تایید آسیب‌پذیری امنیتی یک تاکسی آنلاین ایرانی؛ هرآنچه تا اینجا می‌دانیم

بعضی از مشخصات سفر و شناسه‌های هویتی (ID) تعداد نامشخصی کاربر (راننده) ایرانی یکی از تاکسی‌های آنلاین ایرانی آسیب‌پذیر و قابل مشاهده بوده است. این آسیب‌پذیری امنیتی برای مدت دست کم ۳ روز در دیتابیس (مانگودی‌بی) این تاکسی آنلاین گم‌نام، وجود داشته اما اکنون دیتابیس به حالت امن برگشته است. این خبری است که یک پژوهشگر امنیتی از شرکت «Security Discovery» به نام «باب دیاچنکو» منتشر کرد؛ خبری که «محمدجواد آذری جهرمی»، وزیر ارتباطات نیز آن را تایید کرد.

تعداد شناسه‌هایی که در این دیتابیسِ بدون رمزگذاری قابل مشاهده بوده‌اند هنوز دقیقاً مشخص نیست. در ابتدای انتشار گزارش، دیاچنکو خبر داده بود که حدود ۶ میلیون ۸۰۰ هزار شناسه در دیتابیس وجود دارند اما گفته بود که شاید شناسه‌های تکراری هم وجود داشته باشند و این عدد کمتر باشد.

او اندکی پیش تایید کرده است که تعداد شناسه‌های تکراری زیاد بوده و احتمال می‌دهد که اطلاعات درز شده به ۱ الی ۲ میلیون شناسه و تراکنش مربوط باشد. این دیتابیس شامل تراکنش‌های سفر بوده و این عدد‌های میلیونی، نشان‌دهنده تعداد افرادی که اطلاعاتشان در معرض خطر بوده، نیست.

این شناسه‌ها شامل اطلاعاتی مانند «نام و نام خانوادگی راننده تاکسی آنلاین، کد ملی ۱۰ رقمی، شماره موبایل و همچنین تاریخ تراکنش (فاکتور)» است. پژوهشگر Security Discovery می‌گوید که این دیتابیس رمزگذاری نشده، «doroshke-invoice-production» نام داشته و همچنان مشخص نیست که مربوط به کدام‌یک از شرکت‌های تاکسی‌ اینترنتی است.

اما مسئله زمانی جدی شد که وزیر ارتباطات رسماً به این گزارش واکنش نشان داد و آسیب‌پذیری در نگهداری از اطلاعات را تایید کرد. هرچند او نیز اطلاعات تکمیلی را به انتشار گزارش مرکز ماهر موکول نمود. تا این لحظه نیز مرکز ماهر هیچ واکنشی به این خبر نشان نداده است.

این در حالیست که شرکت‌های اسنپ و تپسی هم به شکل جداگانه گفته‌اند که این آسیب‌پذیری مربوط به دیتابیس آنها نبوده است. اسنپ در همین رابطه در توییتر می‌نویسد:‌

«طبق بررسی‌های به‌ عمل‌ آمده اطلاعات لو رفته کاربران «یک شرکت حمل‌ونقل» مربوط به سامانه اسنپ نیست. تیم امنیت سایبری اسنپ همواره حداکثر تلاش خود را برای حفاظت از اطلاعات کاربران راننده و مسافر این سامانه به کار می‌گیرد.»

در این بین عده‌ای نیز عقیده داشتند که آسیب‌پذیری مربوط به شرکت تپسی بوده است چراکه چند تصویری که به شکل محدود از این دیتابیس منتشر شده بود، به ساختار کدهای تپسی شباهت بیشتری داشته است. اما تپسی نیز با انتشار بیانیه‌ای در توییتر به این شایعات پایان داد و نوشت:

«۱- با بررسی‌های صورت گرفته ۱۰۰ درصد مطمئن هستیم که هیچ نوع حمله یا دسترسی به اطلاعات مسافران یا سفرها صورت نگرفته است. ۲- تعداد رانندگان تپ‌سی امروز ۷۵۰ هزار نفر است و در مورد لو رفتن اطلاعات ۶.۵ میلیون راننده مطرح شده، در حال بررسی ارتباط ادله ذکر شده با تپ‌سی هستیم. ۳- امنیت اطلاعات کاربران (مسافران، رانندگان)‌ مهم‌ترین اولویت شرکت است.»

دیاچنکو تاکید می‌کند که هنوز هیچ نشانه‌ای وجود ندارد که آسیب‌پذیری مربوط به اسنپ است یا تپسی. او همچنین می‌گوید تعداد تراکنش‌ها به مفهوم تعداد کاربرانی که اطلاعاتشان در معرض خطر بوده، نیست.

نکته قابل توجه و بسیار مهم اینجاست که این دیتابیس به شکل عمومی منتشر نشده بلکه یک آسیب‌پذیری در یکی از دیتابیس‌های یک شرکت‌ تاکسی آنلاین ایرانی وجود داشته که پژوهشگر Security Discovery، طی پایش‌ها و سنجش میزان مقاومت دیتابیس‌های مختلف، توسط سرویس «BinaryEdge» آن را کشف کرده و آنطور که خودش می‌گوید در تلاش است تا آن را در اختیار مرکز ماهر ایران قرار دهد. او همچنین خبر داده است که در حال حاضر، آسیب‌پذیری دیتابیس برطرف شده است.

با توجه به اینکه اسنپ و تپسی به عنوان رهبران بازار تاکسی آنلاین ایران وجود آسیب‌پذیری در دیتابیس خود را رد کرده‌اند، اکنون صرفاً باید انتظار گزارش مرکز ماهر را کشید.

بلیط هواپیما

مطالب مرتبط

توسعه چیپی با امکان پاکسازی خودکار داده‌ها برای جلوگیری از نفوذ

امنیت داده‌‌ها یکی از موضوعات مهمی است که نمی‌توان آن را نادیده گرفت. محققان دانشگاه «میشیگان» موفق شده‌اند با کمک ماده‌‌ای جدید تراشه‌ای توسعه دهند که داده‌های روی آن به صورت خودکار حذف می‌شوند. این روش برای محافظت از اطلاعات حساس کاربرد فراوانی دارد.در ساخت این چیپ جدید که داده‌ها را به صورت خودکار پاک می‌کند، از... ادامه مطلب

امنیت به زبان ساده: حمله تزریق SQL چیست و با دیتابیس‌ها چه می‌کند؟

Structured Query Language (یا به اختصار SQL) زبانی است که برای مدیریت و دستکاری دیتا درون یک دیتابیس طراحی شده. از زمان ظهورش، SQL توانسته در روندی آهسته اما پیوسته راهش را به اکثر دیتابیس‌های متن‌باز و تجاری باز کند. تزریق SQL (یا SQLi) هم یک جور حمله در دنیای امنیت سایبری است که با... ادامه مطلب

پورتال ویژه آمازون برای پلیس میزان دسترسی ماموران به داده‌های مشتریان را مشخص کرد

پورتال ویژه آمازون برای ارائه داده‌ها به پلیس در فضای وب قابل مشاهده است و نشان می‌دهد که دسترسی ماموران به اطلاعات به چه سهولتی امکان پذیر است.سایت  TechCrunch دریافته که بخشی از پورتال آمازون برای افسران پلیس به صورت عمومی قابل مشاهده است و ماموران می‌توانند انبوهی از اطلاعات حساس، از جمله شماره سفارش، اطلاعات... ادامه مطلب

گزارش مسیریاب نشان: سفرهای تابستان امسال ۴۴ درصد کمتر از تابستان ۹۸ بود

مسیریاب نشان در گزارشی اعلام کرد که سفرهای تابستان امسال نسبت به تابستان سال گذشته ۴۴ درصد کاهش پیدا کرده‌اند.تعطیلی مدارس، هوای گرم و لذت سفر در جاده‌ها همیشه باعث شده تا تابستان یکی از فصل‌های پر سفر باشد. اساسا تابستان با معنای سفر برای بسیاری از خانواده‌ها ترکیب شده ولی تابستان امسال با همه... ادامه مطلب

وقتی یک متخصص امنیت دستگاه قهوه‌ساز را هک می‌کند

در دنیای هوشمند امروزی، در امان ماندن از نفوذ هکرها یکی از موضوعات مهمی است که نمی‌توان آن را نادیده گرفت. هر روز لوازم خانگی هوشمند بیشتری به بازار عرضه می‌شوند. اما سوال مهم این است که آیا امکان نفوذ هکرها از طریق دستگاه‌های هوشمند وجود دارد؟«مارتین هرون»، یکی از محققان حوزه امنیت شرکت «Avast»،... ادامه مطلب

«بارکد واحد» برای پرداخت اینترنتی کرایه تاکسی اجرایی شد

مدیرعامل فاوای شهرداری تهران خبر از اجرای ارائه بارکد واحد برای پرداخت آنلاین کرایه تاکسی داد. این طرح بعد از بازبینی و پس از دو سال، بار دیگر توسط فاوای شهرداری ارائه شده و به نظر می‌رسد خرده‌هایی که به آن گرفته می‌شد با اعطای یک API به تمامی بازیگران حوزه برطرف شده است.کرایه آنلاین... ادامه مطلب

ویجیاتو

نظرات ۸

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟