چوب حراج بر اطلاعات محرمانه کاربران

روزنامه هفت صبح، نگین باقری| وارد طرح ترافیک می‌شوید، موبایلتان می‌فهمد. سفر بین شهری می‌روید، آن یکی اپلیکیشن خبردار می‌شود. جریمه می‌شوید، یک اپلیکیشن دیگر نوتیفیکیشن می‌دهد. یک شرکت ثبت می‌کنید تا چند روز پیامک اپلیکیشن ثبت شرکت می‌آید.

این همه دسترسی به اطلاعات خصوصی ما از کجا می‌آید؟ پیگیری این سوال ما را به جواب مهمی در روزنامه هفت صبح رساند. به نظر می‌آید که سازمان فناوری اطلاعات سالانه مناقصه‌ای برای فروش اطلاعات کاربران برگزار می‌کند که البته این مناقصه مشخصات و جزئیات خاص خود را دارد.

اطلاعات خصوصی ما چگونه به فروش می‌رسد؟
اخیرا به دنبال یک رشته توئیت حساسیت‌ها درباره فروش اطلاعات محرمانه کاربران در تایملاین توئیتر فارسی بالا گرفت. یک کاربر توئیتری اخیرا نوشته بود که پیامکی از برنامه «تاپ» دریافت می‌کند که جریمه شده. با شنیدن این خبر 5 هزار تومان می‌پردازد تا وارد آن سامانه شود اما بعد از پرداخت این مبلغ و ورود به سامانه شستش خبردار می‌شود که این پیامک و 5 هزار تومانی که پرداخته فقط یک راه و روش بازاریابی برای افزایش تعداد ورودی کاربران به این سوپراپلیکیشن معروف بوده است.

این پول کجا واریز می‌شود؟
ممکن است تصور کنید که خود این کاربر باید فکر اینجا را می‌کرد و به جای اپلیکیشن، از مسیر رسمی خلافی خود را می‌گرفت تا مجبور به پرداخت هزینه بی‌دلیل نمی‌شد اما ماجرا این است که پرداخت خلافی حتی از مسیر رسمی هم رایگان نیست. شما چه وارد اپلیکیشن پلیس شوید، چه از خدمات پلیس به علاوه 10 استفاده کنید و چه از اپلیکیشن‌های غیرحاکمیتی، باید یک هزینه بسیار اندک برای مشاهده میزان جریمه و خلافی خود بپردازید.

مثلا اگر از یک میلیون کاربر تاپ که بیشترین تعداد کاربر را در حوزه فینتک دارد، سالی 300 هزار نفر هم بخواهند فقط یک بار با این اپلیکیشن جریمه خودرو بپردازند، سالی یک میلیارد و 560 هزار تومان ارزش مادی فقط از همین مسیر خلق می‌شود. ولی این مبلغ به جیب چه کسی می‌رود؟ یک منبع آگاه به هفت صبح می‌گوید که این اطلاعات مستقیما به سکوی دولتی وصل است و پول را مستقیم به حساب آنها واریز می‌کند.

ماجرا چیست؟
اینطور که بررسی‌های هفت صبح نشان می‌دهد این اطلاعات به صورت قانونی از نهادهای حاکمیتی مثل پلیس راهور به اپلیکیشن‌ها فروخته می‌شود. چگونه؟ سالانه مناقصه‌ای برگزار می‌شود که در آن فقط شرکت‌هایی که معیارهای لازم را داشته باشند شرکت می‌کنند. آنها در ازای پرداخت یک مبلغ، بخشی از اطلاعات کاربران را می‌خرند که شامل جزئیات نمی‌شود و مستقیما با حفظ محرمانگی می‌تواند از سوی این اپلیکیشن‌ها استفاده شود.

به گفته او این کار با مجوز سازمان امنیت فضای تولید و تبادل اطلاعات (افتا) و تایید شورای‌عالی فضای مجازی انجام می‌شود. این API امنی است که جزئیات آن را خود اپلیکیشن‌ها هم گویا نمی‌بینند و مستقیما به همان سکوی دولتی وصل می‌شود. یعنی پولی هم که کاربران برای اپلیکیشن واریز می‌کنند تا یک اطلاعات دولتی را دریافت کنند، مستقیما به حساب همان سکو واریز می‌شود.

مارکتینگ اگر نجنبید، جریمه می‌شوید
نه فقط تاپ بلکه اپلیکیشن‌های زیادی هستند که با اجازه خودتان به اطلاعات شخصی شما دسترسی دارند. چه اطلاعاتی؟ به موقعیت زمانی، به خریدها، فروش‌ها، اطلاعات ثبت‌نام، به موقعیت مکانی و دیگر دیتایی که مستقیما به وزارتخانه‌ها یا سازمان‌های دولتی-حاکمیتی متصل است. برای مثال یکی از کاربران می‌گوید با خروج از شهر، برای او از سامانه‌ای به نام «آیتول» پیام آمده که عوارض بین شهری خود را پرداخت کند.

لحن پیام هم معمولا جوری تنظیم می‌شود که اگر همین الان آستین بالا نزنید باید 10 برابر جریمه آن را بپردازید. این در حالی است که به طور خودکار عوارض بین شهری از حساب بانک مسکن او کم می‌شود و این برنامه نه تنها به اطلاعات شماره پلاک او دسترسی داشته بلکه با یک روش زرد در مارکتینگ مشتری را به سمت خود کشانده است.

چند برنامه‌نویس در توئیتر اینطور تحلیل می‌کنند که خودروهایی که مالکانشان پلاک آن را در یک اپلیکیشن قبلا ثبت کرده‌اند، اطلاعات خود را از سروری که در اختیار دولت و تنظیم‌کننده اصلی است، دریافت می‌کنند. طبق بررسی‌ هفت‌صبح و ادعای منبع آگاه این روزنامه از ابتدا اگر شما پلاک خود را در این اپلیکیشن‌ها ثبت نکرده باشید، پیامکی از هیچ‌کدام ارسال نمی‌شود ولی وقتی در یک برنامه اینترنتی پلاکتان را وارد کنید، ممکن است مثلا به سامانه تهران من وصل شود و اطلاعات ورود و خروج شما به طرح را از طریق اپلیکیشن به شما منتقل کند.

توضیح سه‌شنبه، 24 مرداد: روز گذشته در گزارشی با عنوان «چوب حراج بر اطالعات محرمانه کاربران» در همین صفحه به اشتباه نوشته شده بود که یک معاونت در سازمان فناوری اطلاعات ایران برگزارکننده مناقصه‌های سالانه جهت فروش اطلاعات کاربران است. در این گزارش به استناد اظهارات یک منبع آگاه اینطور آمده بود:

«سالانه مناقصه‌ای برگزار می‌شود که در آن فقط شرکت‌هایی که معیارهای لازم را داشته باشند شرکت می‌کنند. آنها در ازای پرداخت یک مبلغ، بخشی از اطلاعات کاربران را می‌خرند که اگرچه شامل جزئیات نمی‌شود ولی مستقیما با حفظ محرمانگی می‌تواند از سوی این اپلیکیشن‌ها استفاده شود. به گفته او این پلتفرم‌ها برای این کار باید پیش از این مجوز سازمان امنیت فضای تولید و تبادل اطلاعات (افتا) را گرفته باشند.

« در راستای شفاف کردن موضوع باید این توضیح را بدهیم که «معاونت امنیت فضای تولید و تبادل اطلاعات» و سازمان فرادست آن »سازمان فناوری اطلاعات ایران»، که در گزارش اول به کار رفته بود، هیچ دسترسی به اطلاعات کاربران ندارد و اگر داشته باشند هم مجوز انتقال این اطلاعات را نخواهند داشت.

مقصود نویسنده مركز «امنیت فضای تبادل اطلاعات و ارتباطات» یا افتا (زیرمجموعه ریاست جمهوری) بوده که وظیفه آن ایجاد امنیت و امدادرسانی به سکوها هنگام حمله‌های مجازی است. پلتفرم‌هایی که با اطلاعات حیاتی مردم در ارتباط هستند برای شروع کار از افتا مجوز و سپس خدمات افتایی دریافت می‌کنند. مقصود منبع آگاه و نویسنده در آن گزارش این بود که پلتفرم‌ها تنها درصورت داشتن این مجوز می‌توانند سراغ پلیس راهور، بانک مرکزی، ثبت احوال، شهرداری و … بروند و در مناقصه دریافت اطلاعات کاربران شرکت کنند.