اطلاعات دو میلیون راننده ایرانی روی اینترنت قرار گرفت!
آیتیمن: گزارش یک محقق آلمانی از صبح امروز غوغای زیادی را در فضای مجازی برپا کرد. او مدعی شد اطلاعات بیش از 6.7 میلیون نفر از رانندگان یک شرکت آژانس اینترنتی لو رفته است. او مدعی شد این اطلاعات متعلق به یکی از شرکتهای تپسی یا اسنپ است.
اسنپ بلافاصله واکنش نشان داد و اعلام کرد این اطلاعات متعلق به این شرکت نیست. شرکت تپسی اما واکنش محتاطانهای به این خبر داشت و اعلام کرد قطعا این اطلاعات مربوط به مسافران نیست. اما این شرکت درباره این که آیا این اطلاعات مربوط به رانندگان است موضوع قطعی نگرفت و گفت در حال بررسی این موضوع است با این حال این شرکت اکنون 750 هزار راننده دارد.
اطلاعات لو رفته، کمتر از 2 میلیون نفر
بررسی اطلاعات منتشر شده نشان میدهد تعداد زیادی از این اطلاعات تکراری بوده است. خود باب دیاچنکو محقق آلمانی افشا کننده این اطلاعات در این باره توضیح داد که با توجه به تکراری بودن این اطلاعات، احتمالا اطلاعات یک تا دو میلیون نفر در این فایل است.
در این فایل اسم، شماره تلفن و کد ملی رانندگان منتشر شده که به راحتی برای فیشینگ و سواستفاده از حریم شخصی آنها قابل سواستفاده است.
وزیر ارتباطات تایید کرد
یکی از اتفاقات جالب واکنش سریع وزارت ارتباطات به این موضوع بود. محمد جواد آذری جهرمی وزیر ارتباطات و فناوری اطلاعات در توییتر خود نوشت: «گزارش منتشر شده در مورد وجود آسیبپذیری در نگهداری اطلاعات یک شرکت حمل و نقل اینترنتی، صحت دارد. بررسی تکمیلی در جریان است و گزارش آن رسما از طریق مرکز ماهر منتشر خواهد شد. این یک هشدار جدی برای کسب و کارهای اینترنتی بود. در امنیت اطلاعات کاربران جدیتر باشید». البته هنوز گزارش رسمی مرکز ماهر منتشر نشده است.
اشتباه ساده تیم امنیتی، عامل لو رفتن اطلاعات
به نظر میرسد یک اشتباه ابتدایی و ساده این آژانس اینترنتی علت لو رفتن اطلاعات است.
باب دیاچنکو، محقق امنیتی آلمانی که برای اولینبار به این نقض اطلاعاتی اشاره کرده بود در این باره با آزمایشگاه امنیتی سرتفا گفتوگو کرده و توضیح داده است: عموما برای پیدا کردن سرنخهای مرتبط با نقض اطلاعات در اینترنت از موتورهای جستجوی هوشمند نظیر شودان، باینریاج و… استفاده میکنم و زمانیکه با پایگاههای داده حاوی اطلاعات حساس و در دسترس عموم برخورد میکنم، تلاش میکنم تا با صاحبان آنها مکاتبه کنم تا دسترسی عمومی به اطلاعات حساس نشت داده شده محدود شود.
در این مورد، پایگاه دادهای از نوع مانگو دیبی (MongoDB) توسط موتورهای جستوجو در تاریخ ۱۶ آوریل ۲۰۱۹ (۲۷ فرودین ۱۳۹۷) ثبت شده بود. این پایگاه داده با نام «doroshke-invoice-production» اطلاعات مختلفی را بهصورت عمومی در دسترس همه قرار داده بود. اطلاعاتی که شامل نام و نام خانوادگی راننده، کد ملی، شماره تلفن و تاریخ فاکتورهای مرتبط با سالهای ۹۵ و ۹۶ است.
وی افزود: از آنجا که دو شرکت فعال و بزرگ در ایران در زمینه حمل و نقل فعالیت دارند، احتمال میرفت که این دادهها متعلق به شرکت اسنپ یا شرکت تپسی باشد. من به هر دوی این شرکتها برای محدود کردن دسترسی عمومی به این اطلاعات پیام فرستادم، اما مشخص نیست که این اطلاعات مربوط به کدام یک از آنها بوده و چه کسی دسترسی عمومی به آن را محدود کرده است.
این محقق گفت: پایگاه دادهها هم اکنون امن است اما اینکه چه کسی آن را پایین کشیده (دسترسی عمومی را محدود کرده) است مشخص نیست.