افشای اطلاعات کاربران یک شرکت حمل و نقل اینترنتی

به گزارش تابناک جوان صبح روز پنج شنبه خبری منتشر شد که حکایت از آسیب پذیری امنیتی یک شرکت حمل و نقل اینترنتی داشت. ظواهر نشان می داد که اطلاعات کاربران و رانندگان این شرکت در خطر افشا شدن هستند.

صدها هزار صورتحساب مربوط به یک شرکت حمل و نقل اینترنتی در ایران، به دلیل امنیت پایین بانک داده آن لو رفته است.

صورتحساب‌های لورفته شامل اطلاعات شخصی، از جمله نام، نام خانوادگی، شماره ملی و تاریخ صورتحساب‌ها بود.

ولادیمیر دیاچنکو، کارشناس امنیت سایبری، در جستجوهایش روی بانک‌های داده‌ای که دسترسی عمومی به آنها وجود دارد، متوجه می‌شود که اطلاعات بانک داده یک شرکت حمل و نقل به طور عمومی در دسترس است.

پس از اعلام این موضوع از طرف آقای دیاچنکو و تماس او با مرکز "ماهر"، مسئول امداد و هماهنگی در وقایع سایبری در ایران، امنیت اطلاعات بانک داده‌ افشاشده برقرار شد.

وزیر ارتباطات ایران "آسیب‌پذیری" اطلاعات یک شرکت حمل و نقل را تایید کرده و از پیگیری ماجرا توسط مرکز ماهر خبر داده است.

ولادیمیر دیاچنکو گفته است که اطلاعات مورد اشاره سه روز به طور عمومی روی اینترنت در دسترس بوده است.

به گفته او ۶.۷ میلیون مدخل اطلاعاتی در دسترس بودند که به دلیل تکراری بودن برخی از مدخل‌ها، در مجموع بین یک تا دو میلیون صورتحساب در بانک داده مذکور وجود داشته که به سال‌های ۱۳۹۵ و ۱۳۹۶ برمی‌گردند.

آقای دیاچنکو همچنین گفت این امکان وجود دارد که بانک داده لو رفته، در واقع بانک داده شرکت حمل و نقل اینترنتی نباشد، بلکه بزهکاران سایبری اطلاعاتی را از یک شرکت دزدیده و در ذخیره آن بی‌احتیاطی کردند.

ولادیمیر دیاچنکو، کارشناس امنیت سایبری، در جستجوهایش روی بانک‌های داده‌ای که دسترسی عمومی به آنها وجود دارد، متوجه می‌شود که اطلاعات بانک داده یک شرکت حمل و نقل به طور عمومی در دسترس است.

پیشتر هر دو شرکت اسنپ و تپسی لو رفتن اطلاعات رانندگانشان را تکذیب کرده‌اند.

تپسی سپس در بیانیه‌ای دیگر گفت که هکرهایی با آدرس آی‌پی از کشور اوکراین به یکی از سرورهای آن نفوذ کردند و "سیستم‌های پیشرفته حفاظتی" اجازه نفوذ بیشتر را به آنها ندادند.

این شرکت همچنین در بیانیه‌اش گفته است که با "محدودیت‌های ناشی از تحریم‌های فناوری" مواجه بوده است. هرچند اشاره نکرده است که تحریم‌های ادعایی چه ارتباطی با نشت اطلاعات رانندگانش دارد.

«با بررسی دقیق‌تر موضوع، تیم امنیت تپ‌سی متوجه تلاش برای تعدادی نفوذ با منشا خارجی به سرورهای این شرکت شد که تنها یکی از سرورهای جانبی مورد نفوذ هکرها با آدرس آی‌پی متعلق به کشور اوکراین قرار گرفته است که فاکتورهای ۶۰ هزار راننده فعال جهت حسابرسی مالیاتی در سال‌های ۹۵ و ۹۶ روی آن نگهداری می‌شدند. سیستم‌های پیشرفته حفاظتی تپسی اجازه نفوذ بیشتر به سرورهای اصلی را نداده‌اند. منشا و هدف اصلی این نفوذ خارجی برای تپسی مشخص نیست و همکاری تیم امنیت تپ‌سی با پلیس فتا و مرکز ماهر در این زمینه ادامه دارد.»

نکته مهم اینجاست که تپ‌سی تعداد رانندگانی که اطلاعات آنها در فاکتورهای سال ۹۵ و ۹۶ وجود داشته را ۶۰ هزار نفر بیان کرده است. چراکه تعداد افرادی که اطلاعاتشان به دلیل وجود آسیب‌پذیری امنیتی در معرض خطر بوده، روز گذشته محل بحث بود. «باب دیاچنکو»، پژوهشگر امنیتی شرکت «Security Discovery» اعلام کرده بود که حدود ۶.۸ میلیون فاکتور در این دیتابیس وجود دارد اما این اطلاعات، مربوط به سفرهای انجام شده است و نمی‌توان دقیقاً گفت که اطلاعات چه تعدادی راننده، در معرض خطر بوده است. اما حالا تپ‌سی این عدد را ۶۰ هزار نفر اعلام کرده است. در دیتابیس آسیب‌پذیر، اطلاعاتی مانند نام و نام خانوادگی راننده، کد ملی ۱۰ رقمی، شماره موبایل و همچنین تاریخ تراکنش (فاکتور) وجود داشته است.

از سوی دیگر تپ‌سی در بیانیه‌اش خبر از تلاش برای نفوذ به سرورها و هک اطلاعات می‌دهد در حالی که پژوهشگر امنیتی Security Discovery، اعلام کرده بود که این دیتابیس از نوع مانگودی‌بی را از طریق موتور جستجوی «BinaryEdge» کشف کرده و از همان زمان هم تلاش داشته تا اطلاعات را برای مرکز ماهر ایران ارسال کند. با این حال به نظر می‌رسد که تپ‌سی همچنان عقیده دارد که یکی از سرورهای جانبی مورد نفوذ قرار گرفته است.

اما اکنون یک سوال کلیدی مطرح است: آیا اطلاعات ۶۰ هزار راننده فعال در تپ‌سی به شکل عمومی منتشر شده است؟ پاسخ به این سوال منفی است. به شکل خلاصه، یکی از دیتابیس‌های جانبی تپ‌سی آسیب‌پذیر و رمزگذاری نشده بوده است. یک کارشناس امنیتی با استفاده از یک موتور جستجوی مخصوص این آسیب‌پذیری را کشف می‌کند و سپس تلاش می‌کند با مرکز ماهر و اسنپ و تپسی تماس بگیرد تا مشکل را حل کنند. در واقع خطر انتشار عمومی این دیتابیس وجود داشته است. آنطور که همین پژوهشگر امنیتی می‌گوید مشکل اکنون حل شده و دیتابیس امن است. در حال حاضر نیز به نظر می‌رسد تنها کسانی که به دیتابیس ۶۰ هزار راننده فعال تپ‌سی دسترسی دارند، خود پژوهشگر امنیتی، پلیس فتا و مرکز ماهر باشند.

در ادامه بیانیه منتشر شده از سمت شرکت تپسی را می خوانیم :

پس از این واقعه مدیر کل حقوقی سازمان فناوری اطلاعات ایران در مصاحبه ای با ایرنا عنوان کرد اگر لایحه صیانت از داده های شخصی که نزدیک 5ماه است در کمیسیون فرعی هیات دولت مطرح شده، زودتر تصویب شود، قطعا از پیش آمدن مسائل این چنین جلوگیری خواهد کرد.

فارغ از این که این اطلاعات مربوط به کدام تاکسی اینترنتی بوده است، اگر بخواهیم از بعد حقوقی به آن نگاه کنیم، مدیر کل حقوقی سازمان فناوری ایران، جزو بهترین افرادی است که می تواند در این خصوص اظهار نظر کند.

«محمدجعفرنعناکار» در گفت و گوی اختصاصی با ایرنا گفت: ما در این مورد با چند چالش رو به رو هستیم که مدت هاست از سوی حقوقدان های حوزه آی تی پیگیری می شود. سازمان فناوری اطلاعات ایران و مراکز دیگر پیگیر این مسئله هستند اما برای رسیدن به نتیجه، نیاز است سازمان های مختلف به شکل جمعی به این مسئله ورود کنند.
تاکسی های اینترنتی در ایران همواره با مشکل مجوز رو به رو هستند؛ نعناکار با اشاره به این مسئله گفت: سوال اصلی این است که تاکسی های اینترنتی باید از چه نهادی مجوز دریافت کنند؟ چیزی که قانون در باب حوزه تاکسی های اینترنتی مطرح می کند این است که سازمان تاکسیرانی باید مجوز فعالیت آن ها را صادر کند.

** نقص جدی متوجه پلت فرم هاست
وی در ادامه گفت: هر نوع عملیات درون شهری که قرار است اتفاق بیفتد باید از سوی سازمان تاکسیرانی مورد بررسی قرار بگیرد و ممیزی های لازم در خصوص رانندگان، شیوه کار و پلتفرم اعمال شود. در واقع موضوع اصلی بحث در این حوزه، پلتفرم ها هستند که نقص های جدی متوجه آن هاست.

این کارشناس حقوقی ادامه داد: از آن جایی که پلتفرم های ارائه خدمات تاکسی اینترنتی اطلاعات راننده، بخشی از اطلاعات مسافر و نیز آدرس های افراد را دریافت و ضبط می کنند، نیاز است که روی شیوه کار آن ها بررسی هایی صورت بگیرد، بررسی هایی که موجب می شود هم امنیت این داده ها حفظ ،و هم کارکرد نرم افزارها تائید شود.
مدیرکل حقوقی سازمان فناوری اطلاعات با اشاره به این که مراکزی در ایران هستند که روی این مسائل کار می کنند، افزود: سازمان «افتا» که کار اصلی آن صدور گواهی های امنیت است و شورای عالی انفورماتیک سابق (در حال حاضر وظایف آن به سازمان فناوری اطلاعات ایران منتقل شده) که تاییدیه فنی نرم افزارها را صادر می کند و همین طور سازمان نظام صنفی رایانه ای کشور که به این پلتفرم ها گواهی فعالیت می دهد، مجموعه هایی هستند که روی چنین مسائلی کار می کند.

** افشای هفت میلیون رکورد فاجعه است
وی افزود: اگر نهادهای مرتبط همکاری لازم را انجام دهند و با یکدیگر برای صیانت از مردم همکلام شوند، اتفاقات خوبی رخ خواهد داد. در حال حاضر طبق خبری که منتشر شده، نزدیک هفت میلیون رکورد لو رفته است و به نظر من این فاجعه امنیتی در حوزه داده های شخصی است.
نعناکار این مسئله اشاره کرد که باید دادستانی به موارد اینچنین ورود کند: دادستانی باید به عنوان مدعی العموم زودتر از بقیه به مسائل این چنین ورود کند. این طور نباشد که یک خبری پخش شود و بعد از چند ساعت و چند روز منتظر واکنش این دستگاه باشیم.
نکته مهم این است که اگر فعالیتی نیز صورت بگیرد مردم آن را حس نمی کنند، ممکن است میان دستگاه ها نامه و دستوری رد و بدل شود، اما مردم متوجه این پیگیری ها نمی شوند. در حالی که آن ها اولین کسانی هستند که باید بدانند نهاد و مجموعه ای برای صیانت از داده های شخصی آن ها قدم برداشته و به این واسطه امنیت روانی شان تضمین شود.
مدیر کل حقوقی سازمان فناوری ایران در پایان گفت: در موضوع آسیب پذیری امنیتی که رخ داده، احتمالا عمدی در بین نبوده و صرفا قصوری رخ داده اما به هر حال این مسائل باید شناسایی و در خصوص آن اقدامات قضایی صورت بگیرد.