های هویتی و رمزهای عبور رمزنگاری‌شده‌ی ۳۸ میلیون «کاربر فعال» دسترسی پیدا کنند. ولی کربز گزارش کرد که طبق یک فایل ارسال شده در دو سه روز گذشته، «به نظر می‌رسد که ۱۵۰ میلیون نام کاربری و رمز عبور از ادوبی دزدیده شده باشد.» نتایج هفته‌ها تحقیق نشان داد که کد منبع چندین محصول ادوبی، نام، شناسه‌ی هویتی، رمز عبور و اطلاعات کارت‌های بدهی و اعتباری مشتریان، توسط هکرها به سرقت رفته‌اند.

در ماه اوت سال ۲۰۱۵، از ادوبی خواسته شد تا ۱.۱ میلیون دلار را برای پرداخت هزینه‌های حقوقی و حل‌وفصل ادعاهای مطرح شده مبتنی بر در پیش گرفتن شیوه‌‌های تجارتی نادرست و تخلف از قانون حفظ از داده‌های مشتری، اختصاص دهد. طبق گزارشات، در ماه نوامبر سال ۲۰۱۶، این شرکت توانسته بود ۱ میلیون دلار را به عنوان غرامت به مشتریانش بپردازد.

منبع: CSOonline

درباره نویسنده

ثریا حقی

دانش آموخته مهندسی شیمی و در حال حاضر مشغول فعالیت در حیطه طراحی صنعتی و ترجمه متون انگلیسی. علاقه‌مند به مطالعه، تحلیل و نگارش در حوزه تولید محتوا به ویژه در زمینه فناوری‌های مالی بوده و در همین راستا در حیطه فین‌تک با مجموعه راه پرداخت همکاری می‌کند.

دیدگاهتان را بنویسید