آگهی فرش پکیج احراز هویت در شبکههای اجتماعی نظیر توییتر دست به دست میچرخد. این آگهی ۸۰ دلار قیمت خورده و تصویر آن مزین به تعدادی عکس چهره همراه با شماره کارت بانکی و شماره کارت ملی شهروندان است؛ شهروندانی از همه جا بیخبر که اطلاعات هویتیشان میتواند به دست سودجویانی بیفتد که با آن بتوانند اعمال مجرمانه خود را به گردن این افراد بیندازند.
موضوع احراز هویت در فضای مجازی بحث بسیار پیچیدهای است به طوری که گوگل هم اخیرا بار دیگر با جدیت وارد آن شده و راهکارهایی مطمئن را برای این موضوع معرفی کرده است. احراز هویت شما در فضای مجازی به این معناست که شخص مذکور در اینترنت شما هستید و هر کاری که توسط کاربر مجازی انجام میشود، در حقیقت خود شما هستید.
یکی از اعمالی که برخی سایتها و کسبوکارها برای احراز هویت کاربرانشان از خود نشان میدهند، گرفتن عکس چهره در کنار کدملی و کارت بانکی آنهاست؛ موضوعی که نقدهای جدی به آن وارد است. حتی اخیراً سرپرست معاونت دادستانی کل کشور نیز با حضور در کمیسیون تجارت الکترونیکی سازمان نظام صنفی رایانهای، گفته بود: «گرفتن عکس و تصویر کارت ملی نیز قطعاً صحیح نیست اساساً کسبوکار نباید درگیر ایجاد سیستم احراز هویت شود.»
با این وجود بسیاری از سایتهای اینترنتی همچنان از این طریق کاربران خود را احراز هویت میکنند و میگویند که راهی جز این در برابر آنها قرار داده نشده است.
پک احراز هویت از کجا میآید؟
«جواد دادگر» کارشناس امنیت اطلاعات در گفتگو با دیجیاتو به ماجرای افشا شدن این عکسها و لو رفتن دیتابیس برخی از سایتها اشاره میکند و میگوید:
«چند وقت پیش متوجه شدیم که یک سایت فعال در زمینه صرافی آنلاین، هک شده و افرادی سودجو اطلاعات هویتی افراد را برای وریفای کردن خود در سایتهای مختلف استفاده میکنند. ما مجموعهای به اسم لیکفا را راه اندازی کردیم و اطلاعات لو رفته را درون آن جای دادیم و با وسیله تکنولوژی OCR گوگل (که تصاویر را میخواند) سعی کردیم به مردم کمک کنیم که متوجه شوند اطلاعاتشان در سیستم لو رفته وجود دارد یا خیر. این تنها کاری بود که از دست ما برمیآمد و کارهای بزرگتر از این از عهده ما چند نفر نیروی داوطلب خارج است.»
دادگر تاکید میکند که بعد از این مورد که حدودا مربوط به شش ماه پیش است، آنها به چهار مورد دیگر برخورد کردهاند و باور دارد این چند مجموعه لو رفته که توسط آنها کشف شده، قطرهای از اطلاعات لو رفته کاربران از سایتهای مختلف است: «امروزه طوری شده که پسران ۱۶ ساله نیز فیشینگ انجام میدهند و با این اطلاعات میروند و پولشویی میکنند.»
به گفته این کارشناس، این اطلاعات اکنون در فضای مجازی به فروش میرسد که سر منشا آن از اقدام برخی سایتها برای احراز هویت کاربران است: «خیلی از سایتها فایلهای آپلود شده از کاربران خود را بدون امنیت خاصی در دیتابیس خود نگه داشتهاند که به راحتی قابل دسترسی و هک کردن است. متاسفانه استاندارد خاصی در خصوص برخورد با این سایتها هم وجود ندارد و اگر سایتی اطلاعات هویتی کاربرانش لو برود، قانونی برای بازخواست کردن آن مجموعه وجود ندارد.»
دولت باید بستر احراز هویت به کسبوکارها بدهد
«جعفر محمدی» عضو هیات مدیره سازمان نظام صنفی رایانهای در گفتگو با دیجیاتو با اشاره به صحبتهای اخیر معاونت دادستان فضای مجازی کشور تاکید دارد که ابزار لازم در اختیار کسب و کارها قرار نگرفته تا بتوانند کاربران را احراز هویت کنند. او باور دارد که در این میان دولت وظیفه دارد که این ابزار را در اختیار کسبوکارها قرار دهد و متوجه باشد که در برخی مواقع نهادهایی همچون بانک یا رگولاتوری باید پاسخگوی مشکل پیش آمده باشد و نه کسبوکار. محمدی در پاسخ به این پرسش که آیا کسبوکارها راه دیگری برای احراز هویت دارند میگوید:
«از نظر من کسبوکارها میتوانند برای احقاق حقوق خود حتی به برخی نهادها شکایت کنند، چرا که اگر مجبور هستند اینچنین احراز هویت کنند، به خاطر عدم امکانات دولتی است. خود آقای جاویدنیا هم معتقد است که اگر مشکلی از طریق سیمکارتهای بینام و نشان صورت بگیرد، باید رگولاتوری پاسخگو باشد و اگر مشکلی حین تراکنشهای بانکی به وجود بیاید باید خسارتش توسط بانکها پرداخت شود. اما آیا این نهادها مسئولیت پذیر هستند یا همه مسئولیت را به کسبوکار واگذار میکنند؟»
نایب رییس کمیسیون تجارت الکترونیکی باور دارد که احراز هویت چند مرحله دارد و در برخی مواقع احراز هویت تنها از طریق سیمکارت کافی است و در برخی موارد دیگر احراز هویت حساب بانکی با کارت ملی کاربر لازم است: «در هر یک از این مراحل نهادهایی وجود دارند که میتوانند به کسبوکارها کمک کنند تا احراز هویت سریع و بیدردسری بگیرند؛ اگر هم خودشان نمیخواهند کمک کنند لااقل میتوانند این اطلاعات را در اختیار کسبوکارها قرار دهند تا خودشان چنین کاری انجام دهند.»
به گفته محمدی سامانهای چون سامانه شاهکار میتواند تاحدی برای احراز هویت مرحلههای رده پایین مانند تایید شماره تلفن کارا باشد: «در برخی مواقع سیمکارتها هویت ندارند و این مشکل به رگولاتوری برمیگردد.» از نظر محمدی اتصال بانک مرکزی به سامانه شاهکار و تایید شدن حساب بانکی افراد با کد ملی آنها میتواند یکی از این راهها باشد. او میگوید این اعتبارسنجی در سطوح بالاتر و برای کسبوکارهایی که در آنها مسائل مالی مهمتر است ضروری است:
«هماهنگی بانک مرکزی با شاهکار میتواند باعث این شود که شماره موبایل بگیرد و شماره حساب و یا کدملی بدهد. اگر این اطلاعات هم مغایرت داشته باشد مشکل کسب و کار نیست. نمیتوان از کسب و کار انتظار داشت که بیشتر از اطلاعات و امنیت یک سیستم بانکی پیش برود.»
محمدی تاکید دارد که امنیت هیچ وقت صد در صدی نیست و نمیتوان مطمئن بود که امنیت هر سایتی همیشه تامین است. او میگوید حتی مجموعههای بزرگتری مثل زرین پال یا سایتهای بزرگ این حوزه، با وجود اینکه سعی میکنند از دیتابیس خود به شدت محافظت کنند ولی خطر همیشه در کنار آنهاست و تا زمانی که احراز هویت به این شکل انجام می شود، ممکن است اطلاعات هر آن لو برود.
عضو هیات مدیره سازمان نظام صنفی رایانهای معتقد است که راهحلهای بیشتری نیز میتوان برای احراز هویت اتخاذ کرد. به گفته او قانون در این باره برای نهادهای دولتی که کمکاری کردهاند، تصمیمی نگرفته ولی باید دریافت که کمکاری آنها باعث بروز چنین مشکلاتی میشود: «باید وظیفه احراز هویت از دوش سایتها برداشته شود آنهم با امکاناتی که باید برای آنها فراهم شود ولی نمیشود.»
منبعخبر