«تپ‌سی» هک شدن یکی از سرورهایش را تایید کرد

 
آی‌تی‌من- گزارش یک محقق آلمانی در دو روز گذشته غوغای زیادی در فضای مجازی برپا کرد. او مدعی شد اطلاعات بیش از 7/6 میلیون نفر از رانندگان یک شرکت آژانس اینترنتی ایرانی لو رفته و این اطلاعات متعلق به یکی از شرکت‌های تپسی یا اسنپ است.

اسنپ بلافاصله واکنش نشان داد و اعلام کرد این اطلاعات متعلق به این شرکت نیست. شرکت تپسی اما ابتدا واکنش محتاطانه‌ای به این خبر داشت و اعلام کرد قطعا این اطلاعات مربوط به مسافران نیست. اما این شرکت درباره این که آیا این اطلاعات مربوط به رانندگان است موضوع قطعی نگرفت و گفت در حال بررسی این موضوع است با این حال این شرکت اکنون 750 هزار راننده دارد.
 
اطلاعات لو رفته، کمتر از 2 میلیون نفر
بررسی اطلاعات منتشر شده نشان می‌داد که تعداد زیادی از این اطلاعات تکراری بوده است. خود باب دیاچنکو محقق آلمانی افشا کننده این اطلاعات در این باره توضیح داد که با توجه به تکراری بودن این اطلاعات، احتمالا اطلاعات یک تا دو میلیون نفر در این فایل است.

در این فایل اسم، شماره تلفن و کد ملی رانندگان منتشر شده که به راحتی برای فیشینگ و سواستفاده از حریم شخصی آنها قابل سواستفاده است.
 
وزیر ارتباطات تایید کرد
یکی از اتفاقات جالب واکنش سریع وزارت ارتباطات به این موضوع بود. محمد جواد آذری جهرمی وزیر ارتباطات و فناوری اطلاعات در توییتر خود نوشت: «گزارش منتشر شده در مورد وجود آسیب‌پذیری در نگهداری اطلاعات یک شرکت حمل و نقل اینترنتی، صحت دارد. بررسی تکمیلی در جریان است و گزارش آن رسما از طریق مرکز ماهر منتشر خواهد شد. این یک هشدار جدی برای کسب و کارهای اینترنتی بود. در امنیت اطلاعات کاربران جدی‌تر باشید».
 
اشتباه ساده تیم امنیتی، عامل لو رفتن اطلاعات
به نظر می‌رسد یک اشتباه ابتدایی و ساده این آژانس اینترنتی علت لو رفتن اطلاعات است.

باب دیاچنکو، محقق امنیتی آلمانی که برای اولین‌بار به این نقض اطلاعاتی اشاره کرده بود در این باره با آزمایشگاه امنیتی سرتفا گفت‌وگو کرده و توضیح داده است: عموما برای پیدا کردن سرنخ‌های مرتبط با نقض اطلاعات در اینترنت از موتورهای جستجوی هوشمند نظیر شودان، باینری‌اج و... استفاده می‌کنم و زمانی‌که با پایگاه‌های داده حاوی اطلاعات حساس و در دسترس عموم برخورد می‌کنم، تلاش می‌کنم تا با صاحبان آن‌ها مکاتبه کنم تا دسترسی عمومی به اطلاعات حساس نشت داده شده محدود شود.

در این مورد، پایگاه داده‌‌ای از نوع مانگو دی‌بی (MongoDB) توسط موتورهای جستجو در تاریخ ۱۶ آوریل ۲۰۱۹ (۲۷ فرودین ۱۳۹۷) ثبت شده بود. این پایگاه داده با نام «doroshke-invoice-production» اطلاعات مختلفی را به‌صورت عمومی در دسترس همه قرار داده بود. اطلاعاتی که شامل نام و نام خانوادگی راننده، کد ملی، شماره تلفن و تاریخ فاکتورهای مرتبط با سال‌های ۹۵ و ۹۶ است.

وی افزود: از آنجا که دو شرکت فعال و بزرگ در ایران در زمینه حمل و نقل فعالیت دارند، احتمال می‌رفت که این داده‌ها متعلق به شرکت اسنپ یا شرکت تپسی باشد. من به هر دوی این شرکت‌ها برای محدود کردن دسترسی عمومی به این اطلاعات پیام فرستادم، اما مشخص نیست که این اطلاعات مربوط به کدام یک از آن‌ها بوده و چه کسی دسترسی عمومی به آن را محدود کرده است.

این محقق گفت: پایگاه داده‌ها هم اکنون امن است اما اینکه چه کسی آن را پایین کشیده (دسترسی عمومی را محدود کرده) است مشخص نیست.
 
تپسی قصور را پذیرفت
اما در ادامه، شب پنج شنبه گذشته تپسی با انتشار اطلاعیه‌ای مشکل ایجاد شده را تایید کرد.

شرکت حمل و نقل اینترنتی «تپ‌سی» اعلام کرد: بخشی از اطلاعاتی که روز گذشته در اینترنت درز پیدا کرده، مربوط به فاکتور سفرهای رانندگان این شرکت است.

در ادامه این اطلاعیه آمده است: همان‌گونه که در اطلاعیه نخست نیز ذکر شد اولویت تپ‌سی حفاظت از اطلاعات کاربران است. بررسی‌های تپ‌سی هم ثابت کرد تأکید و سرمایه‌گذاری این شرکت بر حفاظت اطلاعات کاربران کاملاً به‌جا بوده و در شرایط حیاتی کاملاً موثر واقع شده و هیچ‌گونه دسترسی به هیچ نوع اطلاعات مسافران – مانند اطلاعات سفر، مبدا و مقصد و زمان سفر، اطلاعات هویتی- صورت نگرفته است.

در اطلاعیه شرکت تپسی تصریح شده است: با بررسی دقیق‌تر موضوع، تیم امنیت تپ‌سی متوجه تلاش برای تعدادی نفوذ با منشا خارجی به سرورهای این شرکت شد که تنها یکی از سرورهای جانبی مورد نفوذ هکرها با آدرس آی‌پی متعلق به کشور اوکراین قرار گرفته است که فاکتورهای 60 هزار راننده فعال جهت حسابرسی مالیاتی در سال‌های 1395 و 1396 روی آن نگهداری می‌شدند.

این شرکت همچنین اعلام کرد که منشا و هدف اصلی این نفوذ خارجی برای تپ‌سی مشخص نیست و همکاری تیم امنیت تپ‌سی با پلیس فتا و مرکز ماهر در این زمینه ادامه دارد.
دیروز نیز میلاد منشی‌پور، مدیرعامل این شرکت با انتشار دو توییت ضمن پذیرش اشتباه رخ داده، از کاربران عذر خواهی کرد.

منشی‌پور نوشت: « از اتفاقی که افتاده ناراحتم، مسوولیت آن را پذیرفته و #عذرخواهی می‌کنم. به زودی اقدامات و برنامه عملی خودمان برای جلوگیری از بروز چنین اتفاقاتی را منتشر خواهیم کرد.»

وی همچنین در توییت دیگری اعلام کرد: «این اطلاعات مربوط به بخشی از مشخصات  ۶۰ هزار راننده فعال و ۱۸۰ هزار راننده غیر فعال است؛ شامل اطلاعات مسافران و سفرها نمی‌شود. اطلاعات فوق فقط در اختیار یک فرد بوده که با هدف شناسایی نقاط نفوذ صورت گرفته و نشر پیدا نکرده است. تپسی در جهت حفظ داده‌ها با فرد مورد نظر در تعامل است.»

به گزارش خبرنگار ما، از این توییت می‌توان چنین برداشت کرد که احتمال سوء‌استفاده فرد مذکور در توییت میلاد منشی‌پور وجود دارد و اعلام تعامل با وی، احتمالا مربوط به چانه‌زنی برای حفظ اطلاعاتی است که او در دست دارد.