تایید آسیبپذیری امنیتی یک تاکسی آنلاین ایرانی؛ هرآنچه تا اینجا میدانیم
بعضی از مشخصات سفر و شناسههای هویتی (ID) تعداد نامشخصی کاربر (راننده) ایرانی یکی از تاکسیهای آنلاین ایرانی آسیبپذیر و قابل مشاهده بوده است. این آسیبپذیری امنیتی برای مدت دست کم ۳ روز در دیتابیس (مانگودیبی) ...
بعضی از مشخصات سفر و شناسههای هویتی (ID) تعداد نامشخصی کاربر (راننده) ایرانی یکی از تاکسیهای آنلاین ایرانی آسیبپذیر و قابل مشاهده بوده است. این آسیبپذیری امنیتی برای مدت دست کم ۳ روز در دیتابیس (مانگودیبی) این تاکسی آنلاین گمنام، وجود داشته اما اکنون دیتابیس به حالت امن برگشته است. این خبری است که یک پژوهشگر امنیتی از شرکت «Security Discovery» به نام «باب دیاچنکو» منتشر کرد؛ خبری که «محمدجواد آذری جهرمی»، وزیر ارتباطات نیز آن را تایید کرد.
تعداد شناسههایی که در این دیتابیسِ بدون رمزگذاری قابل مشاهده بودهاند هنوز دقیقاً مشخص نیست. در ابتدای انتشار گزارش، دیاچنکو خبر داده بود که حدود ۶ میلیون ۸۰۰ هزار شناسه در دیتابیس وجود دارند اما گفته بود که شاید شناسههای تکراری هم وجود داشته باشند و این عدد کمتر باشد.
او اندکی پیش تایید کرده است که تعداد شناسههای تکراری زیاد بوده و احتمال میدهد که اطلاعات درز شده به ۱ الی ۲ میلیون شناسه و تراکنش مربوط باشد. این دیتابیس شامل تراکنشهای سفر بوده و این عددهای میلیونی، نشاندهنده تعداد افرادی که اطلاعاتشان در معرض خطر بوده، نیست.
این شناسهها شامل اطلاعاتی مانند «نام و نام خانوادگی راننده تاکسی آنلاین، کد ملی ۱۰ رقمی، شماره موبایل و همچنین تاریخ تراکنش (فاکتور)» است. پژوهشگر Security Discovery میگوید که این دیتابیس رمزگذاری نشده، «doroshke-invoice-production» نام داشته و همچنان مشخص نیست که مربوط به کدامیک از شرکتهای تاکسی اینترنتی است.
اما مسئله زمانی جدی شد که وزیر ارتباطات رسماً به این گزارش واکنش نشان داد و آسیبپذیری در نگهداری از اطلاعات را تایید کرد. هرچند او نیز اطلاعات تکمیلی را به انتشار گزارش مرکز ماهر موکول نمود. تا این لحظه نیز مرکز ماهر هیچ واکنشی به این خبر نشان نداده است.
این در حالیست که شرکتهای اسنپ و تپسی هم به شکل جداگانه گفتهاند که این آسیبپذیری مربوط به دیتابیس آنها نبوده است. اسنپ در همین رابطه در توییتر مینویسد:
«طبق بررسیهای به عمل آمده اطلاعات لو رفته کاربران «یک شرکت حملونقل» مربوط به سامانه اسنپ نیست. تیم امنیت سایبری اسنپ همواره حداکثر تلاش خود را برای حفاظت از اطلاعات کاربران راننده و مسافر این سامانه به کار میگیرد.»
در این بین عدهای نیز عقیده داشتند که آسیبپذیری مربوط به شرکت تپسی بوده است چراکه چند تصویری که به شکل محدود از این دیتابیس منتشر شده بود، به ساختار کدهای تپسی شباهت بیشتری داشته است. اما تپسی نیز با انتشار بیانیهای در توییتر به این شایعات پایان داد و نوشت:
«۱- با بررسیهای صورت گرفته ۱۰۰ درصد مطمئن هستیم که هیچ نوع حمله یا دسترسی به اطلاعات مسافران یا سفرها صورت نگرفته است. ۲- تعداد رانندگان تپسی امروز ۷۵۰ هزار نفر است و در مورد لو رفتن اطلاعات ۶.۵ میلیون راننده مطرح شده، در حال بررسی ارتباط ادله ذکر شده با تپسی هستیم. ۳- امنیت اطلاعات کاربران (مسافران، رانندگان) مهمترین اولویت شرکت است.»
نکته قابل توجه و بسیار مهم اینجاست که این دیتابیس به شکل عمومی منتشر نشده بلکه یک آسیبپذیری در یکی از دیتابیسهای یک شرکت تاکسی آنلاین ایرانی وجود داشته که پژوهشگر Security Discovery، طی پایشها و سنجش میزان مقاومت دیتابیسهای مختلف، توسط سرویس «BinaryEdge» آن را کشف کرده و آنطور که خودش میگوید در تلاش است تا آن را در اختیار مرکز ماهر ایران قرار دهد. او همچنین خبر داده است که در حال حاضر، آسیبپذیری دیتابیس برطرف شده است.
با توجه به اینکه اسنپ و تپسی به عنوان رهبران بازار تاکسی آنلاین ایران وجود آسیبپذیری در دیتابیس خود را رد کردهاند، اکنون صرفاً باید انتظار گزارش مرکز ماهر را کشید.
دیدگاهها و نظرات خود را بنویسید
برای گفتگو با کاربران ثبت نام کنید یا وارد حساب کاربری خود شوید.
تو کامنتای وزیر یکی پرسیده بود چرا نمیگین کی بوده ، وزیر هم جواب داده بود تپسی
اسم دی بی قشنگ بود درشکه.
خود وزیر توکامنتا گفته تپسی بوده حالا اینا چرا زیر بار نمیرت خدا میدونه
مونگو خیلی وقته مشکلات امنیتی داره و طی بررسی هایی که با تیم امنیتی دارکوب داشتم به این اسیب پذیری ها دسترسی مستقیم میشه داشت و البته سواستفاده هم میشه کرد.... بنابراین باید مراقب بود ولی این شرکتهای نوپایی که از راه میرسن وقتی رخنه امنیتی دارن و از همه مهمتر اینکه یک رفرنس خارجی مطرحش کردن اینا میگن نه این اون نیست و ما همهمه چییمون امنه فقط شما ناامنید....
اقا یه عذرخواهی بکن دیگه این کمترین کاره که باید بکنی؛ یعنی تو از زاکربرگ خیلی گنده تری که 80 میلیون اطلاعات رو به فنا داد؟؟؟؟!!!
? ? ?
یه لینک میذاری از مشکلات امنیتی مونگو؟ معمولا ایراد اینجاست که خیلی ها با کانفیگ بیس دل به دریا میزنن، لینک مشکلات امنیتی کونگو رو بذار تا ملت رفع کنن.
اگزکتلی، بدون دلیل و مدرک نمیشه حرف زد. منم میتونم بیام بگم «لینوکس و ویندوز و ... اکسپلویت زیرو دی براشون نوشتم میتونم ازشون استفاده کنم.» خخخ
درضمن رفیق!
خود اون کارشناس امنیتیه اومده گفته الان مشکل برطرف شده! بنظرت این بودار نیست؟ یعنی از این حرفش متوجه نشدی که مشکل از مانگو دی بی نبوده و یه جای کار خودشون می لنگیده؟ ?
احسنت به توی کارشناس امنیتی و تیم دارکوب ?
توی دنیای دیجیتال هیچکس ادعای امنیت ۱۰۰٪ نداره، اگر داره باید به سوادش شک کرد! ولی توی این قضیه مشکل از خودشون بوده.
«با توجه به اینکه اسنپ و تپسی به عنوان رهبران بازار تاکسی آنلاین ایران وجود آسیبپذیری در دیتابیس خود را رد کردهاند . . .»
آقا من این آسیبپذیری رو گردن میگیرم، مشکل از منه!
خوشم میاد تو این مملکت هیچکی زیر بار نمیره!