سرمایه‌گذاری بیشتر تپسی در حوزه امنیت داده‌ها پس از تجربه آسیب‌پذیری اطلاعات

سازمان فناوری اطلاعات ایران امروز میزبان کسب‌وکارهای بزرگ ایرانی بود؛ رویدادی که با هماهنگی و درخواست شرکت تپسی شکل گرفته بود تا تجربه اخیر در آسیب‌پذیری داده‌ها و نفوذ به یکی از سرورهای جانبی به اشتراک گذاشته شود و با خرد جمعی، راه‌حلی برای عملکرد بهتر در زمان‌های بحران توسط شرکت‌های فناوری اتخاذ گردد.

«میلاد منشی‌پور»، مدیرعامل تپسی در این رویداد اعلام کرد که این شرکت از آسیب‌پذیری اطلاعات درس‌های بسیاری گرفته است. او گفت که تپسی به اتفاقی که در پایان فروردین افتاد به عنوان یک استثنا نگاه نمی‌کند و حالا سرمایه‌گذاری بیشتری در حوزه فایروال‌ها انجام داده است. از سوی دیگر منشی‌پور به این مسئله اشاره کرد که تست‌های نفوذ دوره‌ای و برنامه‌نویسی امن به شکلی دقیق‌تر در این شرکت انجام خواهند شد.

منشی پور در توضیح این اتفاق، عنوان کرد که یک سرور جانبی برای ۱۵ روز آسیب‌پذیر بود و فاکتورهای مربوط به رانندگان در سال ۹۵ و ۹۶ در آن نگه‌داری می‌شد و هیچ اطلاعاتی از مسافران در این سرور وجود نداشت. او گفت که اطلاعات مربوط به ۱۸۰ هزار راننده غیرفعال و ۶۰ هزار راننده فعال بوده است:

«اطلاعاتی که مورد دسترسی قرار گرفت، اطلاعاتی بود که روی یکی از سرور‌های جانبی بود. سروری را ایجاد کرده بودیم و به درخواست اداره مالیات این اطلاعات مربوط به راننده‌ها آنجا تجمیع شده بود. این حفره امنیتی به دلیل غیرفعال کردن یکی از فایروال‌ها ایجاد شد. چون در واقع سرور، جز سرورهای اصلی ما نبود و به دلایل تکنیکی، سرور در محل افرانت بود و فایروال به مدت ۱۵ روز غیرفعال شده بود، برای اینکه سرور بتواند با سرورهای خارج افرانت ارتباط برقرار کند. در سه روز پایانی این دوره، اطلاعات مورد دسترسی قرار گرفت.اما در همین بازه زمانی، یک هکر کلاه سفید اوکراینی متوجه آسیب‌پذیری شده بود.»

او اعلام کرد که بررسی‌های تپسی نشان می‌دهد که هیچ‌ شخص دیگری به جز همین فرد، به اطلاعات دست پیدا نکرده است: «او نیز از اطلاعات نمونه‌برداری کرده بود که با روش‌های قراردادی مطمئن شدیم که همان نمونه‌ نیز پاک شده و موضوع نشت اطلاعات برطرف شد.»

اما نکته مهمی که منشی‌پور به آن اشاره می‌کند، حمله‌های گسترده هکرها به همه سرورهای تپسی پس از فراگیر شدن خبر آسیب‌پذیری یکی از سرورها است. مدیرعامل این شرکت حمل‌ونقل آنلاین خبر داد که از ساعت ۲۳ شب تا صبح روز بعد، سرورهای تپسی تحت فشار حملات گسترده‌ای بوده‌اند که خود این حملات نیز یک آزمون جامع برای امنیت تپسی بوده است.

«ابوالقاسم صادقی»، معاون امنیت اطلاعات سازمان فناوری نیز در این مراسم اعلام کرد که درصد بالایی از آسیب‌پذیری‌ها در کسب‌وکارهای ایرانی بر اساس ضعف و خطای انسانی است. از سوی دیگر او گفت که همین مشکل را پیش از هکر کلاه سفید اوکراینی، مرکز ماهر کشف کرده بود اما نمی‌دانست که سرور مربوط به کدام شرکت است: « موضوع تپسی، چند روز قبل از اعلام هکر اوکراینی در مرکز ماهر کشف شده بود اما نمی‌دانستیم آی.پی برای کیست. هر کدام از کسب‌وکارها بیایند و رنج آی‌.پی‌های خود را به ما بدهند تا در ماهر آسیب‌پذیری‌هایشان را به آنها اعلام کنیم.»

«ژوبین علاقبند»، مدیرعامل اسنپ نیز یکی دیگر از حاضران در این مراسم بود. او گفت که اتفاقات امنیتی برای کسب‌وکارهای نوپا، دیگر شرکت‌ها را نیز متاثر می‌کند. او با این‌حال به افرادی اشاره کرد که تلاش می‌کنند از این موقعیت‌ها سوءاستفاده کنند:

«این یک مسئله مهم است که رگولاتور و نهادهای قانون‌گذار اجازه ندهند عده‌ای از آب گل‌آلود ماهی بگیرند و بگویند دادستانی باید وارد شود و برخورد کند. فردای همان روز ما در وزارت کشور بودیم، به ما گفتند سعی می‌کنند در مصاحبه خبری به ما حمله نکنند. از طرفی مدیرعامل تاکسیرانی مصاحبه کرد و گفت وقتی از ما مجوز نمی‌گیرند، این اتفاق‌ها می‌افتد. درحالی که این موضوع‌ها به هم ارتباطی ندارند. کسی بهتر از خود کسب‌وکارها این امکان را ندارد که متوجه شود ایراد کار کجاست.»

«حمید محمدی»، مدیرعامل دیجی‌کالا نیز در این رویداد اعلام کرد که حفره‌های امنیتی اصلی در بررسی‌های دوره‌ای قابل کشف هستند: «مورد تپسی، یک موضوع ساده بوده اما دور از دید مانده چون یک سرور غیراصلی بوده است.»

محمدی همچنین خبر داد که دیجی‌کالا برای افزایش امنیت اطلاعات کاربران خود مشغول توسعه یک راهکار نرم‌افزار مبتنی بر هوش مصنوعی است که در ماه‌های آینده خود دیجی‌کالا نیز از آن بهره خواهد گرفت. محمدی پیشنهاد داد که دیگر بازیگران حوزه فناوری نیز می‌توانند از رویکرد تکنولوژیکی که دیجی‌کالا به آن دست پیدا کرده استفاده کنند.

سرهنگ دوم «علی محمد رجبی»، کارشناس ارشد امنیت اطلاعات در پلیس فتا نیز که در این رویداد حضور داشت اعلام کرد که در زمان‌های بحران، دستگاه هماهنگ‌ کننده برای اتفاقات امنیتی، پلیس فتا است:

«مرکز فوریت‌های پلیس فتا ۲۴ ساعته در خدمت کسب‌وکارهاست. در پلیس فتا تیم‌های واکنش سریع تشکیل داده‌ایم. پلیس فتا، سیاست رسانه‌ای گسترده‌ای را دنبال نمی‌کند. حریم خصوصی کسب‌وکارها هم برای ما مهم است و نمی‌توانیم اطلاع رسانی کنیم. پس فعالیت‌های اینچنینی پلیس فتا چندان در فضای رسانه‌ای دیده نمی‌شود.»

اما در نهایت «امیر ناظمی»، معاون وزیر ارتباطات و رییس سازمان فناوری اطلاعات ایران از نبود یک پروتکل مشخص در زمان‌های بحران ابراز نگرانی کرد. او گفت که در چنین زمان‌هایی، بیشتر نهادهای امنیتی و غیرامنیتی با کسب‌وکاری که با بحران مواجه شده تماس می‌گیرند و همین مسئله می‌تواند یک خطر بزرگ باشد، چراکه یک شخص می‌تواند خودش را از مرکز ملی فضای مجازی یا پلیس فتا معرفی کند و از مدیر کسب‌وکار اطلاعات مهم و حساسی را بگیرد.

او در همین رابطه پیشنهاد داد که باید مصوبه‌ای وجود داشته باشد که صرفاً یک رابط شناخته شده با کسب‌وکار دچار بحران در تماس باشد. رییس سازمان فناوری اطلاعات همچنین اعلام کرد که تا ۱۵ روز آینده، ساز و کاری تدوین خواهد شد که مشخص باشد شرکت‌های فناوری در زمان‌ بحران امنیتی باید چه رویکردی داشته باشند.