تشدید نگرانی‌ها از مشکلات «شاد» با بازگشت تعطیلی‌ها

یک اپلیکیشن بی‌رقیب

تعطیلی مدارس شهرهای غربی کشور و روی آوردن به آموزش آنلاین ‌بار دیگر باعث شده است تا بحث‌های مربوط به مشکلات اپلیکیشن شاد داغ شود. استفاده از این اپلیکیشن از نخستین ماه‌های همه‌گیری ویروس کرونا آغاز شد؛ زمانی که دانش‌آموزان ناچار به استفاده از آموزش مجازی شدند و شاد تنها راه ارتباطی برای ارتباط آنها با مدارس قرار گرفت. البته با وجود مزایای بسیاری که این اپلیکیشن توانست در راه آموزش آنلاین به همراه بیاورد، از همان ابتدا، یعنی سال ۱۳۹۹ با نارضایتی‌های بسیاری از سوی دانش‌آموزان و والدین مواجه شد؛ کاستی‌هایی که با وجود تلاش‌های وزارت آموزش‌وپرورش برای رفع مشکلات همچنان وجود دارند. 

مرضیه ادهم، کنشگر اینترنت و پژوهشگر حوزه فضای مجازی، در خصوص اپلیکیشن شاد و چالش‌های مربوط به آن به «دنیای اقتصاد» می‌گوید: «در حوزه فناوری و نوآوری، اپلیکیشن‌ها به میزان قابل توجهی از محدودیت‌های زمان و مکان در آموزش کاسته‌اند و در این راستا کمک شایانی ارائه می‌دهند. بحرانی نظیر همه‌گیری کرونا با ایجاد نیاز به یک آموزش اجباری برای تمامی افراد، دسترسی به این فناوری را هم تسهیل کرد که از این منظر یک نکته مثبت تلقی می‌شود. اما اینکه آیا اپلیکیشن شاد در ایران این ظرفیت را داشته است که به تنهایی مسوولیت بحث آموزش بی‌زمان و بی‌مکان را بر عهده بگیرد، موضوعی است که بارها مورد تردید قرار گرفته.»

ادهم درباره مشکلات مربوط به اپلیکیشن شاد توضیح می‌دهد: «قطع و وصل‌های مکرر شاد در روزهای آلودگی هوا در سال گذشته اعتراض بسیاری از معلمان را برانگیخت. بسیاری از والدین نیز اعلام می‌کردند که این اپلیکیشن به درستی کار نمی‌کند و این مساله سبب شد که از نظر فنی انتقادهایی وجود داشته باشد. بنابراین ماهیت و ذات آموزش از راه دور امری مطلوب است که در مواقع بحرانی امکان آموزش را فراهم می‌کند، اما شاید یکی از دلایل اینکه چرا این زیرساخت توسعه پیدا نمی‌کند، وجود انحصار و عدم حضور رقیب باشد. به دلیل اطمینان از حضور در یک انحصار خاص توجه چندانی به بهبود کیفیت آن نمی‌شود؛ درست مشابه مسیری که در صنعت خودرو شاهد آن هستیم.»

این کارشناس همچنین معتقد‌ است که آموزش از راه دور نمی‌تواند به‌طور کامل جایگزین آموزش حضوری شود؛ موضوعی که در دوران همه‌گیری کرونا نیز به اثبات رسید. ادهم در این خصوص به «دنیای اقتصاد» می‌گوید: «در آن زمان بسیاری پیش‌بینی می‌کردند که پس از دوران قرنطینه نهادهایی مانند مدرسه و دانشگاه از بین رفته و آموزش از راه دور جایگزین آنها می‌شود یا دورکاری رواج خواهد یافت، اما تجربه نشان داد که بازدهی به آن میزان بالا نبود و بسیاری از این نهادها دوباره به حالت حضوری خود بازگشتند. 

این امر به دلیل اهمیت روابط اجتماعی، مهارت‌هایی که تنها در تعاملات حضوری شکل می‌گیرند و همچنین سبک تدریس برخی اساتید که بیشتر به صورت آفلاین است، رخ داد. با این حال اتفاقی که در دوران کرونا رخ داد، اهمیت فزاینده فناوری‌های همراه و وجود وسایل کمک‌آموزشی آنلاین بود که بسیار راهگشا بود. به هر حال برای مناطق محروم و افرادی که در نقاط دورافتاده زندگی می‌کنند، دسترسی به همان محتوای آموزشی موجود در داخل تهران، گامی به سوی عدالت آموزشی بود.» ادهم تحقق کامل این امر را مستلزم آن می‌داند که سرعت و کیفیت اینترنت و همچنین کیفیت اپلیکیشن‌ها در حدی باشد که بتوانند این اهداف را پشتیبانی کنند.

اکنون مهم‌ترین اعتراض‌های کاربران برای استفاده از اپلیکیشن شاد به مشکلات فنی آن بازمی‌گردد. این افراد معتقدند که قطع و وصل‌های مکرر، سرعت پایین بارگذاری محتوا، مشکلات نصب و به‌روزرسانی، عدم سازگاری با برخی دستگاه‌ها و مشکلات مربوط به احراز هویت، فعالیت آنها را با چالش‌های متعددی مواجه کرده است. همچنین در این بین مصرف اینترنت نیز مزید بر علت بوده است. دانش‌آموزها، والدین و معلم‌ها از بالا بودن مصرف اینترنت اپلیکیشن شاد گلایه داشته‌اند؛ به ویژه در مواردی که بسته‌های اینترنت رایگان یا با تخفیف، استفاده از شاد را به‌طور کامل پوشش نمی‌داد.

حواشی یک حفره امنیتی

البته این مشکلات تنها دلایل نارضایتی‌ها نیستند و اکنون شک و شبهه‌هایی در خصوص وجود حفره امنیتی در این اپلیکیشن شاد هم وجود دارد؛ خبری که هر چند در کوتاه‌مدت از سوی روابط عمومی این اپلیکیشن تکذیب شد، اما همچنان نگرانی‌های جدی درباره آن وجود دارد. در اوایل اردیبهشت ماه امسال خبری درباره برداشت از حساب بانکی یکی از والدین از طریق اپلیکیشن شاد منتشر شد که در واکنش به آن، روابط عمومی این اپلیکیشن بیانیه‌ای صادر و اعلام کرد که زیرساخت‌های این اپلیکیشن به‌ صورت مداوم توسط تیم‌های فنی و امنیتی بررسی و تقویت می‌شوند و امنیت اطلاعات کاربران از اولویت‌های اصلی در سامانه شاد است.

آرین اقبال، کارشناس شبکه، درباره امنیت شبکه شاد به «دنیای اقتصاد» می‌گوید: «امنیت اساسا دارای فرآیندی است که شامل پیروی از رویه‌ها، انتشار آزاد اطلاعات، نگارش مقالات فنی به هنگام بروز نقص یا شناسایی آسیب‌پذیری می‌شود. همچنین فرآیندی است که به اشتراک‌گذاری با متخصصان جهت پیشگیری از تکرار در آینده و همچنین اطلاع‌رسانی به کاربران در خصوص نوع اطلاعات منتشر شده از آنها می‌شود. در ادامه کاربران با بهره‌گیری از توصیه‌های متخصصان امنیتی می‌توانند از وقایع پس از آن جلوگیری کنند. این در حالی است که در ایران طی چند دهه‌ای که سامانه‌های دیجیتال، الکترونیک و سایر موارد مشابه بر بستر اینترنت فعال بوده‌اند، مشاهده نشده است که سازمان، نهاد، بانک یا شرکتی مسوولیت هک شدن یا انتشار اطلاعات مردم را بپذیرد. این در حالی است که گاهی این اطلاعات در فضای اینترنت منتشر شده‌اند و تنها به تکذیب موضوع بسنده شده است. طبیعتا این اطلاعات حتی اگر به تنهایی برای یک فرد عادی خطرناک نباشد، برای افراد خاصی که انتشار اطلاعات برایشان مخاطره‌آمیز است، می‌تواند در حملات دیگر که عموما از نوع مهندسی اجتماعی و موارد مشابه هستند مورد سوءاستفاده قرار گیرد.»

آرین اقبال همچنین درباره موضوع امنیت اطلاعات در ایران توضیح می‌دهد: «متاسفانه در مواردی داده‌های مردم منتشر شده است. یکی از دلایلی اصلی آن این است که نهادها و سازمان‌ها پس از هک شدن، اعلام نمی‌کنند که هک شده‌اند. این اطلاعات منتشر شده است و آنها اقدامات لازم را انجام داده‌اند و مردم نیز باید اقدامات خاصی را برای جلوگیری از تبعات بعدی آن انجام دهند. در حالی که صرف‌نظر از میزان رعایت استانداردهای امنیتی که در بسیاری از سامانه‌های داخلی جای بحث دارد، عوامل متعددی بر یک سامانه یا نرم‌افزار تاثیرگذار هستند که از کنترل یک فرد یا حتی یک مجموعه بزرگ خارج است. به عنوان مثال، نرم‌افزار روی یک سیستم‌عامل اجرا می‌شود و در صورت کشف یک باگ روز صفر در آن سیستم‌عامل، سامانه هک خواهد شد. این یک امر ساده و بسیار رایج است. بنابراین این اطلاعات می‌توانند منتشر شوند و اقدامات پس از آن محل بحث است.»

اقبال معتقد است در خصوص خبر منتشر شده درباره هک اپلیکیشن شاد موارد گفته شده، بعید به نظر می‌رسند. او در این باره توضیح می‌دهد: «ما در بانک‌های خود سیستم برداشت خودکار یا برداشت اعتباری نداریم که از طریق هک شاد بتوان از حساب افراد پول برداشت کرد. شاد اساسا به بانک ارتباطی ندارد. حتی اگر شاد اطلاعات بانکی افراد را برای مقصود خاصی جمع‌آوری می‌کرد، ما مانند سایر کشورها نیستیم که صرفا با داشتن شماره کارت اعتباری بتوان از حساب برداشت کرد. در ایران برای برداشت وجه باید از طریق سامانه شاپرک اقدام و شماره کارت وارد کرد. پس از آن رمز پویا دریافت می‌کنیم و بعد از مشاهده مبلغ، آن را تایید می‌کنیم تا برداشت انجام شود. بنابراین خبر منتشر شده بعید و احتمالا مربوط به حملات فیشینگ و مهندسی اجتماعی است؛ همان‌طور که در خبر نیز به آن اشاره شده است.»

در بیانیه روابط عمومی اپلیکیشن شاد در این رابطه هم آمده است: «متاسفانه در برخی موارد، کاربران به‌ صورت ناآگاهانه اطلاعات شخصی و رمز پویای (OTP) خود را در اختیار تماس‌گیرندگان یا کانال‌های جعلی قرار می‌دهند. این تماس‌ها که با هدف فریب کاربران و دریافت کد ورود انجام می‌شوند، نمونه‌ای از حملات «مهندسی اجتماعی» هستند. در حملات مهندسی اجتماعی، مهاجم به‌جای هک کردن سامانه‌ها، مستقیما ذهن و اعتماد افراد را هدف قرار می‌دهد. هکر با معرفی خود به عنوان یک فرد مورد اعتماد (مثلا مدیر مدرسه یا پشتیبان شاد)، از فرد می‌خواهد کدی را که دریافت کرده، برای او بخواند یا برایش ارسال کند.

این در حالی است که این کد، همان رمز یک‌بار مصرف ورود به حساب کاربری اوست. همچنین در مواردی دیگر، لینک‌های جعلی (Phishing) که از طریق کانال‌های غیررسمی در شاد منتشر می‌شوند یا تماس‌های صوتی مشکوک (Vishing)، کاربران را به صفحات تقلبی هدایت می‌کنند تا بتوانند اطلاعات مهم‌شان را سرقت ‌کنند. سامانه شاد همواره بر مسوولیت اجتماعی خود در حوزه امنیت دیجیتال پایبند بوده و تاکنون کمپین‌های متعدد آموزشی برای آگاهی‌بخشی به خانواده‌ها و دانش‌آموزان برگزار کرده است. آموزش‌های مربوط به امنیت حساب کاربری، شناسایی لینک‌های مشکوک و فعال‌سازی لایه‌های حفاظتی در بسترهای رسمی شاد در دسترس همگان قرار دارد.»

این کارشناس شبکه، حمله‌های انجام شده را مربوط به نقص امنیتی می‌داند و بیان می‌کند: «مهاجمان احتمالا با استفاده از یک نقص امنیتی در شاد که به دلیل عدم انتشار اطلاعات فنی نمی‌توان در مورد وجود یا عدم وجود آن اظهارنظر دقیقی کرد یا با سوءاستفاده از اطلاعاتی که در اثر هک‌ها و آسیب‌پذیری‌ها و انتشار اطلاعات قبلی در موارد دیگر به دست آورده‌اند، توانسته‌اند اعتماد قربانی را جلب کرده و در جریان یک تعامل در بستر شاد با فریب دادن او از حسابش پول برداشت کنند. این یک فرآیند ساده کلاهبرداری از نوع مهندسی اجتماعی و فیشینگ است؛ به این صورت که یا لینکی برای قربانی ارسال می‌کنند که ادعا می‌کند متعلق به تیم مدیریتی شاد است یا برای ادامه استفاده از شاد نیاز به پرداخت وجه وجود دارد. البته این‌ موارد صرفا مثال هستند و اطلاعات قطعی نیستند.»

او در خصوص دیگر سناریوهای مطرح شده در این زمینه می‌گوید: «سناریوهای دیگری نیز وجود دارند، مانند پیامک‌های جعلی مربوط به پرونده‌های قضایی که برای افراد ارسال می‌شود و ادعا می‌کنند که آنها پرونده‌ای دارند و برای مشاهده آن باید روی لینک زیر کلیک کنند. پس از کلیک روی لینک، صفحه‌ای باز می‌شود و درخواست پرداخت وجه برای مشاهده پرونده می‌کند. در صورت عدم هوشیاری، فرد پرداخت را انجام می‌دهد و پول از حسابش برداشت می‌شود. یا اینکه در فرآیندی، فرد را وادار به شرکت در یک بازی کلاهبرداری می‌کنند و در نهایت با فریب دادن او از حسابش پول برداشت یا از هویتش سوءاستفاده می‌کنند. 

احتمالا تمام این موارد از این جنس بوده‌اند؛ یعنی یا یک حمله فیشینگ بر بستر شاد یا یک حمله مهندسی اجتماعی بر بستر شاد رخ داده است و احتمالا ارتباطی با خود شاد نداشته است. درصد کمی احتمال دارد که از یک نقص امنیتی در شاد برای متقاعد کردن قربانی استفاده شده باشد، اما اهمیت اصلی با خود مهندسی اجتماعی است. این نتیجه یک دوره طولانی تکذیب هک یا نشت داده توسط سازمان‌های مختلف است؛ به این معنا که مردم به اندازه کافی در مقابل حملات مختلف از این دست آموزش ندیده‌اند.»

در نهایت کارشناسان معتقدند که با توجه به اینکه عمده استفاده از اپلیکیشن شاد توسط دانش‌آموزها اتفاق می‌افتد، باید از عدم وجود هرگونه حفره امنیتی در این اپلیکیشن اطمینان کامل پیدا کرد؛ به‌گونه‌ای که فعالیت دانش‌آموزان کم سن و سال بیش از پیش در این بستر ایمن تلقی شود.