سرمایه‌گذاری بیشتر تپسی در حوزه امنیت داده‌ها پس از تجربه آسیب‌پذیری اطلاعات

سازمان فناوری اطلاعات ایران امروز میزبان کسب‌وکارهای بزرگ ایرانی بود؛ رویدادی که با هماهنگی و درخواست شرکت تپسی شکل گرفته بود تا تجربه اخیر در آسیب‌پذیری داده‌ها و نفوذ به یکی از سرورهای جانبی به اشتراک گذاشته شود و با خرد جمعی، راه‌حلی برای عملکرد بهتر در زمان‌های بحران توسط شرکت‌های فناوری اتخاذ گردد.

«میلاد منشی‌پور»، مدیرعامل تپسی در این رویداد اعلام کرد که این شرکت از آسیب‌پذیری اطلاعات درس‌های بسیاری گرفته است. او گفت که تپسی به اتفاقی که در پایان فروردین افتاد به عنوان یک استثنا نگاه نمی‌کند و حالا سرمایه‌گذاری بیشتری در حوزه فایروال‌ها انجام داده است. از سوی دیگر منشی‌پور به این مسئله اشاره کرد که تست‌های نفوذ دوره‌ای و برنامه‌نویسی امن به شکلی دقیق‌تر در این شرکت انجام خواهند شد.

منشی پور در توضیح این اتفاق، عنوان کرد که یک سرور جانبی برای ۱۵ روز آسیب‌پذیر بود و فاکتورهای مربوط به رانندگان در سال ۹۵ و ۹۶ در آن نگه‌داری می‌شد و هیچ اطلاعاتی از مسافران در این سرور وجود نداشت. او گفت که اطلاعات مربوط به ۱۸۰ هزار راننده غیرفعال و ۶۰ هزار راننده فعال بوده است:

«اطلاعاتی که مورد دسترسی قرار گرفت، اطلاعاتی بود که روی یکی از سرور‌های جانبی بود. سروری را ایجاد کرده بودیم و به درخواست اداره مالیات این اطلاعات مربوط به راننده‌ها آنجا تجمیع شده بود. این حفره امنیتی به دلیل غیرفعال کردن یکی از فایروال‌ها ایجاد شد. چون در واقع سرور، جز سرورهای اصلی ما نبود و به دلایل تکنیکی، سرور در محل افرانت بود و فایروال به مدت ۱۵ روز غیرفعال شده بود، برای اینکه سرور بتواند با سرورهای خارج افرانت ارتباط برقرار کند. در سه روز پایانی این دوره، اطلاعات مورد دسترسی قرار گرفت.اما در همین بازه زمانی، یک هکر کلاه سفید اوکراینی متوجه آسیب‌پذیری شده بود.»

او اعلام کرد که بررسی‌های تپسی نشان می‌دهد که هیچ‌ شخص دیگری به جز همین فرد، به اطلاعات دست پیدا نکرده است: «او نیز از اطلاعات نمونه‌برداری کرده بود که با روش‌های قراردادی مطمئن شدیم که همان نمونه‌ نیز پاک شده و موضوع نشت اطلاعات برطرف شد.»

اما نکته مهمی که منشی‌پور به آن اشاره می‌کند، حمله‌های گسترده هکرها به همه سرورهای تپسی پس از فراگیر شدن خبر آسیب‌پذیری یکی از سرورها است. مدیرعامل این شرکت حمل‌ونقل آنلاین خبر داد که از ساعت ۲۳ شب تا صبح روز بعد، سرورهای تپسی تحت فشار حملات گسترده‌ای بوده‌اند که خود این حملات نیز یک آزمون جامع برای امنیت تپسی بوده است.

«ابوالقاسم صادقی»، معاون امنیت اطلاعات سازمان فناوری نیز در این مراسم اعلام کرد که درصد بالایی از آسیب‌پذیری‌ها در کسب‌وکارهای ایرانی بر اساس ضعف و خطای انسانی است. از سوی دیگر او گفت که همین مشکل را پیش از هکر کلاه سفید اوکراینی، مرکز ماهر کشف کرده بود اما نمی‌دانست که سرور مربوط به کدام شرکت است: « موضوع تپسی، چند روز قبل از اعلام هکر اوکراینی در مرکز ماهر کشف شده بود اما نمی‌دانستیم آی.پی برای کیست. هر کدام از کسب‌وکارها بیایند و رنج آی‌.پی‌های خود را به ما بدهند تا در ماهر آسیب‌پذیری‌هایشان را به آنها اعلام کنیم.»

«ژوبین علاقبند»، مدیرعامل اسنپ نیز یکی دیگر از حاضران در این مراسم بود. او گفت که اتفاقات امنیتی برای کسب‌وکارهای نوپا، دیگر شرکت‌ها را نیز متاثر می‌کند. او با این‌حال به افرادی اشاره کرد که تلاش می‌کنند از این موقعیت‌ها سوءاستفاده کنند:

«این یک مسئله مهم است که رگولاتور و نهادهای قانون‌گذار اجازه ندهند عده‌ای از آب گل‌آلود ماهی بگیرند و بگویند دادستانی باید وارد شود و برخورد کند. فردای همان روز ما در وزارت کشور بودیم، به ما گفتند سعی می‌کنند در مصاحبه خبری به ما حمله نکنند. از طرفی مدیرعامل تاکسیرانی مصاحبه کرد و گفت وقتی از ما مجوز نمی‌گیرند، این اتفاق‌ها می‌افتد. درحالی که این موضوع‌ها به هم ارتباطی ندارند. کسی بهتر از خود کسب‌وکارها این امکان را ندارد که متوجه شود ایراد کار کجاست.»

«حمید محمدی»، مدیرعامل دیجی‌کالا نیز در این رویداد اعلام کرد که حفرههای امنیتی اصلی در بررسیهای دورهای قابل کشف هستند: «مورد تپسی، یک موضوع ساده بوده اما دور از دید مانده چون یک سرور غیراصلی بوده است

محمدی همچنین خبر داد که دیجی‌کالا برای افزایش امنیت اطلاعات کاربران خود مشغول توسعه یک راهکار نرم‌افزار مبتنی بر هوش مصنوعی است که در ماه‌های آینده خود دیجی‌کالا نیز از آن بهره خواهد گرفت. محمدی پیشنهاد داد که دیگر بازیگران حوزه فناوری نیز می‌توانند از رویکرد تکنولوژیکی که دیجی‌کالا به آن دست پیدا کرده استفاده کنند.

سرهنگ دوم «علی محمد رجبی»، کارشناس ارشد امنیت اطلاعات در پلیس فتا نیز که در این رویداد حضور داشت اعلام کرد که در زمان‌های بحران، دستگاه هماهنگ‌ کننده برای اتفاقات امنیتی، پلیس فتا است:

«مرکز فوریت‌های پلیس فتا ۲۴ ساعته در خدمت کسب‌وکارهاست. در پلیس فتا تیم‌های واکنش سریع تشکیل داده‌ایم. پلیس فتا، سیاست رسانه‌ای گسترده‌ای را دنبال نمی‌کند. حریم خصوصی کسب‌وکارها هم برای ما مهم است و نمی‌توانیم اطلاع رسانی کنیم. پس فعالیت‌های اینچنینی پلیس فتا چندان در فضای رسانه‌ای دیده نمی‌شود.»

اما در نهایت «امیر ناظمی»، معاون وزیر ارتباطات و رییس سازمان فناوری اطلاعات ایران از نبود یک پروتکل مشخص در زمان‌های بحران ابراز نگرانی کرد. او گفت که در چنین زمان‌هایی، بیشتر نهادهای امنیتی و غیرامنیتی با کسب‌وکاری که با بحران مواجه شده تماس می‌گیرند و همین مسئله می‌تواند یک خطر بزرگ باشد، چراکه یک شخص می‌تواند خودش را از مرکز ملی فضای مجازی یا پلیس فتا معرفی کند و از مدیر کسب‌وکار اطلاعات مهم و حساسی را بگیرد.

او در همین رابطه پیشنهاد داد که باید مصوبه‌ای وجود داشته باشد که صرفاً یک رابط شناخته شده با کسب‌وکار دچار بحران در تماس باشد. رییس سازمان فناوری اطلاعات همچنین اعلام کرد که تا ۱۵ روز آینده، ساز و کاری تدوین خواهد شد که مشخص باشد شرکت‌های فناوری در زمان‌ بحران امنیتی باید چه رویکردی داشته باشند.

مطالب مرتبط

رئیس اتحادیه اتومبیل کرایه تهران: هیچکدام از تاکسی های اینترنتی مجوز ندارند

قاسم قربانی خواه، رئیس اتحادیه مؤسسات توریستی و اتومبیل کرایه تهران اعلام کرد شرکت های اینترنتی ارائه دهنده خدمات خودرویی در کشور بدون مجوز فعالیت می کنند. وی افزود اکثر این مجموعه ها صرفاً از طریق ثبت شرکت به وجود آمده اند و تحت نظارت هیچ اتحادیه ای نیستند، و خلاء قانونی موجود بین ثبت شرکت... ادامه مطلب

تاکسی‌های آنلاین اجازه فعالیت بین شهری ندارند

سامانه‌های درخواست تاکسی آنلاین در ایران در بین مردم جا افتاده و حالا اکثر افراد در شهرهای بزرگی همچون تهران، مشهد و اصفهان و... با این برنامه‌ها آشنایی دارند. مخالفت‌های ارگان‌های مختلف دولتی و شکایت رانندگان تاکسی و آژانس‌ها و حتی اعتراض رانندگان خود این سامانه‌ها تا به امروز نتوانسته جلوی فعالیت آنها را بگیرد... ادامه مطلب

نامه مهم دادستان کل کشور از پلمب تاکسی‌های اینترنتی جلوگیری می‌کند

دادستان کل کشور با ارسال نامه‌ای به دادستان‌های مراکز استان‌ها اعلام کرده است که صرفاً نظارت بر کار تاکسی‌های اینترنتی بر عهده شهرداری‌ها است و تا زمانی که دستورالعمل نظارت شهرداری‌ها بر فعالیت‌ تاکسی‌های اینترنتی به شکل مشترک از سوی وزارت صنعت و وزارت کشور آماده نشود، «از هرگونه برخورد و ممانعت از کسب‌وکار این... ادامه مطلب

مدیرعامل تپ‌سی: سامانه احراز صلاحیت رانندگان در اختیار تمام تاکسی‌های آنلاین است

نحوه جذب راننده در تاکسی‌های اینترنتی به شکل کلی در حال تغییر است و از این به بعد افرادی که مایل به همکاری در این نوع‌ سامانه‌ها هستند نیازی به دریافت گواهی سوء پیشینه نخواهند داشت بلکه صلاحیت آنها به شکل آنلاین از طریق پلیس تایید یا رد می‌شود. «میلاد منشی‌پور»، مدیرعامل تپ‌سی در گفتگو با... ادامه مطلب

شغل یک میلیون راننده تاکسی‌های آنلاین زیر تیغ تغییر

شنیده‌های دیجیاتو حکایت از آن دارد که فردا صبح، (۱ اسفند ۹۷)، هیات دولت در سکوت خبری تصمیم دارد تا لایحه قانون توسعه حمل‌ونقل عمومی را اصلاح کند. یکی از موارد این تغییر احتمالی، مربوط به تاکسی‌های آنلاین و دریافت مجوز آنها از سوی شهرداری‌‌ست؛ اقدامی که شرکت‌های فعال در زمینه حمل‌ونقل هوشمند آن را... ادامه مطلب

تپسی در مشهد پلمب شد [بروزرسانی: فک پلمپ شد]

سازمان مدیریت و نظارت بر تاکسیرانی شهرداری مشهد از فعالیت شرکت تپسی در این شهر جلوگیری کرد. «سید مهدی علوی مقدم» مدیرعامل این سازمان در گفتگو با رسانه ها ضمن تأیید این خبر، اظهار داشت تپسی مجوز و پروانه فعالیت ندارد، اما از دو هفته قبل به صورت غیر قانونی در مشهد آغاز به کار... ادامه مطلب

نظرات ۱

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود
x