نشر ملايين البيانات الشخصية عقب اختراق شركة اتصالات هولندية: كيف تتحقق إن كنت من الضحايا؟
شهدت هولندا خلال الأيام الماضية جدلاً واسعاً عقب تعرض شركة الاتصالات “Odido” لاختراق إلكتروني نفذته مجموعة القراصنة صائدو النجوم اللامعة “ShinyHunters”، أسفر عن الاستيلاء على ملايين السجلات التي تتضمن بيانات عملاء. وكانت المجموعة قد طالبت بدفع فدية مقابل عدم نشر المعلومات الحساسة، إلا أن الشركة أعلنت رفضها الاستجابة للمطالب مع انتهاء المهلة المحددة.
وعقب ذلك، بدأ قراصنة “ShinyHunters” بنشر البيانات تدريجياً على الدارك ويب، حيث كشفت مؤخراً عن دفعة جديدة تُقدَّر بنحو مليون سجل إضافي.
أولاً.. هل يمكنك معرفة ما إذا كانت بياناتك قد تسرّبت؟
حتى الآن، من الصعب جداً على الأفراد التأكد مما إذا كانت بياناتهم ضمن الملفات المنشورة. فالبيانات متاحة عبر “الدارك ويب” في ملف تقني ضخم يصعب التعامل معه، كما أن تحميله يُعد مخالفة قانونية وفق ما أعلنته الشرطة.
ولتسهيل الأمر على المواطنين، يمكن استخدام موقع للشرطة الهولندية “Check Je Hack” الرسمي للتحقق مما إذا كانت بياناتهم قد ظهرت في تسريبات معروفة. ومن المتوقع أن تُدرج بيانات هذا الاختراق ضمن الموقع في وقت لاحق، دون إعلان موعد محدد. كما أكدت شركة الاتصالات “Odido” أنها ستتواصل مباشرة مع العملاء الذين ثبت تأثرهم.
ثانياً.. ما نوع البيانات التي نُشرت؟
وتشمل البيانات المسربة معلومات شخصية حساسة مثل الأسماء والعناوين وأرقام الهواتف والحسابات البنكية، فيما أكدت المجموعة عزمها مواصلة النشر بشكل يومي لزيادة الضغط.
ويمكن للعملاء التحقق مما إذا كان بريدهم الإلكتروني قد ظهر ضمن البيانات المنشورة عبر موقع الشركة “Have I Been Pwned“، مع الأخذ في الاعتبار وجود فارق زمني بين نشر البيانات ومعالجتها وإتاحتها للبحث.
ثالثاً.. ما المخاطر الفعلية على العملاء؟
رغم أن البيانات المنشورة لا تُعد الأكثر حساسية، فإنها تظل ذات قيمة للمحتالين. فامتلاك الاسم والعنوان يسهل تنفيذ عمليات احتيال موجهة، عبر رسائل بريد إلكتروني أو مكالمات هاتفية تبدو مقنعة.
نظرياً، يمكن استخدام البيانات الحساسة — إذا نُشرت — في انتحال الهوية وطلب خدمات أو إجراء معاملات باسم الضحية. غير أن أنظمة التحقق الحديثة، مثل الهوية الرقمية والخدمات المصرفية الإلكترونية، جعلت هذا النوع من الجرائم أكثر صعوبة.
ومن النقاط اللافتة أن بعض البيانات المسرّبة تتضمن أرقام ضريبة القيمة المضافة لشركات، وهو أمر حساس خاصة بالنسبة للشركات الفردية. ففي الماضي، كانت أرقام ضريبة القيمة المضافة تتضمن رقم الخدمة المدنية (BSN) لصاحب النشاط.
وقد منعت هيئة حماية البيانات الهولندية Autoriteit” Persoonsgegevens” استخدام الرقم الوطني “BSN” لهذا الغرض منذ عام 2018. وبما أن بعض الملفات قديمة، فقد تحتوي على أرقام شخصية فعلية.
رابعاً.. كم بلغت الفدية المطلوبة؟ وهل كان الدفع خياراً منطقياً؟
في البداية، طالبت مجموعة القراصنة “ShinyHunters” بمبلغ يتراوح بين مليون وعشرة ملايين يورو. ولاحقاً، أشارت إلى إمكانية القبول بمبلغ أقل.
الشرطة الهولندية تحذر بشدة من دفع الفدية، لأن ذلك يعزز نموذجاً إجرامياً قائماً على الابتزاز الرقمي، ويشجع على تكرار الهجمات. كما أن الدفع لا يضمن عدم بيع البيانات أو نشرها لاحقاً.
في المقابل، يرى بعض خبراء الأمن السيبراني أن القرار بالنسبة للشركات غالباً ما يكون حساباً اقتصادياً بحتاً: هل تكلفة الفدية أقل من الخسائر المحتملة في السمعة والتعويضات؟ ورغم ذلك، تبقى المخاطرة قائمة في جميع الأحوال.
خامساً.. هل يحق للعملاء المطالبة بتعويض؟
تؤكد شركة الاتصالات “Odido” أن حدوث تسريب بيانات لا يمنح تلقائياً الحق في تعويض. كما تشير إلى عدم وجود دلائل حالية على وقوع أضرار مباشرة.
من جانبها، توضح هيئة حماية الببانات أن التعويض ممكن قانونياً في حال توفرت شروط محددة، من بينها:
- إثبات وقوع ضرر فعلي
- وجود علاقة سببية مباشرة بين التسريب والضرر
- إثبات تقصير الشركة في حماية البيانات
ما الذي ينبغي عليك فعله الآن؟
حتى في حال عدم التأكد من تسرب بياناتك، يُنصح بما يلي:
- توخي الحذر من الرسائل والمكالمات غير المتوقعة
- عدم النقر على روابط مشبوهة
- مراقبة الحسابات البنكية بانتظام
- استخدام كلمات مرور قوية وتفعيل التحقق بخطوتين حيثما أمكن
