ثبت بازخورد

لطفا میزان رضایت خود را از دیجیاتو انتخاب کنید.

واقعا راضی‌ام
اصلا راضی نیستم
چطور میتوانیم تجربه بهتری برای شما بسازیم؟

نظر شما با موفقیت ثبت شد.

از اینکه ما را در توسعه بهتر و هدفمند‌تر دیجیاتو همراهی می‌کنید
از شما سپاسگزاریم.

تکنولوژی

تایید آسیب‌پذیری امنیتی یک تاکسی آنلاین ایرانی؛ هرآنچه تا اینجا می‌دانیم

بعضی از مشخصات سفر و شناسه‌های هویتی (ID) تعداد نامشخصی کاربر (راننده) ایرانی یکی از تاکسی‌های آنلاین ایرانی آسیب‌پذیر و قابل مشاهده بوده است. این آسیب‌پذیری امنیتی برای مدت دست کم ۳ روز در دیتابیس (مانگودی‌بی) ...

امیر مستکین
نوشته شده توسط امیر مستکین | ۲۹ فروردین ۱۳۹۸ | ۲۱:۳۲

بعضی از مشخصات سفر و شناسه‌های هویتی (ID) تعداد نامشخصی کاربر (راننده) ایرانی یکی از تاکسی‌های آنلاین ایرانی آسیب‌پذیر و قابل مشاهده بوده است. این آسیب‌پذیری امنیتی برای مدت دست کم ۳ روز در دیتابیس (مانگودی‌بی) این تاکسی آنلاین گم‌نام، وجود داشته اما اکنون دیتابیس به حالت امن برگشته است. این خبری است که یک پژوهشگر امنیتی از شرکت «Security Discovery» به نام «باب دیاچنکو» منتشر کرد؛ خبری که «محمدجواد آذری جهرمی»، وزیر ارتباطات نیز آن را تایید کرد.

تعداد شناسه‌هایی که در این دیتابیسِ بدون رمزگذاری قابل مشاهده بوده‌اند هنوز دقیقاً مشخص نیست. در ابتدای انتشار گزارش، دیاچنکو خبر داده بود که حدود ۶ میلیون ۸۰۰ هزار شناسه در دیتابیس وجود دارند اما گفته بود که شاید شناسه‌های تکراری هم وجود داشته باشند و این عدد کمتر باشد.

او اندکی پیش تایید کرده است که تعداد شناسه‌های تکراری زیاد بوده و احتمال می‌دهد که اطلاعات درز شده به ۱ الی ۲ میلیون شناسه و تراکنش مربوط باشد. این دیتابیس شامل تراکنش‌های سفر بوده و این عدد‌های میلیونی، نشان‌دهنده تعداد افرادی که اطلاعاتشان در معرض خطر بوده، نیست.

این شناسه‌ها شامل اطلاعاتی مانند «نام و نام خانوادگی راننده تاکسی آنلاین، کد ملی ۱۰ رقمی، شماره موبایل و همچنین تاریخ تراکنش (فاکتور)» است. پژوهشگر Security Discovery می‌گوید که این دیتابیس رمزگذاری نشده، «doroshke-invoice-production» نام داشته و همچنان مشخص نیست که مربوط به کدام‌یک از شرکت‌های تاکسی‌ اینترنتی است.

اما مسئله زمانی جدی شد که وزیر ارتباطات رسماً به این گزارش واکنش نشان داد و آسیب‌پذیری در نگهداری از اطلاعات را تایید کرد. هرچند او نیز اطلاعات تکمیلی را به انتشار گزارش مرکز ماهر موکول نمود. تا این لحظه نیز مرکز ماهر هیچ واکنشی به این خبر نشان نداده است.

این در حالیست که شرکت‌های اسنپ و تپسی هم به شکل جداگانه گفته‌اند که این آسیب‌پذیری مربوط به دیتابیس آنها نبوده است. اسنپ در همین رابطه در توییتر می‌نویسد:‌

«طبق بررسی‌های به‌ عمل‌ آمده اطلاعات لو رفته کاربران «یک شرکت حمل‌ونقل» مربوط به سامانه اسنپ نیست. تیم امنیت سایبری اسنپ همواره حداکثر تلاش خود را برای حفاظت از اطلاعات کاربران راننده و مسافر این سامانه به کار می‌گیرد.»

در این بین عده‌ای نیز عقیده داشتند که آسیب‌پذیری مربوط به شرکت تپسی بوده است چراکه چند تصویری که به شکل محدود از این دیتابیس منتشر شده بود، به ساختار کدهای تپسی شباهت بیشتری داشته است. اما تپسی نیز با انتشار بیانیه‌ای در توییتر به این شایعات پایان داد و نوشت:

«۱- با بررسی‌های صورت گرفته ۱۰۰ درصد مطمئن هستیم که هیچ نوع حمله یا دسترسی به اطلاعات مسافران یا سفرها صورت نگرفته است. ۲- تعداد رانندگان تپ‌سی امروز ۷۵۰ هزار نفر است و در مورد لو رفتن اطلاعات ۶.۵ میلیون راننده مطرح شده، در حال بررسی ارتباط ادله ذکر شده با تپ‌سی هستیم. ۳- امنیت اطلاعات کاربران (مسافران، رانندگان)‌ مهم‌ترین اولویت شرکت است.»

دیاچنکو تاکید می‌کند که هنوز هیچ نشانه‌ای وجود ندارد که آسیب‌پذیری مربوط به اسنپ است یا تپسی. او همچنین می‌گوید تعداد تراکنش‌ها به مفهوم تعداد کاربرانی که اطلاعاتشان در معرض خطر بوده، نیست.

نکته قابل توجه و بسیار مهم اینجاست که این دیتابیس به شکل عمومی منتشر نشده بلکه یک آسیب‌پذیری در یکی از دیتابیس‌های یک شرکت‌ تاکسی آنلاین ایرانی وجود داشته که پژوهشگر Security Discovery، طی پایش‌ها و سنجش میزان مقاومت دیتابیس‌های مختلف، توسط سرویس «BinaryEdge» آن را کشف کرده و آنطور که خودش می‌گوید در تلاش است تا آن را در اختیار مرکز ماهر ایران قرار دهد. او همچنین خبر داده است که در حال حاضر، آسیب‌پذیری دیتابیس برطرف شده است.

با توجه به اینکه اسنپ و تپسی به عنوان رهبران بازار تاکسی آنلاین ایران وجود آسیب‌پذیری در دیتابیس خود را رد کرده‌اند، اکنون صرفاً باید انتظار گزارش مرکز ماهر را کشید.

دیدگاه‌ها و نظرات خود را بنویسید
مجموع نظرات ثبت شده (8 مورد)
  • X Fa
    X Fa | ۳۰ فروردین ۱۳۹۸

    تو کامنتای وزیر یکی پرسیده بود چرا نمیگین کی بوده ، وزیر هم جواب داده بود تپسی

  • molavy
    molavy | ۲۹ فروردین ۱۳۹۸

    اسم دی بی قشنگ بود درشکه.

  • FarzinFaria
    FarzinFaria | ۲۹ فروردین ۱۳۹۸

    خود وزیر تو‌کامنتا گفته تپسی بوده حالا اینا چرا زیر بار نمیرت خدا میدونه

  • p sohrab
    p sohrab | ۲۹ فروردین ۱۳۹۸

    مونگو خیلی وقته مشکلات امنیتی داره و طی بررسی هایی که با تیم امنیتی دارکوب داشتم به این اسیب پذیری ها دسترسی مستقیم میشه داشت و البته سواستفاده هم میشه کرد.... بنابراین باید مراقب بود ولی این شرکتهای نوپایی که از راه میرسن وقتی رخنه امنیتی دارن و از همه مهمتر اینکه یک رفرنس خارجی مطرحش کردن اینا میگن نه این اون نیست و ما همهمه چییمون امنه فقط شما ناامنید....

    اقا یه عذرخواهی بکن دیگه این کمترین کاره که باید بکنی؛ یعنی تو از زاکربرگ خیلی گنده تری که 80 میلیون اطلاعات رو به فنا داد؟؟؟؟!!!
    ? ? ?

    • Arman Hoseini
      Arman Hoseini | ۳۰ فروردین ۱۳۹۸

      یه لینک میذاری از مشکلات امنیتی مونگو؟ معمولا ایراد اینجاست که خیلی ها با کانفیگ بیس دل به دریا میزنن، لینک مشکلات امنیتی کونگو رو بذار تا ملت رفع کنن.

      • Geektus
        Geektus | ۳۰ فروردین ۱۳۹۸

        اگزکتلی، بدون دلیل و مدرک نمیشه حرف زد. منم میتونم بیام بگم «لینوکس و ویندوز و ... اکسپلویت زیرو دی براشون نوشتم میتونم ازشون استفاده کنم.» خخخ

    • Geektus
      Geektus | ۳۰ فروردین ۱۳۹۸

      درضمن رفیق!
      خود اون کارشناس امنیتیه اومده گفته الان مشکل برطرف شده! بنظرت این بودار نیست؟ یعنی از این حرفش متوجه نشدی که مشکل از مانگو دی بی نبوده و یه جای کار خودشون می لنگیده؟ ?

      احسنت به توی کارشناس امنیتی و تیم دارکوب ?

      توی دنیای دیجیتال هیچکس ادعای امنیت ۱۰۰٪ نداره، اگر داره باید به سوادش شک کرد! ولی توی این قضیه مشکل از خودشون بوده.

  • Modav
    Modav | ۲۹ فروردین ۱۳۹۸

    «با توجه به اینکه اسنپ و تپسی به عنوان رهبران بازار تاکسی آنلاین ایران وجود آسیب‌پذیری در دیتابیس خود را رد کرده‌اند . . .»
    آقا من این آسیب‌پذیری رو گردن میگیرم، مشکل از منه!
    خوشم میاد تو این مملکت هیچکی زیر بار نمیره!

مطالب پیشنهادی