بيانات شخصية لـ118 ألف مصري معروضة للبيع على أحد أكبر منتديات القراصنة بالعالم

كتب: محمد عبد العزيز

بيانات شخصية لـ118 ألف مصري معروضة للبيع على أحد أكبر منتديات القراصنة بالعالم

بيانات شخصية لـ118 ألف مصري معروضة للبيع على أحد أكبر منتديات القراصنة بالعالم

من اسم المستخدم إلى الرقم الضريبي والصور الشخصية، أصبحت بيانات عشرات الآلاف من العملاء المصريين متاحة على الإنترنت، بعد تعرّض أحد مواقع التسوق الإلكتروني المصرية لاختراق أدى إلى تسريب بيانات أكثر من 118 ألف عميل، جرى عرضها للبيع على أحد أكبر منتديات القراصنة في العالم مقابل 100 دولار فقط، وقدّم المخترق المعروف بـ«الهاكر» عينة مجانية من البيانات لإثبات صحتها.

وعرض مُسرب البيانات أو «الهاكر» قاعدة بيانات تحتوي على 118.020 سجل للعملاء، وتتضمن البيانات، رقم تعريفي لكل مستخدم «ID»، والاسم الكامل والبريد الإلكتروني ورقم الهاتف والرمز البريدي «ZIP» والدولة والمحافظة، وتاريخ التسجيل على الموقع، ومكان إنشاء الحساب، والعنوان بالكامل الموجود في فواتير الشحن، وتاريخ الميلاد والرقم الضريبي، واسم العميل في الفاتورة، والصور الشخصية في حال توفرها.

تسريب البيانات والأمن السيبراني

وتسريب البيانات تعد حادثة أمن سيبراني تكشف عن ثغرات في تأمين بيانات العملاء على بعض منصات التسوق الإلكتروني، وهو ما يثير تساؤلات مشروعة حول مدى جاهزية هذه المنصات لحماية خصوصية عملائها، ومدى مواكبتها لمستوى التهديدات المتطور في العالم الرقمي.

من هو مُسرب البيانات؟

ويمتلك مسرب البيانات أكثر من 150 مشاركة على المنتدى تتعلق بنشر بيانات ومعلومات بعد قرصنتها في مدة بدأت منذ أكتوبر الماضي، كما يمتلك سُمعة موثوقة تجاوزت 120 نقطة، ما يشير إلى تفاعله النشط واعتراف مجتمع المنتدى بمصداقيته، وفقًا لما اطلعت عليه «الوطن» في منتدى القراصنة.

لم يكتف ناشر البيانات بعرض عينة مجانية فقط، بل حدّد تاريخ حدوث التسريب في 4 فبراير 2025، مشيرًا إلى أن عملية الاختراق وقعت قبل هذا التاريخ بأسابيع، وأنه يملك النسخة الكاملة من قاعدة البيانات، ثم عرضها للبيع مقابل 100 دولار أمريكي، ومن يرغب في التواصل معه عليه بمراسلته عبر خاصية الرسائل الموجودة في المنتدى.

تسريب بيانات

ماذا نعرف عن «منتدى القراصنة»؟

والمنتدي ينشط على الويب المظلم، وهو مملوك لأشخاص من داخل الولايات المتحدة، ويمتلك نسخة مخفية عبر «Tor» (وهي شبكة مخفية تستخدم الاتصال المشفر على الإنترنت)، بالإضافة إلى نسخ تظهر من حين لآخر على الإنترنت العادي، ووفقًا لتقرير من موقع «هاك ريد» المتخصص في أخبار الأمن السيبراني، فالمنتدى يتعرض لملاحقات قانونية من قِبل مكتب التحقيقات الفيدرالي «FBI»، وسبق أن تعرض للإغلاق أكثر من مرة، لكنه يعود وينشط بنطاقات مختلفة.

شهادات العملاء: نعم استخدمنا الموقع

تواصلت «الوطن» مع عدد من العملاء الذين وُجدت بياناتهم ضمن العينة المجانية، وجميعهم أكدوا أنهم تعاملوا بالفعل مع الموقع، بعضهم منذ أعوام، وأحدهم تلقى تنبيهًا من خدمة «Avast» تُخبره بتعرض بريده وبياناته للتسريب.

أحد العملاء قال إنه استخدم الموقع منذ 5 سنوات تقريبًا لشراء بعض المنتجات من خارج مصر، لكنه لم يعلم بأمر التسريب ولم يتعرض لأي ضرر، مضيفًا: «على حسب الضرر الواقع عليا في المستقبل سأقاضي الموقع للحصول على تعويض».

كما أكد عميل آخر، أنه استخدم الموقع في عام 2023، ولم يعد يثق بأي مواقع تسوق إلكتروني غير معروفة، لكنه لم يكن يعلم بأمر التسريب أيضًا.

أحد هؤلاء العملاء، أكد أنه فوجئ برسالة بريد إلكتروني من إحدى الخدمات المتوفرة لمعرفة تسريب الإيميل وتحديدًا شركة «Avast»، وأخبروه أن إيميله وبعض بياناته تعرضت للتسريب.

ويقول المهندس يوسف أيمن، خبير أمن المعلومات، أن أي شخص تعرضت بياناته للاختراق أو التسريب وسبق أن اشترك في إحدى الخدمات المخصصة لتتبع تسريب أو اختراق البريد الإلكتروني، فسيعلم فورًا بأن بياناته تم تسريبها أو اختراقها.

وظلم تعلم إدارة الموقع الإلكتروني بأمر التسريب إلا بعد أن تواصلنا معهم وأخبرناهم بما حدث، وقال المستشار القانوني لموقع التسوق، إن البيانات المُسربة ليست هامة أو تؤدي إلى ضرر كبير للعملاء، وطلب الانتظار للرد أو توضيح الأمر أكثر، لكن لم يرد على طلبات الاستفسار مرة أخرى.

وأكد خبراء المعلومات لـ«الوطن»، أن نفي الشركة لخطورة البيانات لا يمت للواقع بصلة، فالبيانات المُسربة من الممكن استخدامها في انتحال الشخصية أو تتبع العملاء وإلحاق الضرر بهم أو بيعها لشركات الإعلانات والتسوق.

كيف تم الاختراق وتسريب البيانات؟

وأوضح الخبراء إن التسريب من المتوقع أن يكون تم عن طريق اختراق خوادم الموقع عبر ثغرة أمنية في نظام إدارة المحتوى التي يعتمد عليها الموقع، واستغلال القراصنة كلمات مرور ضعيفة لبعض الحسابات الداخلية، مما سهل عليهم الوصول إلى قاعدة بيانات العملاء بكل سهولة، أو استخدام برمجيات خبيثة لاختراق النظام وعدم تأمين الموقع بشكل كافٍ، كما أن عدم وجود حماية أمنية كافية كان سببًا في عدم معرفة الموقع بالتسريب.

وعبر الموقع الرسمي لمنصة التسوق، وعدت الإدارة وفقًا لسياسة الخصوصية باتخاذ إجراءات متنوعة من الأمان للحفاظ على سلامة معلومات العملاء الشخصية عند استخدام الموقع للشراء من الخارج من أي متجر عبر الإنترنت، مؤكدا أنه يتم الاحتفاظ بالمعلومات الشخصية خلف شبكات آمنة ولا يمكن الوصول إليها إلا من قِبل عدد محدود من الأشخاص الذين لديهم حقوق وصول خاصة إلى النظام ويحافظون على سرية المعلومات.

حماية البيانات ودور المنصات الإلكترونية

ويقول الدكتور محمد عزام، خبير تكنولوجيا المعلومات، إن مسؤولية حماية البيانات تقع على عاتق المنصات والمواقع نفسها، ويجب عليها دعم مزيد من البحوث والتطوير لتأمين بياناتها واكتشاف الثغرات الأمنية باستمرار، وهو ما يحدث داخل المنظومات الكبيرة سواء داخل مصر أو خارجها.

وأضاف أن المواقع والمنصات مُلزمة بحماية البيانات العملاء، مؤكدًا أن ضعف سيرفر الموقع الإلكتروني وعدم وجود معايير قياسية لحفظ البيانات وعدم إتخاذ إجراءات قوية لحمايتها وعدم اكتشاف الثغرات والتخلص منها، هو السبب وراء تعرضه للقرصنة وعدم وجود نظام أمني قوي أيضًا كان سببًا في عدم معرفة الموقع بأمر التسريب.

وأكد «عزام» خلال حديثه لـ«الوطن»، أن هناك مخاطر عديدة تنتج عن تسريب بيانات ومعلومات العملاء، حيث يتم بيعها لشركات التسويق أو تعرض أصحابها لمضايقات أو تصيد عبر الإيميلات، كما يمكن التلاعب بالصور الشخصية وابتزاز أصحابها، وهو أمر خطير للغاية.

وأوضح خبير تكنولوجيا المعلومات، أن اختراق البيانات والحسابات الشخصية والقرصنة على المواقع التي تضم قواعد بيانات كبيرة أصبحت أمر مؤرق للعالم، وهو جزء من الضريبة التي يدفعها العالم نتيجة استخدام التكنولوجيا الحديثة والتعامل مع البيانات.

تسريب بيانات

مصر والأمن السيبراني.. اهتمام وتطوير

وتهتم مصر بتطوير مجال الأمن السيبراني، فهي ضمن دول الفئة الأولى بالمؤشر العالمي للأمن السيبراني «GCI» الصادر عن الاتحاد الدولي للاتصالات لعاميّ 2023 - 2024، كما استطاعت التصدي لعشرات الهجمات السيبرانية خلال الفترة الماضية، مستفيدًا من بنيتها التحتية التي تمكنها من صد هجمات القراصنة على مختلف المؤسسات.

مصر ضمن الأفضل في مجال الأمن السيبراني

وحققت مصر مركزًا متقدمًا في مؤشر الأمن السيبراني العالمي وأصبحت ضمن أفضل 12 دولة في مجال الأمن السيبراني في العالم، وذلك بعد حصولها على 100 نقطة كاملة في جميع مقاييس الاتحاد الدولي للاتصالات، وتفوّقت على 194 دولة عالميًا، نقلًا عن الموقع الرسمي للاتحاد الدولي للاتصالات.

وأظهرت إحصائيات موقع «كاسبرسكي»، المتخصص في أمن الحواسيب، زيادة في هجمات التصيد في مصر بنسبة 49% خلال الربع الأول من العام الماضي مقارنةً بالفترة نفسها من العام قبل الماضي.

وارتفعت التهديدات الإلكترونية داخل القاهرة بنسبة 20% خلال العام الماضي، في وقت، تعمل فيه الحكومة المصرية على تعزيز إجراءات الأمن الإلكتروني، بحسب موقع «Nu camp» المتخصص في التكنولوجيا والبرمجة.

وفي دراسة نشرتها «بوزيتيف تكنولوجيز»، وهي شركة أبحاث روسية في مجال أمن المعلومات، استنادًا إلى المصادر المفتوحة ومنشورات الويب المظلم، وجدت أن أكثر من 100 قائمة على منتديات الويب المظلم خلال العام الماضي قدمت قواعد بيانات تحتوى على معلومات تم اختراقها والحصول عليها من مواطنين أو منظمات مصرية، وتضمن 23% من البيانات المخترقة معلومات شخصية، و27% أسرار تجارية.

وفي تحقيق آخر لـ«بوزيتيف تكنولوجيز»، وجدت الشركة منشورات تروج لبيانات شخصية لملايين المواطنين المصريين، وآخر يروج لسجلات 600 ألف عميل مصري من متجر للمكملات الغذائية، جمعيها تم العثور عليها عبر منتديات الويب المظلم، ومنتديات أخرى تشبه ما وجدنا عليها بيانات عملاء موقع التسوق الإلكتروني.

تسريب

القانون المصري يتصدى لجرائم الأمن السيبراني

ومع زيادة حالات اختراق الأنظمة الإلكترونية وتسريب البيانات، أصبح التصدي لها أحد أولويات القانون المصري، وفقًا لتشريعات حديثة نص عليها قانون مكافحة جرائم تقنية المعلومات رقم 175 لسنة 2018.

وفقًا للمادة 25 من قانون مكافحة جرائم تقنية المعلومات، يُحظر تجميع البيانات عن الأشخاص وإجراء معالجة لها إلا برضاء أصحابها، كما يعاقب بالحبس مدة لا تقل عن 6 أشهر وبغرامة لا تقل عن 50 ألف جنيه ولا تجاوز 100 ألف جنيه أو باحدى هاتين العقوبتين كل من اعتدى على أي من المبادئ أو القيم الأسرية في المجتمع المصري أو انتهك حرمة الحياة الخاصة أو أرسل بكثافه العديد من الرسائل الإلكترونية لشخص معين دون موافقته أو منح بيانات إلى نظام أو موقع إلكتروني لترويج السلع أو الخدمات دون موافقته، أو نشر عن طريق الإنترنت أو بإحدى وسائل تكنولوجيا المعلومات بياناتًا أو أخبارًا أو صورًا تنتهك خصوصية اي شخص دون رضاه سواء كانت المعلومات المنشورة صحيحة أو غير صحيحة.

بيع البيانات الشخصية لشركات تجارية

ويقول محمد صابر، المستشار المتخصص في الدفاع عن ضحايا الجرائم الإلكترونية، إن البيانات والمعلومات المسربة الخاصة بالعملاء المصريين، يمكن بيعها إلى شركات تجارية أو مراكز تسوق أو مواقع أخرى للاستفادة منها في إرسال الإعلانات للأشخاص أو معرفة اهتماماتهم واتجاهاتهم، مؤكدًا أن بيانات العملاء يجب أن تبقى سرية ويجب ألا يقتحمها أحد ضمانًا لسريتها وصونا لحرمتها ودفعًا لمحاولة التلصص عليها أو اختلاس بعض جوانبها.

وألقى القانون المصري على عاتق مديري المواقع الإلكترونية الحفاظ على بيانات المستخدمين من التسريب، فقد نصت الماده 29 من القانون على أن يعاقب بالحبس مدة لا تقل عن 6 أشهر وبغرامة لا تقل عن 10 آلاف جنيه ولا تجاوز 100 ألف جنيه أو بإحدى هاتين العقوبتين كل مسؤول عن إدارة الموقع أو الحساب الخاص أو البريد الإلكتروني أو النظام المعلوماتي تسبب بإهماله في تعرض المستخدمين لإحدى الجرائم المنصوص عليها في هذا القانون وكان ذلك بعدم اتخاذه التدابير والاحتياطات التأمينية الواردة في اللائحة التنفيذية لهذا القانون.

ويضيف «صابر»، أنه في جميع الأحوال يلتزم الممثل القانوني ومسئول الإدارة الفعلية ومدير الموقع لدى أي مقدم خدمة بإتاحة مفاتيح التشفير الخاصة به للمحكمة المختصة أو الجهات التحقيق المختصة في حال وجود تحقيق في إحدى الشكاوي أو المحاضر أو الدعاوى عند طلبها رسميًا من تلك الجهات.

وأكد أيضًا أن الجريمة المعلوماتية نظرًا لخصوصيتها تثير مشكلة عدم كفاية إجراءات التحري والتحقيق التقليدية في الحصول على الدليل الرقمي الناتج عن ارتكابها، ما أدى إلى ضرورة التطوير من هذه الإجراءات من خلال التطوير في الأحكام العامة للإجراءات التقليدية، وعن طريق خلق إجراءات حديثة مختلفة عن تلك المتبعة في سبيل مكافحة الجرائم العادية.

تسريب

قانون حماية البيانات الشخصية

وجاء قانون حماية البيانات الشخصية رقم 151 لسنة 2020، والذى يهدف إلى حماية البيانات الشخصية للمصريين، إذ تنص المادة 36 من قانون حماية البيانات الشخصية على أنه يعاقب بغرامة لا تقل عن 100 ألف جنيه ولا تجاوز مليون جنيه كل حائز أو متحكم أو معالج جمع أو عالج أو أفشى أو أتاح أو تداول بيانات شخصية معالجة إلكترونيًا بأي وسيلة من الوسائل في غير الأحوال المصرح بها قانونًا أو بدون موافقة الشخص المعني بالبيانات.

ويعاقب بالحبس مدة لا تقل عن 6 شهور وبغرامة لا تقل عن 200 ألف جنيه ولا تجاوز 2 مليون جنيه أو بإحدى هاتين العقوبتين، إذا ارتكب ذلك مقابل الحصول على منفعة مادية أو أدبية أو بقصد تعريض الشخص المعني بالبيانات للخطر أو الضرر.

تعاون دولي لملاحقة مُسربي البيانات خارج مصر

لكن تسريب بيانات عملاء موقع التسوق الإلكتروني تم خارج مصر، كما أن من اخترقها وعرضها للبيع أيضًا لم يكن مصريًا، وفي هذه الحالة، يقول الدكتور أيمن سلامة، أستاذ القانون الدولي، إنه من حيث المبدأ القانوني، يمكن مقاضاة المسؤولين عن تسريب ونشر وبيع بيانات المصريين، مشيرًا إلى أن هذه الأفعال قد تندرج تحت طائلة عدة قوانين، سواء خارج مصر حيث وقع الاختراق والبيع، أو في مصر فيما يتعلق بحماية بيانات مواطنيها.

وأوضح أستاذ القانون الدولي لـ«الوطن»، أن إجراءات ملاحقة مُسرب المعلومات خارج مصر تتطلب تعاونًا دوليًا بين السلطات القضائية في البلدين، وتبدأ الإجراءات في مصر بتقديم بلاغات من المتضررين أو من الجهات المعنية بحماية البيانات إلى النيابة العامة، بعدها، يمكن للنيابة العامة المصرية أن تطلب من نظيرتها (الدولة التي وقع بها الاختراق والتسريب) إجراء تحقيقات وجمع أدلة، وقد يصل الأمر إلى طلب تسليم المتهمين.

وأكد «سلامة» أن قضية تسريب بيانات عملاء موقع التسوق الإلكتروني مُعقدة وتتطلب تضافر جهود قانونية ودبلوماسية على مستوى البلدين، ومن المهم أن تقوم الجهات المصرية باتخاذ الإجراءات القانونية اللازمة لحماية حقوق المواطنين ومحاسبة المسؤولين عن هذا التسريب الذي وصفه بـ«الخطير»، لكن كيف يمكن للمستخدمين حماية بياناتهم إذن؟

كيف نتجنب الوقوع ضحية لتسريب البيانات الشخصية؟

ويقول الخبراء لـ«الوطن» إن الحل الوحيد لتجنب الوقوع في فخ تسريب البيانات أو سرقتها هو استخدام مواقع موثوقة للتسوق ولتسجيل بياناتك ومعلوماتك الشخصية عليها، وعدم استخدام مواقع غير موثوقة، وتجنب الضغط على أي رابط مجهول.


مواضيع متعلقة