اطلاعات کاربران یک تاکسی اینترنتی لو رفت!
رسانه کلیک - اطلاعات کاربران رانندهی یک سرویس تاکسی اینترنتی که احتمال داده می شد، تپسی باشد، لو رفته است. در این مطلب قصد داریم نگاهی به این موضوع داشته باشیم.
صدها هزار صورتحساب مربوط به یک شرکت حمل و نقل اینترنتی در ایران، به دلیل امنیت پایین بانک داده آن لو رفته است. شرکت تپسی ابتدا با انتشار بیانیه ای این موضوع را تکذیب کرد:
در رابطه با اخبار مطرح شده پیرامون نفوذ به سیستم یکی از تاکسیهای اینترنتی که در برخی شبکههای اجتماعی مطرح شده است، تپسی اعلام میدارد: ۱- با بررسیهای صورت گرفته ۱۰۰ درصد مطمئن هستیم که هیچ نوع حمله یا دسترسی به اطلاعات مسافران یا سفرها صورت نگرفته است.
۲- تعداد رانندگان تپسی امروز ۷۵۰ هزار نفر است و در مورد لو رفتن اطلاعات ۶.۵ میلیون راننده مطرح شده، در حال بررسی ارتباط ادله ذکر شده با تپسی هستیم. ۳- امنیت اطلاعات کاربران (مسافران، رانندگان) مهمترین اولویت شرکت است.
اما از آنجایی که بیانیه فوق تنها یک جوابیه شتابزده به حساب می آمد، ساعتی بعد تپسی با انتشار بیانیه تکمیلی لو رفتن اطلاعات نزدیک به 60 هزار کاربر خود را تایید کرد. تپسی در این بیانیه اشاره کرده که اطلاعات لو رفته روی سرورهای جانبی این شرکت نگهداری میشده و به ۶۰ هزار رانندهای که با این شرکت کار میکردند مربوط میشود. متن کامل بیانیه به شرح زیر است:
پس از بررسیهای انجام گرفته توسط تیم امنیت تپسی درباره ادعالی لو رفتن اطلاعات توسط یک حساب توییتری، نتایج به اطلاع کاربران میرسد:
همانگونه که در اطلاعیه نخست نیز ذکر شد اولویت تپسی حفاظت از اطلاعات کاربران است.
بررسیهای تپسی هم ثابت کرد تأکید و سرمایهگذاری این شرکت بر حفاظت اطلاعات کاربران کاملاً بهجا بوده و در شرایط حیاتی کاملاً موثر واقع شده و هیچگونه دسترسی به هیچ نوع اطلاعات مسافران - مانند اطلاعات سفر، مبدا و مقصد و زمان سفر، اطلاعات هویتی و … صورت نگرفته است.
با بررسی دقیقتر موضوع، تیم امنیت تپسی متوجه تلاش برای تعدادی نفوذ با منشا خارجی به سرورهای این شرکت شد که تنها یکی از سرورهای جانبی مورد نفوذ هکرها با آدرس آیپی متعلق به کشور اوکراین قرار گرفته است که فاکتورهای ۶۰ هزار راننده فعال جهت حسابرسی مالیاتی در سالهای ۹۵ و ۹۶ روی آن نگهداری میشدند. منشا و هدف اصلی این نفوذ خارجی قبرای تپسی مشخص نیست و همکاری تیم امنیت تپسی با پلیس فتا و مرکز ماهر در این زمینه ادامه دارد.
طی هفتههای اخیر تپسی و سایر استارتآپهای ایرانی با محدودیتهای ناشی از تحریمهای فناوری مواجه بودهاند. به رغم تمامی مشکلات اعم از تحریمها و تلاش گسترده برای نفوذ اینترنتی، تپسی همچنان مصمم به ارایه خدمات باکیفیت، امن و مناسب به کاربران است.
موارد لورفته شامل اطلاعات شخصی، از جمله نام، نام خانوادگی، شماره ملی و تاریخ صورتحسابها بوده است.
ولادیمیر دیاچنکو، کارشناس امنیت سایبری، در جستجوهایش روی بانکهای دادهای که دسترسی عمومی به آنها وجود دارد، متوجه میشود که اطلاعات بانک داده یک شرکت حمل و نقل به طور عمومی در دسترس است.
پس از اعلام این موضوع از طرف آقای دیاچنکو و تماس او با مرکز ماهر ، مسئول امداد و هماهنگی در وقایع سایبریِ ایران، امنیت اطلاعات بانک داده افشاشده برقرار شد.
اسنپ نیز با انتشار بیانیه ای در خصوص این موضوع واکنش نشان داده بود:
طبق بررسیهای به عمل آمده اطلاعات لورفته کاربران «یک شرکت حملونقل» مربوط به سامانه اسنپ نیست. تیم امنیت سایبری اسنپ همواره حداکثر تلاش خود را برای حفاظت از اطلاعات کاربران راننده و مسافر این سامانه به کار میگیرد.
روز گذشته محمدجواد آذری جهرمی، وزیر ارتباطات ایران، در توئیتی گزارشها درباره لو رفتن اطلاعات را تایید کرد و آن را «هشدار جدی» برای کسب و کارهای اینترنتی توصیف کرد.
باید منتظر باشیم و ببینم گزارش مرکز ماهر در خصوص این موضوع چه خواهد بود؟