وقتی آدرس خانه‌ها هم هدف جنگ می‌شود

در میانه جنگ واقعی میان ایران و اسرائیل که هم موشک شلیک می‌شود و هم زیرساخت‌های سایبری هدف قرار می‌گیرد، پلتفرم‌های حمل‌ونقل آنلاین مانند اسنپ و تپسی عملاً به مخزن‌های زنده اطلاعات مکانی مردم تبدیل شده‌اند؛ از آدرس خانه‌ها و مسیر روزانه گرفته تا الگوی رفت‌وآمد مناطق حساس.

در نبود قانون مشخص و با زیرساخت‌هایی که نه شفاف‌اند نه مقاوم در برابر تهدیدات ترکیبی، حال اگر این داده‌ها به دست دشمن بیفتد، چه اتفاقی می‌افتد؟

حجم بی‌سابقه داده‌های مکانی در اسنپ و تپسی

اسنپ در اسفند ۱۴۰۳ رکورد ۵ میلیون و ۸۹۶ هزار سفر در یک روز را ثبت کرد، یعنی تقریباً شش میلیون نقطهٔ دقیق روی نقشه تنها در ۲۴ ساعت. تپسی نیز طبق گزارش‌های تحلیلی، دست‌کم دو میلیون نصب فعال دارد و در ۱۵ شهر کشور عملیات روزانه انجام می‌دهد.

این تراکمِ داده نه‌تنها برای الگوریتم قیمت‌گذاری که برای مهاجمان نیز گنجی طلایی است؛ نشانی خانه‌ها، محل کار و حتی الگوی رفت‌وآمد اقشار حساس در پایگاه‌های این دو شرکت ذخیره می‌شود.

سابقه رخنه و جریمه، هشدارهایی که جدی گرفته نشد

در سال ۲۰۲۳ تپسی هدف یک حمله قرار گرفت و اطلاعات ۳۴ میلیون کاربر آن برای ۳۵هزار دلار در تلگرام فروخته شد. پیش‌تر، اسنپ به دلیل خرید هزار سیم‌کارت و دسترسی غیرمجاز به اطلاعات تماس رانندگان تپسی توسط شورای رقابت جریمه شد؛ پرونده‌ای که ضعف کنترل دسترسی داخلی را عیان کرد.

افزون بر این، پژوهشگران امنیتی از درز دست‌کم ۶٫۷ میلیون رکورد راننده در یکی از دیتابیس‌های بدون رمزنگاری یک سامانه ناوگان ایرانی خبر دادند. تکرارِ نقض‌ها نشان می‌دهد فرهنگ «پنهان‌کاری در رخنه» بر شفافیت غالب است.

جنگ واقعی، تهدید مضاعف

به‌ گفته رادوار، در پی تبادل موشکی اخیر، زیرساخت‌های غیرنظامی کشورهای درگیر با موج تازه حملات DDoS و بدافزار دولتی روبه‌رو شده‌اند. نشریه The Register هشدار می‌دهد که ابزارهای سایبری دوطرف ممکن است زنجیرهٔ تأمین جهانی و سرویس‌های ثالث را هم فلج کند. هم‌زمان، جمهوری اسلامی هفتهٔ گذشته از دفع یک حملهٔ بزرگ به شبکهٔ ارتباطی کشور خبر داد.

در چنین شرایطی، دیتابیس‌های موقعیت‌محور اسنپ و تپسی نه‌تنها برای ربایش مالی بلکه برای هدف‌یابی موشکی نیز جذاب‌اند؛ فناوری «ADINT» یعنی جمع‌آوری اطلاعات از تبلیغات موبایلی عملاً ثابت کرده چگونه می‌توان به‌سادگی مسیر حرکت افراد را خریداری کرد.

لایه‌های دفاعی، کافی یا خیالی؟

هر دو پلتفرم پشت شبکهٔ توزیع محتوای Cloudflare پنهان شده‌اند و از فایروال ابری و HSTS بهره می‌گیرند؛ اما همین اتکا به سرویس خارجی در بحبوحهٔ تحریم یا تصمیم سیاسی یک‌جانبه می‌تواند دسترسی را در لحظه قطع کند.

تجربهٔ اختلال اخیر در ارائه‌دهندگان خارجی نشان داد زیرساخت ملی به‌سرعت قفل می‌شود و داده‌ها روی سرورهای داخلی بی‌دفاع می‌مانند.

سامانهٔ تأیید دومرحله‌ای مبتنی بر پیامک نیز مسیر حملات «سیم‌سوآپ» را باز می‌گذارد؛ ترفندی که گروه‌هایی مانند Lapsus بارها در نفوذهای بزرگ به کار برده‌اند.

خلأ قانونی؛ حریمی که روی کاغذ هم وجود ندارد

ایران هنوز قانون جامع حفاظت از داده‌های شخصی را تصویب نکرده و تنها مادهٔ ۵۸ قانون تجارت الکترونیک ۱۳۸۲ به «رازداری» اشاره‌ای کلی دارد. پیش‌نویس «لایحهٔ حفاظت از داده‌های شخصی» سال‌هاست در وزارت ارتباطات خاک می‌خورد و در مجلس به نتیجه نرسیده است.

گزارش‌ها تأکید می‌کنند خلأ حقوقی، دست نهادهای امنیتی را برای مطالبهٔ داده‌های کاربران باز گذاشته و شرکت‌ها را از پاسخ‌گویی به نشت‌ها معاف می‌کند. نتیجه، چرخه‌ای از نقض و پرده‌پوشی است که اعتماد عمومی را فرسایش می‌دهد.

پیامدهای نظامی و اجتماعی افشای مسیرها

لو رفتن تاریخچهٔ سفر هزاران کاربر می‌تواند مکان تجمع نیروهای داوطلب، انبارهای امدادی یا پناهگاه‌های شهری را آشکار کند؛ همان‌گونه که در حمله‌های موشکی اخیر مشاهده شد سامانه‌های پیمایش عمومی برای تنظیم مختصات هدف به‌کار رفتند.

بدتر آن‌که بازار سیاه داده، بسته‌های مکانی را با قیمت ناچیز عرضه می‌کند و حتی دولت‌ها ترجیح می‌دهند این اطلاعات را مستقیماً خریداری کنند تا درگیر جاسوسی پرهزینه نشوند.

چه باید کرد؛ از رمزگذاری تا شفافیت اجباری

کارشناسان توصیه می‌کنند داده‌های موقعیت در سطح پایگاه داده به‌جای «متن روشن» به‌شکل توکن‌های رمزنگاری‌شده ذخیره شود و کلیدها در سخت‌افزار امن جداگانه گردانده شود؛ رویکردی موسوم به «اعتماد صفر» که هویت و دسترسی را در هر درخواست مجدداً اعتبارسنجی می‌کند.

افزون بر این، الزام قانونی برای افشای هر رخداد امنیتی ظرف ۷۲ ساعت – مشابه مقررات GDPR – می‌تواند شرکت‌ها را به ارتقای مستمر امنیت وادارد. تا آن زمان، رسانه‌ها و جامعهٔ مدنی باید با مطالبهٔ گزارش ممیزی مستقل، چرخهٔ سکوت را بشکنند.