به گزارش خبرنگار حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان؛ اسنپ نخستین سرویس هم سفری آنلاین در ایران است که از زمستان سال ۱۳۹۳ فعالیت خود را آغاز کرد. در این اپلیکیشن که یکی از پرحاشیهترین استارتاپ هاست برای درخواست خودرو، مسافران میتوانند پس از مشخص نمودن مسیر سفر، گزینههای سفر و انتخاب نوع سرویس را انجام دهند و تقاضای خودرو کنند. این برنامه به طور خودکار مسافران را با نزدیکترین راننده مرتبط میسازد و موقعیت مسافر را برای راننده ارسال و راننده آن را تأیید میکند، اما جالب است بدانید که اسنپ در گوشی کاربران به 3 گزینه اصلی Phone ،Contacts و Location دسترسی دارد.
تمام اکانتهای موجود بر روی گوشی
شماره تلفن، آیدی گوشی و محل فعال شدن تماس گوشی
تماس با هر کجا بدون نیاز به اجازه توسط کاربر
تشخیص موقعیت مکانی شما با استفاده از جیپیاس، وایفای یا شبکههای مخابراتی حتی در زمانهایی که از این اپلیکیشن استفاده نمی کنید.
دریافت اطلاعات از طریق دیتای گوشی کاربر از اینترنت
کنترل کردن ویبره گوشی از طریق تنظیمات
اجازه برای نصب و یا غیر فعال کردن شورت کات بر روی صفحه اصلی گوشی
مشاهده اتصال دستگاه شما از طریق وایفای
با کمی دقت بر این موضوع در می یابیم استفاده از چنین دسترسیهایی، مشخصات و وضعیت سیم کارت کاربر را توسط اپلیکیشن دریافت و به سرور ارسال میکند که برای هر برنامهای یک امر ضروری است اما برخی از دسترسیها این توانایی را دارد که بدون اجازه و دخالت کاربران کد دستوری(USSD) خاصی اجرا کند و یا تماس بگیرد.
خوشبختانه در نسخه به روزرسانی شده این برنامه، دسترسی به حافظه برداشته شده و اسنپ دیگر توانایی حذف یا اضافه کردن فایلی را به گوشی کاربر ندارند.
سید علیرضا آل داوود پژوهشگر و کارشناس فضای مجازی در گفتگو با خبرنگار باشگاه خبرنگاران جوان ضمن تایید این موضوع گفت:مهم ترین اولویت هر اپلیکیشنی صیانت از اطلاعات کاربران است. استفاده کنندگان از برنامه با دو راه مواجه میشوند. در اولین حالت کاربر میتواند برخی از دسترسیها همانند(پیامک، ایمیل) را در اختیار اپلیکیشن قرار ندهد ولی در حالت دیگر کاربر بدون هیچ اختیاراتی موظف است برنامه را در جریان داده های گوشی خود قرار دهد و هنگام نصب نرم افزار دسترسی اجباری را ایجاد کند.
در آخرین بازدید سایبری به فروش اکانت های اعتباری اسنپ مواجه شدیم.آن طور که از شواهد برمیآید، اکانتهای اسنپ با ابزارهای ساده کرک میشوند. نه تنها تمام اطلاعات کاربران در خطر است، بلکه هکرها اکانتهای دارای موجودی را برای فروش میگذارند و اطلاعات اصلی صاحب حساب را تغییر میدهند. اصلی ترین منشأ این رویداد اپلیکیشن اسنپ است که با دسترسی کامل خود به تمام اطلاعات کاربران، راه را برای افراد سودجو هموار کرده است.
از ویژگیهای این اکانتها قابلیت تغییر اطلاعات است به گونهای که فرد خریدار می تواند شماره تماس، ایمیل و نام کاربری را به دلخواه خود تغییر دهد. اینگونه اطلاعات هک شده از افراد به شیوهای نامحسوس دست به دست می چرخد و کسی متوجه آن نمی شود.
آل داوود در خصوص هک شدن اطلاعات توسط هکرها اظهار کرد: فروش کارتهای اعتباری نمایانگر ضعف نرم افزار اسنپ است که با تغییر اپلیکیشن میتوان صیانت از اطلاعات و داده های کاربران را تضمین کرد. این شرکت باید بداند حفظ حریم خصوصی اساسی ترین اولویتی است که باید به آن عمل کند و در صورت هک شدن اطلاعات، سرنوشت داده های فاش شده را مشخص کند و تاوان سختی را باید بدهد.
وی ادامه داد: چنین شرکت هایی موظفند تعهد سفت و سختی برای امنیت اطلاعات کاربران دهند تا منابع مهم به دست افراد سودجو و ناسالم قرار نگیرد.
روابط عمومی اسنپ در گفتگو با خبرنگار باشگاه خبرنگاران جوان گفت: گاهی ضعیف و محتملبودن رمزهای عبور یک حساب کاربری امکان سوءاستفاده را فراهم میکند. در تمام دنیا رایج است که برخی از کاربران هنگام ثبتنام در سرویسهای مختلف از رمزهای عبور ساده استفاده میکنند. موسسههای فعال در زمینهی امنیت اطلاعات سایبری همواره دربارهی استفاده از این رمزها هشدار میدهند. رمزهایی نظیر «۱۲۳۴۵۶»، «qwerty» و «۱۱۱۱۱۱» از جمله موارد پُرکاربردی هستند که به لحاظ امنیتی ضعیف شمرده میشوند.کاربران سرویسهای داخلی نیز از این قاعده مسثتنی نیستند و گاهی از این رمزها در فرم ثبتنام خود استفاده میکنند. علاوه بر این رمزهایی که با استفاده از اطلاعات شخصی (مانند کدملی، تاریخ تولد و سایر اطلاعات هویتی) تعیین میشوند زمینه سوءاستفاده را برای افراد سودجو فراهم میکنند.
همچنین افزود: در کنار این موارد، استفاده از اپلیکیشنهای غیراستاندارد و تائیدنشده نیز میتواند باعث در معرض خطر قرار گرفتن رمزهای عبور کاربران شود. این مورد میتواند در اندروید خطری جدی باشد، چراکه نصب فایل از منابع غیررسمی در آن امکانپذیر است و احتمال دارد اپلیکیشنهای ناشناس در آن حاوی بدافزار باشد. این بدافزارها میتوانند اطلاعات شما را ذخیره و برای فرد دیگری ارسال کنند.
پس از انتشار این خبر روابط عمومی اسنپ با ارائه توضیحاتی در این خصوص تأکید کرد: به تازگی گزارشهای محدودی در خصوص تلاش برای دسترسی به حساب اسنپ برخی از کاربران دریافت کردهایم. ضمن اطمینان از محفوظ بودن اطلاعات کاربران، اعلام میکنیم که حفظ این اطلاعات از اهمیت بسزایی برای ما برخوردار است. سیستم شناسایی هویت اسنپ تمامی رمزهای عبور کاربران را به صورت هَششده (Hash) ذخیره میکند. یعنی تنها شخص کاربر از رمز عبور خود مطلع است و حتی اسنپ نیز به رمزهای کاربرانش به صورت واضح (plain) دسترسی ندارد.
از آنجایی که بخشی از فرایند امنیت اطلاعات کاربران منوط به رعایت استانداردهای امنیتی از سوی شخص خودشان است، رعایت موارد ذیل در هنگام استفاده از تمامی خدمات آنلاین، نظیر اسنپ، پیشنهاد میشود:
● برای کاهش ریسک، در هنگام ثبتنام از رمزهای قوی (شامل حروف بزرگ، کوچک، عدد و کاراکتر) استفاده کنید. در صورتی که اکنون حساب اسنپ دارید میتوانید با رفتن به قسمت تنظیمات اپلیکیشن رمز عبور خود را تغییر دهید و از یک رمز قوی استفاده کنید.
● همواره از آخرین نسخه اپلیکیشن موردنظر خود استفاده کنید. در صورت نصب آخرین نسخه اپلیکیشن اسنپ (روی آیاواس یا اندروید) میتوانید از قابلیت ثبتنام/ ورود با شماره تلفن همراه استفاده کنید. در این حالت یک رمز یکبار مصرف (OTP) به شمارهای که در اسنپ وارد کردهاید ارسال میشود. این رمز تنها یک بار قابل استفاده خواهد بود و پس از اینکه کاربر آن را در اپلیکیشن اسنپ وارد کند دیگر معتبر نخواهد بود. به این ترتیب رمز عبور شما هر بار فقط روی سیمکارتی که با آن قصد ورود به اسنپ را دارید ارسال و در دسترستان قرار میگیرد.
گفتنی است به منظور ارتقای سطح امنیت و حفاظت از اطلاعات کاربران به زودی امکان جدیدی به اپلیکیشن اسنپ اضافه خواهد شد که بیش از پیش مانع سوءاستفادههای احتمالی میشود. با وجود این امکان، در صورت استفاده از حساب کاربری شما در یک دستگاه جدید پیامک و ایمیلی برایتان ارسال میشود تا در جریان قرار بگیرید و آن را تائید کنید. به این ترتیب، در صورت نیاز میتوانید به سرعت رمز ورود خود را تغییر دهید و مانع هرگونه سوءاستفادهی احتمالی شوید.
بیانیه روابط عمومی تا حدودی پاسخی به حواشی اخیر بود اما در خصوص پیگیری قانونی چنین جرائمی پاسخ صریحی دریافت نشد.
تنها راه حلی که میتوان در مقابل کاربران گذاشت و نگرانیهای موجود را کاهش داد، ایجاد برنامهای است ک نیاز به دسترسی کامل اطلاعات استفاده کنندگان نداشته باشد تا اینگونه از نفوذ سوء استفاده کنندگان به اطلاعات جلوگیری شود.
انتهای پیام/
اسنپ هم هیچ پاسخی در این رابطه نمیدهد و اصلا گردن میگیرد. بنظرم اعتماد کردن به آپ های ایرانی یه اشتباه هست.