لقطة من تطبيق “كريم” لطلب السيارات.
أعلنت شركة “كريم” (Careem) المتخصّصة بنقل الركاب في الشرق الأوسط وتركيا وباكستان، والتي تتّخذ من دبي مقرّاً لها، يوم الاثنين الفائت، أنّها قد علمت في 14 يناير/كانون الثاني بتعرّضها “لهجوم إلكتروني” طال المعلومات الشخصية لأكثر من 14.5 مليون مستخدم وسائق، بما في ذلك سجلّات رحلاتهم.
وقال متحدّث رسمي من “كريم” إنّ سجلّات الشركة تُظهر أنّ النظام قد اختُرق للمرّة الأولى في ديسمبر/كانون الأول 2017، ولكنّها لم تكتشفه حتّى 14 يناير/كانون الثاني.
كان لدى “كريم” في وقت الهجوم 14 مليون عميل و558 ألف سائق مسجّلين على منصّتها، وكون القراصنة تمكّنوا من الولوج إلى نظام “كريم” فقد أمكنهم الوصول إلى جميع أسماء المستخدمين وعناوين البريد الإلكتروني وأرقام الهواتف وسجلّات بيانات الرحلات التي تحدّدها “كريم” بأنّها نقطة الانطلاق ونقطة الوصول لكلّ عميل. وأصرّت الشركة في بيانها الصحفي الذي يصف الحادثة على أنّه لا دليل على تمكّن منفّذي الاختراق من الوصول إلى كلمات المرور ومعلومات الدفع التي تُخزّن على “مخدم خارجي مستضاف من قبل طرف ثالث ومتوافق مع بروتوكول PCP“، وهي تقنية تستخدمها أيضًا البنوك لحماية البيانات المالية.
أصدرت “كريم” معلومات ضئيلة حول هذا الموضوع رغم تأخّر الكشف عن الخرق لمدة ثلاثة أشهر، موضحةً فقط أنّ “القراصنة تمكنوا من الوصول إلى نظام نستخدمه لتخزين المعلومات“. كما ذكرت أنّها “تعاونت مع كبار خبراء الأمن الإلكتروني” من دون أن تقدّم معلومات أكثر تفصيلاً عن الخطوات المحددة التي اتخذتها أو ستتخذها لمنع حدوث انتهاك مماثل من جديد. ولدى سؤال “سميكس” (SMEX) عن أيّ دور لجهات حكومية في هذا الخرق، رفض المتحدّث باسم الشركة التكهن بهوية المجرمين، لكنّه شدّد على أن الشركة “تواصل العمل مع المسؤولين عن إنفاذ القانون للتحقيق في الأمر”.
تسمح البيانات المخترقة للمقرصنين برسم صورة شاملة لحياة المستخدم اليومية والأماكن التي يتردّدون إليها، كما يمكن أن تكون مفيدة لأجهزة الأمن في بلدان المنطقة. ومن الأمثلة على ذلك، اهتمام الأجهزة الأمنية في مصر، البلد الذي يشكّل حوالي نصف مجموع أعمال “كريم”، منذ فترة طويلة بالحصول على هذه المعلومات. وفي عام 2017، طلب الوزراء المصريون من المسؤولين التنفيذيين في شركة “كريم” الحصول على بيانات الرحلات، ومن مديري شركة “أوبر” (Uber) الوصول إلى ميزة “Heaven” (وهي نظام متابعة مباشرة ولحظية على خريطة رقمية لكافة السائقين)، ما من شأنه أن يسمح للأمن بمشاهدة بيانات حية عن رحلات المستخدمين. وكذلك قدّمت مصر مؤخراً مشروع قانون لشركات طلب السيارات “يوجب توفير جميع قواعد البيانات والمعلومات الخاصة التي تجمعها ’أوبر‘ أو غيرها من شركات طلب السيارات إلى سلطات غير المحددة“.
تشجّع “سمكس” شركة “كريم” على نشر نتائج التحقيق للعامة بمجرد انتهائها.