تایید آسیب‌پذیری امنیتی یک تاکسی آنلاین ایرانی؛ هرآنچه تا اینجا می‌دانیم

بعضی از مشخصات سفر و شناسه‌های هویتی (ID) تعداد نامشخصی کاربر (راننده) ایرانی یکی از تاکسی‌های آنلاین ایرانی آسیب‌پذیر و قابل مشاهده بوده است. این آسیب‌پذیری امنیتی برای مدت دست کم ۳ روز در دیتابیس (مانگودی‌بی) این تاکسی آنلاین گم‌نام، وجود داشته اما اکنون دیتابیس به حالت امن برگشته است. این خبری است که یک پژوهشگر امنیتی از شرکت «Security Discovery» به نام «باب دیاچنکو» منتشر کرد؛ خبری که «محمدجواد آذری جهرمی»، وزیر ارتباطات نیز آن را تایید کرد.

تعداد شناسه‌هایی که در این دیتابیسِ بدون رمزگذاری قابل مشاهده بوده‌اند هنوز دقیقاً مشخص نیست. در ابتدای انتشار گزارش، دیاچنکو خبر داده بود که حدود ۶ میلیون ۸۰۰ هزار شناسه در دیتابیس وجود دارند اما گفته بود که شاید شناسه‌های تکراری هم وجود داشته باشند و این عدد کمتر باشد.

او اندکی پیش تایید کرده است که تعداد شناسه‌های تکراری زیاد بوده و احتمال می‌دهد که اطلاعات درز شده به ۱ الی ۲ میلیون شناسه و تراکنش مربوط باشد. این دیتابیس شامل تراکنش‌های سفر بوده و این عدد‌های میلیونی، نشان‌دهنده تعداد افرادی که اطلاعاتشان در معرض خطر بوده، نیست.

این شناسه‌ها شامل اطلاعاتی مانند «نام و نام خانوادگی راننده تاکسی آنلاین، کد ملی ۱۰ رقمی، شماره موبایل و همچنین تاریخ تراکنش (فاکتور)» است. پژوهشگر Security Discovery می‌گوید که این دیتابیس رمزگذاری نشده، «doroshke-invoice-production» نام داشته و همچنان مشخص نیست که مربوط به کدام‌یک از شرکت‌های تاکسی‌ اینترنتی است.

اما مسئله زمانی جدی شد که وزیر ارتباطات رسماً به این گزارش واکنش نشان داد و آسیب‌پذیری در نگهداری از اطلاعات را تایید کرد. هرچند او نیز اطلاعات تکمیلی را به انتشار گزارش مرکز ماهر موکول نمود. تا این لحظه نیز مرکز ماهر هیچ واکنشی به این خبر نشان نداده است.

این در حالیست که شرکت‌های اسنپ و تپسی هم به شکل جداگانه گفته‌اند که این آسیب‌پذیری مربوط به دیتابیس آنها نبوده است. اسنپ در همین رابطه در توییتر می‌نویسد:‌

«طبق بررسی‌های به‌ عمل‌ آمده اطلاعات لو رفته کاربران «یک شرکت حمل‌ونقل» مربوط به سامانه اسنپ نیست. تیم امنیت سایبری اسنپ همواره حداکثر تلاش خود را برای حفاظت از اطلاعات کاربران راننده و مسافر این سامانه به کار می‌گیرد.»

در این بین عده‌ای نیز عقیده داشتند که آسیب‌پذیری مربوط به شرکت تپسی بوده است چراکه چند تصویری که به شکل محدود از این دیتابیس منتشر شده بود، به ساختار کدهای تپسی شباهت بیشتری داشته است. اما تپسی نیز با انتشار بیانیه‌ای در توییتر به این شایعات پایان داد و نوشت:

«۱- با بررسی‌های صورت گرفته ۱۰۰ درصد مطمئن هستیم که هیچ نوع حمله یا دسترسی به اطلاعات مسافران یا سفرها صورت نگرفته است. ۲- تعداد رانندگان تپ‌سی امروز ۷۵۰ هزار نفر است و در مورد لو رفتن اطلاعات ۶.۵ میلیون راننده مطرح شده، در حال بررسی ارتباط ادله ذکر شده با تپ‌سی هستیم. ۳- امنیت اطلاعات کاربران (مسافران، رانندگان)‌ مهم‌ترین اولویت شرکت است.»

دیاچنکو تاکید می‌کند که هنوز هیچ نشانه‌ای وجود ندارد که آسیب‌پذیری مربوط به اسنپ است یا تپسی. او همچنین می‌گوید تعداد تراکنش‌ها به مفهوم تعداد کاربرانی که اطلاعاتشان در معرض خطر بوده، نیست.

نکته قابل توجه و بسیار مهم اینجاست که این دیتابیس به شکل عمومی منتشر نشده بلکه یک آسیب‌پذیری در یکی از دیتابیس‌های یک شرکت‌ تاکسی آنلاین ایرانی وجود داشته که پژوهشگر Security Discovery، طی پایش‌ها و سنجش میزان مقاومت دیتابیس‌های مختلف، توسط سرویس «BinaryEdge» آن را کشف کرده و آنطور که خودش می‌گوید در تلاش است تا آن را در اختیار مرکز ماهر ایران قرار دهد. او همچنین خبر داده است که در حال حاضر، آسیب‌پذیری دیتابیس برطرف شده است.

با توجه به اینکه اسنپ و تپسی به عنوان رهبران بازار تاکسی آنلاین ایران وجود آسیب‌پذیری در دیتابیس خود را رد کرده‌اند، اکنون صرفاً باید انتظار گزارش مرکز ماهر را کشید.

مطالب مرتبط

خدمات «پزشک و مشاور» به سوپر اپلیکیشن اسنپ اضافه شد

اسنپ و استارتاپ هاسپیتل در یک همکاری مشترک، سرویس پزشک و مشاور را راه‌اندازی کرده‌اند؛ سرویسی که به وسیله آن کاربران اسنپ می‌توانند امکان دریافت مشاوره پزشکی و روان‌شناسی را به صورت آنلاین داشته باشند و بدون مراجعه حضوری به مراکز درمانی، از خدمات سلامت ‌محور بهره‌مند شوند.با توجه به شیوع گسترده ویروس کرونا در... ادامه مطلب

مروری بر آمارهای مهم گزارش گروه اسنپ در سال ۹۸

اسنپ برای اولین بار آمارهای جامعی از تمام اجزای کسب‌وکار خود را منتشر کرده است. بازه زمانی این آمارها مربوط به سال ۹۸ است و اگرچه بیشتر به خود اسنپ می‌پردازد اما اطلاعات و داده‌های جالب و مهمی را درباره سایر خدماتی که در سوپر اپلیکیشن اسنپ دیده می‌شود نیز ارائه می‌دهد. بیایید ببینیم خود... ادامه مطلب

نامه تپسی به وزارت رفاه برای اختصاص بسته حمایتی دولت به رانندگان تاکسی‌های اینترنتی

مدیرعامل تپسی در نامه‌ای به وزیر تعاون، کار و رفاه اجتماعی، خواستار اختصاص بسته حمایتی دولت به رانندگان تاکسی‌های اینترنتی شد.با شیوع ویروس کرونا، معیشت صاحبان مشاغل مختلفی تحت تاثیر قرار گرفته است و به همین دلیل دولت با ابلاغ طرح خرید اعتباری اضطراری، سعی کرده تا از کسانی که بیش از بقیه دچار مشکلات... ادامه مطلب

مدیرعامل اسنپ از فعال شدن بخش «نیکوکاری» خبر می‌دهد

سوپراپلیکیشن اسنپ طی همکاری با سازمان مردم نهاد «مجمع خیرین سلامت کشور» سرویس نیکوکاری را اضافه کرده تا در زمینه مقابله با بیماری کووید ۱۹ بتوانند کمک‌های مردمی را به طور بهینه جمع‌آوری نمایند. این همکاری در راستای کمپین «کرونا را شکست می‌دهیم» با ستاد ملی مدیریت کرونا و مجمع خیرین سلامت امضا شده است و کلیه... ادامه مطلب

ضربه مهلک کرونا بر پیکر اوبر: زیان ۲.۹ میلیارد دلاری و تعدیل ۳۷۰۰ نفر از کارکنان

بحران کرونا بدترین سه ماهه تاریخ اوبر از نظر زیان مالی را رقم زده است. این شرکت برای بقای خود ناچار به تعدیل ۳۷۰۰ کارکنان شده و خسروشاهی هم از دریافت حقوق هنگفت خود چشم پوشی کرده است.اوبر در گزارش مالی سه ماه اول ۲۰۲۰ علی رغم درآمد ۳.۵۴ میلیارد دلاری متحمل ۲.۹ میلیارد دلار... ادامه مطلب

گفتگوی دیجیاتو با مدیرعامل اسنپ: حالا سوپر اپلیکیشن اسنپ ۳۰ میلیون کاربر دارد

مدیرعامل اسنپ در گفتگو با برنامه «آنتک» (لایو اینستاگرام دیجیاتو) درباره وضعیت این سرویس در ایام شیوع کرونا و برنامه‌های آینده سخن گفت و از سرویس‌ VIP و سرویس هوایی اسنپ صحبت کرد. به گفته «ژوبین علاقبند»، تا به امروز ۲.۵ میلیون راننده در این سرویس ثبت نام کرده‌اند. اما نکته مهم‌تر اینکه حالا تعداد... ادامه مطلب

نظرات ۸

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟