افشای اطلاعات حساس رانندگان یکی از تاکسی‌های اینترنتی ایرانی [به‌روزرسانی: واکنش مدیرعامل تپ‌سی]

کارشناسان مؤسسه‌ی سکیوریتی دیسکاوری (Security Discovery) مدعی شده‌اند ۱۸آوریل (برابر با ۲۹فروردین‌) در جریان برررسی‌هایشان ازطریق موتور جست‌و‌جوی BinaryEdge متوجه شده‌اند پایگاه داده‌ای مونگودی‌بی (MongoDB) به‌صورت عمومی دردسترس قرار گرفته است. این کارشناسان می‌گویند در پایگاه داده‌ی یادشده، اطلاعات بسیار حساس رانندگان یکی از تاکسی‌های اینترنتی ایرانی وجود داشته است. 

ظاهرا این اطلاعات عبارت بوده‌اند از: نام و نام‌خانوادگی‌ و کد ملی ۱۰ رقمی و شماره‌ی موبایل رانندگان به‌همراه تاریخ دقیق تسویه‌حساب آن‌ها با تاکسی اینترنتی‌شان. این پایگاه داده که طبق ادعای مؤسسه‌ی سکیوریتی دیسکاوری، doroshke-invoice-production نام داشته است، دو مجموعه‌ی اصلی را شامل می‌شده و در هرکدام از آن‌ها تاریخ تراکنش‌ها ازهم جدا شده‌اند که جزئیات آن‌ها در زیر این پاراگراف آمده است:

مجموعه‌ی اول invoice95 نام دارد و تمامی تراکنش‌های سال ۱۳۹۵ (شامل ۷۴۰ هزار و ۹۵۲ تراکنش) را شامل شده است. مجموعه‌ی دوم به‌نام invoice96 به تراکنش‌های سال ۱۳۹۶ اشاره می‌کند. رقم تراکنش‌های مجموعه‌ی دوم ۶ میلیون و ۳۱ هزار و ۳۱۷ عدد اعلام شده است.

البته، ذکر این نکته ضروری است که تعداد دقیق تراکنش‌ها نمی‌تواند لزوما تعداد دقیق افرادی را نشان دهد که اطلاعاتشان فاش شده است؛ زیرا آن‌طورکه محقق سکیوریتی دیسکاوری می‌نویسد، ممکن است از برخی شناسه‌های مربوط‌به تراکنش‌ها، دو عدد در پایگاه داده قرار گرفته باشد. او پس از بررسی‌های بیشتر متوجه شده در پایگاه داده، برخی از تراکنش‌ها تکرار شده‌اند. او تخمین می‌زند به‌طورکلی یک تا دو میلیون فاکتور منحصربه‌فرد وجود داشته باشد و این، یعنی احتمالا یک تا دو میلیون راننده متأثر شده‌اند.

توجه کنید تا این لحظه، از هیچ شرکتی اسمی آورده نشده و شایعات فضای مجازی حقیقت ندارند. محققان سکیوریتی دیسکاوری می‌گویند در داخل این تراکنش‌ها، هیچ‌ اسمی از شرکت‌ها پیدا نکرده‌اند.

به‌گفته‌ی محقق مؤسسه‌ی سکیوریتی دیسکاوری، پس از فهمیدن این موضوع،‌ سریعا آن را به گروه پاسخ‌گویی حوادث رایانه‌ای ایران موسوم به CERT گزارش داده و خودش نیز تحقیقاتش را با همکاری چند محقق امنیتی آغاز کرده است. او می‌گوید توانسته با برخی رانندگان ارتباط برقرار کند و تلاش‌هایی برای شناسایی صاحب این پایگاه داده کرده است. افزون‌براین، محققان مؤسسه‌ی سکیوریتی دیسکاوری نیز با تاکسی‌های اینترنتی بزرگ ایرانی تماس گرفته‌اند تا از جزئیات این قضیه مطلع شوند. 

اهمیتی ندارد پایگاه داده‌ی مذکور متعلق به کدام شرکت بوده؛ بلکه دانستن این حقیقت ترسناک و نگران‌کننده است که به‌مدت حداقل سه روز کامل اطلاعات بسیار حساس رانندگان ایرانی به‌صورت عمومی دردسترس بوده است. این احتمال وجود دارد که داده‌های فاش‌شده را پیش‌تر برخی افراد از تاکسی‌های اینترنتی ایران سرقت و هم‌اکنون دوباره ظاهر کرده باشند. بُروز خطای انسانی می‌تواند چنین اتفاقاتی در پی داشته باشد. 

در پی رسانه‌ای‌شدن این موضوع، محمدجواد آذری‌جهرمی نیز در واکنش به آن اعلام کرد اخبار منتشرشده حقیقت دارند. جهرمی در توییت خود نوشته است:

گزارش منتشرشده درمورد وجود آسیب‌پذیری در نگه‌داری اطلاعات یک شرکت حمل‌و‌نقل اینترنتی صحت دارد. بررسی تکمیلی در جریان است و گزارش آن رسما ازطریق مرکز ماهر منتشر خواهد شد. این یک هشدار جدی برای کسب‌وکارهای اینترنتی بود. در امنیت اطلاعات کاربران جدی‌تر باشید.

 گفتنی است تاکنون مرکز ماهر به این موضوع واکنش نشان نداده است. درضمن طبق اعلام محققان، این آسیب‌پذیری هم‌اکنون رفع شده است. اسنپ و تپ‌سی، بزرگ‌ترین تاکسی‌های اینترنتی ایرانی، با انتشار توییت‌هایی جداگانه اعلام کرده‌اند این آسیب‌پذیری به پایگاه داده‌ی آن‌ها مربوط‌ نیست.

درصورت انتشار جزئیات بیشتر، این خبر به‌روزرسانی خواهد شد.

به‌روزرسانی: تپ‌سی بعد از بررسی تیم امنیت خود با انتشار بیانیه‌ی تکمیلی اعلام کرد هیچ‌گونه دسترسی به هیچ نوع اطلاعات مسافران این شرکت مانند اطلاعات سفر، مبداء و مقصد و زمان سفر، اطلاعات هویتی و... صورت نگرفته است.

تپ‌سی همچنین اعلام کرد تیم امنیت این شرکت متوجه تلاش برای تعدادی نفوذ با منشأ خارجی به سرورهای این شرکت شده و تنها یکی از سرورهای جانبی، مورد نفوذ هکرها با آدرس آی‌پی متعلق به کشور اوکراین قرار گرفته است که فاکتورهای ۶۰ هزار راننده‌ی فعال جهت حسابرسی مالیاتی در سال‌های ۹۵ و ۹۶ روی آن نگه‌داری می‌شدند.

تپ‌سی در ادامه اضافه کرد که سیستم‌های پیشرفته‌ی حفاظتی این شرکت اجازه‌ی نفوذ بیشتر به سرورهای اصلی را نداده‌اند و همکاری تپ‌سی برای شناسایی منشأ و هدف اصلی این نفوذ خارجی با پلیس فتا و مرکز ماهر ادامه دارد.

به‌روزرسانی: میلاد منشی‌پور، مدیرعامل تپ‌سی با انتشار پستی در توییتر، ضمن عذرخواهی از اتفاقات پیش آمده، در مورد آخرین اقدامات این شرکت اطلاع‌رسانی کرد. به‌گفته‌ی وی اطلاعات منتشر شده مربوط‌به بخشی از مشخصات ۶۰ هزار راننده‌ی فعال و ۱۸۰ هزار راننده‌ی غیرفعال بوده است و اطلاعات مسافران و سفرها منتشر نشده است.

وی همچنین اعلام کرد این اطلاعات تنها در اختیار یک فرد بوده که با هدف شناسایی نقاط نفوذ صورت گرفته و نشر پیدا نکرده است. به‌گفته‌ی مدیرعامل تپ‌سی شخص مورد نظر تمام اطلاعات که تنها شامل نمونه‌ای از داده‌ها بوده را از بین برده و داده‌های رانندگان محفوظ است. وی در توییت خود نوشت:

فردی که با هدف شناسایی نقطه ضعف امنیتی به سرور جانبی شامل بخشی از اطلاعات رانندگان دسترسی پیداکرده بود، می‌گوید تمام اطلاعاتش را (‌که فقط شامل نمونه‌ای از داده‌ها بود) از بین برده. بر این اساس داده‌های رانندگان، دیگر دست شخص دیگری نیست و محفوظ است.