جمع‌آوری اطلاعات کلیدی بیش از ۴۸ میلیون کاربر توسط یک شرکت ناشناخته

به‌تازگی مشخص شده است که یک شرکت ناشناخته‌ی فعال در زمینه‌ی داده‌ها، اطلاعاتی کلیدی از کاربران را از طریق پروفایل‌های اجتماعی آنان به‌دست آورده است.

یک شرکت داده‌ی ناشناخته توانست با ترکیب داده‌های به‌دست‌آمده از شبکه‌های اجتماعی مانند فیسبوک، لینکدین، توییتر و زیلو بدون رضایت یا آگاهی کاربران، ۴۸ میلیون پروفایل شخصی بسازد.

شرکتی در بلاویوی واشینگتن به‌نام لوکال‌بلاکس، داده‌های زیادی را به‌صورت خودکار و در قالب‌های مختلفی از وب و سایر شبکه‌های مبادلاتی، کشف، استخراج، فهرست‌بندی، نقشه‌برداری و جمع‌آوری می‌کند.

شرکت از زمان تأسیس خود روی جمع‌آوری منابع داده‌های در دسترس عموم، متمرکز بود؛ مثلا منابع داده شبکه‌های اجتماعی مثل فیسبوک، توییتر، لینکدین و زیلو را برای ایجاد پروفایل جمع‌آوری می‌کرد.

اما اوایل امسال شرکت لوکال‌بلاکس حجم داده‌های پروفایل عظیمی را در دسترس عموم قرار داد. این داده‌ها روی سرویس ذخیره‌سازی ساده‌ی آمازون قرار گرفته بودند؛ به‌صورت فهرست‌بندی‌نشده، بدون نیاز به رمز عبور و همه نیز می‌توانستند محتویات آن را دانلود کنند.

نام باکت مورد نظر روی سرویس ذخیره‌ی ساده‌ی آمازون، lbdumps بود و یک فایل فشرده در خود داشت. فایل فشرده حاوی ۱/۲ ترابایت اطلاعات بود و سوابق ۴۸ میلیون نفر (که از پروفایل‌های عمومی کپی کرده بود) را در آنجا جمع‌آوری کرده بودند.

در ادامه داده‌ها توسط کریس ویکری، مدیر پژوهش خطر سایبری در شرکت امنیتی آپگارد کشف شد. ویکری که کارش شکار خرابکاری داده‌های اخلاقی است، خبر را در اواخر فوریه به گوش اشفق رحمان، رئیس بخش فناوری شرکت لوکال‌بلاکس رساند. باکت بعد از چند ساعت مورد محافظت قرار گرفت.

چنین کشفی جدیدترین موضوع در خصوص رسوایی‌های اخیر شرکت‌های فناوری و اقدامات آنها برای جمع‌آوری داده‌ها است.

فیسبوک هم ماه گذشته در زمینه‌ی حریم خصوصی دچار مشکل شد. شرکت جمع‌آوری داده‌ی لندنی کمبریج آنالیتیکا داده‌های ۸۷ میلیون کاربر را براساس یک تخمین محافظه‌کارانه از طریق غول شبکه‌ی اجتماعی یعنی فیسبوک و با استفاده از یک اپلیکیشن دانشگاهی جمع‌آوری کرد. از داده‌ها برای ساخت پروفایل‌هایی برای میلیون‌ها آمریکایی استفاده شد تا نحوه‌ی رأی‌ دادن آنها پیش‌بینی شود (ازجمله انتخابات ریاست جمهوری آمریکا درسال ۲۰۱۶).

این مسئله طوفانی به‌پا کرد و بررسی‌ها و سوالاتی در تمام دنیا به‌وجود آورد. سناتورها پا به عرصه گذاشتند و فیسبوک را مجبور به اتخاذ اقدامات مربوط‌ به حریم خصوصی شدیدتر و قوی‌تری کردند.

حفظ حریم خصوصی

اما جمع‌آوری داده‌ها توسط لوکال‌بلاکس هم می‌تواند به‌همین اندازه مشکل‌ساز باشد و حساسیت شدیدی در پی داشته باشد، چراکه اطلاعات دقیق هر شخص بدون اجازه‌ی او جمع‌آوری شده و درمعرض دسترسی عموم قرار داده شده است.

ویکری چند روز پیش، داده‌ها را در نیویورک به وب‌سایت zdnet.com نشان داد.

داده‌ها ابتدا به‌صورت خواندنی در یک فایل JSON جدید نمایان شدند. این داده‌های جمع‌آوری‌شده دربردارنده‌ی اسامی، آدرس، اطلاعات شغلی، سوابق کاری، و … است که از پروفایل‌های فیسبوک، لینکدین و توییتر کپی شده‌اند.

گزارشی که از خود آپ‌گارد در چهارشنبه‌ی پیش منتشر شد، حاوی پرسمان جست‌وجوی مورد استفاده لوکال‌بلاکس برای گردش در آدرس‌های ایمیل است. لوکال‌بلاکس از موتور جست‌وجوی فیسبوک برای دریافت عکس‌های کاربران، عنوان شغل فعلی، اطلاعات کارفرما و اطلاعات خانوادگی آنها استفاده کرده است.

فیسبوک اوایل این ماه بعد از اینکه افراد سودجو از جست‌وجوگرهای خودکار برای دریافت و سرقت اطلاعات مردم استفاده کردند، قابلیت جست‌وجوی خود را قفل کرد.

همچنین طبق نظر برخی از افراد، شرکت فیسبوک اطلاعات جمع‌آوری‌شده‌ی خودش را از منابع غیرعمومی دریافت می‌کند، مثلا از یک بازار داده‌های خریدنی. سپس داده‌ها کامپایل و سازماندهی شده و با پروفایل‌های فعلی کاربران ادغام می‌شود.

طبق گزارش، عملیات جمع‌آوری، تلاشی برای ساختن تصاویر سه‌بعدی از افراد است تا از تصاویر برای تبلیغات یا کمپین‌های سیاسی استفاده شود. به‌گفته‌ی ویکری برخی از سوابق کامل‌تر از بقیه هستند. مدت‌هاست که لوکال‌بلاکس به توانایی خود در جمع‌آوری داده‌ها می‌بالد.
این شرکت پایگاه داده‌ای برای رای در آمریکا با بیش از ۱۸۰ میلیون شهروند دارد

طبق ادعای لوکال‌بلاکس، یک پروفایل ساده از افراد روی وب‌سایت شرکت، حاوی اطلاعات اضافه‌ بر سازمانی مثل محل سکونت، آدرس‌های ایمیل، آدرس‌های آی‌پی (که در برخی از موارد می‌تواند نشان‌دهنده‌ی مکان شخص شود) شماره‌های تلفن، آدرس‌های پستی، حقوق، کارفرما، عنوان شغلی و سایر موارد است.

همچنین داده‌ها حاوی اطلاعات در این زمینه‌هاست (البته همیشه این‌گونه نیست): آیا فرد از کارت اعتباری استفاده می‌کند یا خیر، اولویت‌های لیست تماس نگیرید آنها، وضعیت زناشویی و ثروت خالص افراد.

طبق ادعای لوکال‌بلاکس، بیش از ۶۵۰ میلیون سابقه در پایگاه داده‌ی شناسه‌های دستگاه شرکت وجود دارد و همچنین ۱۸۰ میلیون سابقه در پایگاه داده‌ی موبایل آن شامل شماره تلفن موبایل و دستگاه موجود است.

همچنین طبق گفته‌ی لوکال‌بلاکس، این شرکت پایگاه داده‌ای برای رأی در آمریکا با بیش از ۱۸۰ میلیون شهروند دارد. میزان به‌روز بودن دقیق چنین پایگاه داده‌ای دقیقا مشخص نیست، ولی طبق نشت سوابق آن (که ویکری هم تصادفا متوجه آنها شد) پایگاه داده‌ی لوکال‌بلاکس قدیمی‌تر از پایگاه داده‌ی اواسط سال ۲۰۱۷ نیست. پایگاه داده اوایل سال ۲۰۱۷ حاوی سوابق ۱۹۷ میلیون رأی‌دهنده بود. ویکری گفت:

جمع‌آوری جزئیات اطلاعات میلیون‌ها نفر ذاتا مانند سلاحی است که می‌تواند صدماتی به همراه داشته باشد.

زددی‌نت قبل از انتشار اخبار چندین سوال از لوکال‌بلاکس پرسید.

اشفق رحمان در تماسی تلفنی مدعی شد که ویکری با هک کردن، وارد اطلاعات سرویس ذخیره ساده آمازون شده است. البته به‌ادعای ویکری، او همواره، کار خود را از نظر اخلاقی جلو می‌برد و در چارچوب قانون اطلاعات را افشا می‌کند. رحمان در ادامه هم نگفت که چرا چند ساعت بعد از افشای این موضوع، دسترسی‌ به اطلاعات را محدود کرد.

شبکه های اجتماعی

رحمان درمورد عدد ۴۸ میلیون جواب‌هایی ارائه داد و گفت که اکثر اطلاعات ساختگی و برای تست‌های داخلی شرکت بوده‌اند، اما میزان درصدی دقیق اطلاعات ساختگی را مشخص نکرد. وقتی از رحمان در خصوص اطلاعات شخصی مثل موقعیت جغرافیایی و داده‌های آدرس آی‌پی سوال شد، گفت داده‌ها ربطی‌به مالکان حقیقی ندارند.

رحمان سپس در ایمیلی گفت:شخص دیگری از طریق باکت سرویس ذخیره ساده آمازون به این اطلاعات دسترسی نداشته است.

او باز هم تکرار کرد:شرکت قطعات و جزئیات را به‌هم وصل می‌کند تا هوشی انعطاف‌پذیر به‌وجود بیاورد.

براساس یک مقاله منتشرشده در سال ۲۰۱۳، سابیرا عارفین، رئیس لوکال‌بلاکس گفته است:مشخص کردن شرایط و ضوابط برعهده سیستم و سایت‌های خود افراد است و آنها خودشان باید هرگونه مکانیزم دفاعی‌ را که می‌خواهند، برای جلوگیری از دزدیده شدن اطلاعات‌شان به‌‌کار گیرند.

عارفین به سوالات ایمیل پایگاه zdnet جواب نداده است.

زددی‌نت همچنین با شرکت‌هایی که اطلاعات‌شان توسط لوکال‌بلاکس کپی شده است، تماس گرفت. فیسبوک کپی شدن اطلاعاتش را ممنوع می‌داند. سخنگوی فیسبوک در بیانیه‌ای گفت:ما درحال حاضر تمامی برنامه‌هایی را که به مقادیر زیادی از اطلاعات دسترسی داشتند بررسی می‌کنیم. ما در سال ۲۰۱۴ پلتفرم‌مان را به‌منظور کاهش دسترسی‌ به اطلاعات تغییر دادیم. همچنین هرگونه برنامه‌ای را که فعالیتی مشکوک داشته باشد، کاملا بررسی می‌کنیم و اگر سوءاستفاده‌ای از اطلاعات مشاهده کنیم، برنامه‌ها را مسدود کرده و به‌ افراد آسیب‌دیده اطلاع می‌دهیم.

انتقال داده

لینکدین هم با کپی و دزدیده شدن اطلاعات خود از طریق مراجع قانونی مبارزه کرده است. سخنگوی لینکدین گفت:هرگونه کپی اطلاعات از پلتفرم ما نقض شرایط استفاده از خدمات لینکدین محسوب می‌شود. اعضای لینکدین اطلاعاتی را که در دسترس عموم قرار می‌دهند کنترل می‌کنند و ما هم با اقدامات سخت‌گیرانه‌ای از آنها محافظت می‌کنیم تا پس از کشف هرگونه کپی غیرقانونی، آن را متوقف کنیم.

توییتر هم که پروفایل‌های کاربران و توییت‌های آن به‌صورت پیش‌فرض باز و دردسترس عموم است، اعلام کرد که کپی خودکار اطلاعات از سایت بدون رضایت قبلی صراحتا ممنوع است.

زیلو گفت:امنیت داده‌های سایت‌ها برای ما بسیار مهم است و آن را بسیار جدی می‌گیریم. طبق شرایط استفاده از سایت ما، کپی کردن و دزدیدن اطلاعات ممنوع است و ما به‌طور فعال اشخاص ثالثی را که از سایت ما کپی و یا دزدی می‌کنند مسدود می‌کنیم.

وجود شرکت‌های کپی داده مورد جدیدی نیست، اما آنها قدرتمندتر از قبل شده‌اند و در جریان رسوایی کمبریج آنالیتیکا بحث‌برانگیز شدند. اما حامیان صنعت کپی داده‌ها، کپی آنها را به‌شرطی که داده‌ها در دسترس عموم باشد، منصفانه می‌دانند.

نیلسن، یک شرکت تحقیق رسانه‌ای، با گرفتن اجازه، داده‌های اینترنتی را کپی می‌کرد. اما براساس گزارشی از وال‌استریت ژورنال درسال ۲۰۱۰، روزی سخن‌گوی این شرکت گفت:اگر کسی اطلاعات شخصی‌اش را به‌اشتراک بگذارد، آن هم جزو موارد قابل کپی‌ ما قرار می‌گیرد.

اما اگر اطلاعات عمومی افراد و کاربران اینترنت کپی شود، آنها چاره‌ای برای مقابله با این کار ندارند. قانونی وجود ندارد که شرکت‌های داده را ملزم‌ به اجازه‌ی راه یافتن افراد به اطلاعات‌شان برای تغییر و پاک کردن آنها را بدهد. البته در اروپا قوانین محافظت از داده‌ها و مسائل مربوط‌به حریم خصوصی سخت‌گیرانه‌تر است.

اما به‌ هر حال شرکت‌های کپی‌کننده داده‌ها، مقادیر زیادی از داده‌های سازمان‌یافته را جمع‌آوری می‌کنند. ولی ویکری گفت که ابتدا باید دید که این شرکت‌ها چنین داده‌هایی را از کجا به‌دست می‌آورند. او گفت:به‌نظرم شرکت‌ها باید تا حدودی مسئولیت این داده‌ها را برعهده بگیرند و به نقشی که در این زمانه بازی می‌کنند بیشتر فکر کنند.