دیجی‌کالا: ادعای هک‌شدن ما دروغ است

یک گروه هکری منتسب به انانیموس خبر از هک‌کردن دیجی کالا داده‌ و گفته که اطلاعات کاربران این فروشگاه اینترنتی را به‌دست آورده است. این گروه هنوز اطلاعات و داده‌هایی مبنی بر اینکه واقعاً دیجی کالا را هک کرده، منتشر نکرده است. در این میان مدیران دیجی کالا هک‌شدن توسط این گروه را تکذیب کرده‌اند.

عصر گذشته یک گروه هکری اعلام کرد که دیجی کالا را هک کرده است و به انتشار تصاویری از این هک پرداخت. چیزی که این تصاویر نشان می‌دهند، دیتابیسی از مشخصات چند محصول و نظرات کاربران است که به‌شکل عمومی نیز در سایت دیجی کالا برای همه قابل نمایش است؛ مگر اینکه گروه منتسب به انانیموس، اطلاعات و داده‌های دقیق‌تری را منتشر و هک را اثبات کند.

«امیر حسن موسوی» مدیر ارتباطات دیجی کالا نیز در توییتر خود نسبت به این موضوع واکنش نشان داد و گفت: «دیجی کالا هک نشده است. با یک سرچ ساده مشخص می‌شود اطلاعات منتشر‌شده، بخشی از محتوای آموزشی دوره طراحی یک سایت با اطلاعات نمونه Sample و غیر‌واقعی است.»

موسوی همچنین در ادامه توییت خود اعلام کرد: «بخش دیگری از این اطلاعات نیز مثل اطلاعات محصولات و کامنت‌ها و... است که برای هر کاربری قابل‌دسترس است.»

امیرحسن موسوی در پاسخ به این سؤال که آیا ادعای مطرح‌شده درباره هک دیجی کالا توسط حساب کاربری منتسب به انانیموس در توییتر صحت دارد یا خیر نیز اعلام کرد: «خیر دیجی کالا هک نشده است. پس از انتشار این ادعا، تیم تکنولوژی دیجی کالا اطلاعات تصاویر منتشرشده توسط حساب منتسب به انانیموس را بررسی کرد. دیتابیس و جداول قابل‌مشاهده در تصاویر، با دیتابیس‌های دیجی کالا اختلاف‌های مبنایی داشت. اسامی جداول و اسکیماها (schema) در دیتابیس‌های دیجی کالا با آنچه در تصاویر ادعایی دیده می‌شود، تفاوت‌های زیادی دارد.»

او همچنین گفت: «ساختار دیتابیس تصاویر منتشرشده، از استانداردها فاصله داشته است و حتی نسبت به الزامات زیرساختی کسب‌وکارهای فروشگاهی بسیار کوچک‌تر از دیجی کالا ساده و ابتدایی به‌نظر می‌رسند. از طرفی دیگر حجم دیتا در دیتابیس‌های دیجی کالا به‌قدری زیاد است که استخراج آن فارغ از محدودیت‌های پهنای باند و تأثیر بر متریک‌هایی که به‌صورت ۲۴‌ساعته مانیتور می‌شود، سرویس‌های دیجی کالا را با اختلال عملکرد و دسترسی مواجه می‌سازد. این درحالی است که هیچ اختلالی در سرویس‌ها وجود نداشته و متریک‌های مانیتورشده با چنین ادعایی سازگاری ندارد.»

مدیر ارتباطات سازمانی دیجی کالا با استناد به همین توضیحات اعلام می‌کند که «این ادعا دروغ است.» او همچنین گفت: «برای اطمینان بیشتر سایر کسب‌وکارهای مرتبط نیز بررسی شدند و از عدم ارتباط و انطباق تصاویر منتشرشده توسط حساب منتسب به هکرهای ناشناس با دیتابیس‌های آن‌ها نیز اطمینان حاصل شد.»

او در پاسخ به این سؤال که همین اطلاعات نیز از کجا به‌دست آمده است، گفت: «یکی از تصاویر منتشرشده حساب منتسب به هکرهای ناشناس، فایلی با نام digikala.sql است. جست‌وجو در منابع مختلف موجود در اینترنت ما را به چند فایل مشابه هدایت کرد. یکی از آن‌ها فایلی با همین نام بود که قابل دسترسی است. (لینک)»

او ادامه داد: «از طرفی در بررسی پروژه‌های برنامه‌نویسی بارگذاری شده در وب‌سایت github، به موارد مشابهی با همین نام برخوردیم (مانند مثال زیر: (لینک)).»

او می‌گوید با توجه به اینکه ساختار این فایل در پروژه‌ها، به نظر صرفاً یک نمونه (sample) برای برنامه‌نویسی به‌نظر می‌رسید، به بررسی بیشتر شواهد پرداختند که آن‌ها را به یک وب‌سایت آموزشی رساند (لینک).

به گفته او در این وب‌سایت «دوره آموزش ساخت فروشگاه اینترنتی مشابه دیجی‌کالا با قابلیت چند فروشندگی» ارائه شده است. تصاویر نمونه از این دوره آموزشی وب‌سایتی را نشان می‌دهد که دسته‌بندی محصولات آن مشابه با جدول دسته‌بندی محصولات (category) منتشرشده توسط حساب منتسب به هکرهای ناشناس بوده و با دسته‌بندی محصولات دیجی کالا کاملاً متفاوت است. 

او در همین رابطه گفت: بررسی فایل‌های نمونه این دوره آموزشی نشان می‌دهد که فایل دیتابیس منتشرشده توسط هکرهای ناشناس درحقیقت دیتای نمونه مورد استفاده در (sample) این دوره آموزشی بوده است. البته بخشی از دیتای دیجی کالا که مربوط به محصولات و نظرات است دسترسی عمومی دارد و بسیاری از برنامه‌نویس‌ها با استفاده از آن دیتاست‌های sample می‌سازند و استفاده از آن به معنی هک دیجی کالا نیست.»