روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ داده‌های هر نوع شرکتی می‌تواند نشت پیدا کند. برخی نشت داده را بهتر مدیریت می‌کنند و برخی کمتر. و البته اینطور به نظر می‌رسد که همه پایگاه‌های داده نشت شده هم حاوی اطلاعات حیاتی نیستند. اما آیا می‌شود نشتی تماماً امن تلقی شود؟ در ادامه با ما همراه شوید تا نمونه‌ای از نشت داده‌های یک سرویس تحویل غذا را بررسی کنیم.

چه داده‌هایی می‌توانند نشت داده شوند؟

بگذارید رک و راست بگوییم که سرویس‌های تحویل غذا بعید است جزئیات کارت‌های بانکی را فاش کنند- دلیلش هم این است که نمی‌توانند این نوع نشت را مدیریت کنند. برخی از آن‌ها از درگاه پرداختی که بانک انتخابی کنترلش می‌کند استفاده می‌کنند: شماره کارت روی وبسایت بانک وارد شده و تجارت‌کننده حتی آن را نمی‌بیند چه برسد به اینکه بخواهد آن را ذخیره کند. حتی اگر کارت لینک هم شده باشد باز این از سوی بانک اتفاق می‌افتد و تجارت‌کننده فقط شناسه مهم را دریافت می‌کند. به هر حال نشتی‌های خدمات تحویل غذا معمولاً از نشتی‌های بازار خطرناک‌ترند. سفارش در بازار می‌تواند به اداره پست ختم می‌شود و این درحالیست که سفارش غذا همیشه یا درب منزل مشتری یا محل کار او تحویل داده می‌شود. روی بحثمان داده‌های شخصی هستند که می‌توانند فردی را به شماره تلفن یا آدرس فیزیکی برسانند و نیز در خصوص الگوهای رفتاری و ثروت او چیزهایی را فاش کنند.

چطور چنین نشتی‌هایی مشتریان را تهدید می‌کنند؟

واضحاً نشت اطلاعات شخصی در دامنه عمومی هیچ نکته مثبتی ندارد و حتی موارد منفی احتمالی نیز در پی خواهد داشت:

•         مهاجمین احتمالی در مورد محل زندگی قربانی اطلاعاتی دارند؛ اینکه او چطور پولش را صرف غذا می‌کند؛ چه زمان غذا سفارش می‌دهد و چه روزهایی دوست دارد غذا سفارش ندهد؛ این یک دستورالعمل عالی برای سرقت است!
•         ممکن است مشکلات خانگی پیش آید. برای مثال تابستان گذشته داستانی در رسانه‌های اجتماعی شنیدیم در مورد دختری که این داده‌ها را در اختیار گرفته بود و فهمیده بود نامزدش به آدرس زنی پیتزا می‌فرستد! هر طور حساب کنید نمی‌تواند این ماجرا پایان خوبی داشته باشد.
•         چنین نشت‌هایی پایگاه‌های داده حاضر آماده‌ی بازار هستند برای کشیدن تصویر مشتری و ارسال اسپم هدف‌دار برای آدرس‌های پستی شناخته‌شده.
•         چنین پایگاه‌های داده‌ای نه تنها جاوی آدرس‌های خان هستند که آدرس شرکت‌ها را نیز در خود جای داده‌اند. و این باعث می‌شود مهاجمین از مهندسی اجتماعی برای نفوذ به شبکه داخلی سازمان استفاده کنند. برای مثال با مشتری تماس می‌گیرند و خبر می‌دهند او جایزه برده؛ جایزه می‌توانند چیزی مانند فلش درایو باشد که از قضا به بدافزار آلوده است. از آنجایی که قربانی مشتری واقعی سرویس غذا است به هیچ وجه به این داستان مشکوک نمی‌شود- خصوصاً اگر هدیه را کارمندی با یونیفورم همان سرویس تحویل غذا به دست او برساند.

چطور چنین نشتی‌هایی شرکت‌ها را تهدید می‌کنند؟

چنین نشتی‌هایی برای یک کسب و کار خطرات زیادی در پی دارد:

•         اعتبار. نشتی‌ها را نمی‌شود پنهان کرد. به هر حال پایگاه‌های اطلاعاتی در دارک‌وب سر و کله‌شان پیدا می‌شود. پس به عنوان یک قانون، شرکت‌ها باید خودشان ابتدا گزارش دهند. اما شاید این همه رو بازی کردن هم گاهی جواب ندهد- رخدادهای امنیتی همیشه اعتماد مشتری و شرکا را سلب می‌کند و اعتبار کسب و کار را خدشه‌دار.
•         نظارت. رگولاتورها همیشه آماده‌اند تا کسب و کارها را سر نقض قوانین حفاظت داده جریمه کنند. این خسارات بسته به حوزه قضایی می‌تواند متفاوت باشد و نه تنها منطقه‌ای که شرکت ثبت شده نقش تعیین‌کننده در رقم دارد که حتی محل مشتریان نیز اهمیت دارد. برای مثال هر شرکتی که کالا یا خدمات می‌فروشد تقریباً در اروپا هستند و تحت قانون سفت و سخت GDPR.

چه می‌شود کرد؟

متأسفانه مشتریانی که تماماً خدمات تحویل غذا را ترک نکردند چند گزینه بیشتر ندارند: نشتی‌ها خطراتی ناگزیر هستند که باید به عواقبش فکر کرد و سعی کرد این عواقب به حداقل خود برسند. برای مثال تحویل غذاها به نقاط برداشت دیگر –جایی غیر از آدرس خانه- می‌توانند کمک کننده باشد. یا مشتری باید به چک‌باکس‌های فرم سفارش توجه بسیاری کند. تا جایی که امکان دارد نباید بگذارید آدرس خانه یا شماره تلفن‌تان ذخیره شود.

کسب و کارها گزینه‌های بیشتری دارند. شاید خیلی‌ها بدانند اما هنوز هم خیلی‌ها به کارشان نمی‌بندند:

•         دسترسی کارمندان به پایگاه‌های داده داخلی حاوی داده‌های شخصی را محدود کنید.
•         هر چند وقت یکبار سیستم‌های امنیتی خود را ممیزی کنید.
•         داده‌های شخصی غیرضروری را ذخیره نکنید. این به مشتری اجازه می‌دهد خودش تصمیم بگیرد به کسب و کار اعتماد کند یا نه و اینکه باید فوراً کدام بخش تکمیل فرم سفارش را حذف کند.
•         به دقت اتفاقاتی که در زیرساخت‌تان می‌افتد با خدمات کلاس MDR رصد کنید.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.