پدال نیوز: صدهاهزار صورتحساب رانندگان تپسی در ایران لو رفت. این توییت یک پژوهشگر آلمانی است که چند روز گذشته سر و صدای زیادی برپا کرد.
به گزارش پدال نیوز به نقل از شهروند| صدهاهزار صورتحساب رانندگان تپسی در ایران لو رفت. این توییت یک پژوهشگر آلمانی است که چند روز گذشته سر و صدای زیادی برپا کرد. جالب است که بدانید این پژوهشگر آلمانی مدعی شده است که تلاشهایش برای گزارش این ماجرا به مرکز ماهر وزارت ارتباطات و خود شرکت تپسی بدون نتیجه بوده است و آنها پاسخی به او ندادهاند! البته این نخستین بار نیست که هک سایتها و اپلیکیشنهای ایرانی خبرساز میشود.
لو رفتن اطلاعات مشترکان ایرانسل و لو رفتن اطلاعات شرکت به پرداخت تنها دو نمونه این اتفاق در سالهای گذشته هستند که البته به سادگی فراموش شد. در بهمن ٩٦ هم ١٤٠ سایت ایرانی هک شد و خبری جعلی را به صورت انبوه منتشر کردند. گذشته از این، خبر هک سازمانهای مهمتر ایران ازجمله مرکز آمار ایران، بانک مرکزی و ... نیز پیش از این روی خروجی رسانهها رفته است. همین موضوع موجب شده است که بحث امنیت اپهای ایرانی حالا یک چالش جدی برای ایرانیها و البته توسعه کسب و کارهای فضای مجازی باشد.
میلاد نوری، کارشناس فناوری اطلاعات و ارتباطات که پیش از این سروش را هک کرده بود، به «شهروند»میگوید: «هک تپسی در پایینترین لایههای امنیتی بوده و این نشان میدهد که امنیت این اپلیکیشن چقدر پایین است.»
او تأکید میکند که با این اتفاق امکان سرقت دستمزد رانندههای تپسی توسط هکرها وجود دارد و اگر هرجای دنیا این اتفاق رخ میداد، آن شرکت دادگاهی و مجبور به پرداخت خسارت میشد اما در ایران هیچ مرجعی برای رسیدگی به این موضوع وجود ندارد.
ماجرا از کجا شروع شد؟
یکی از نگرانیهای همیشگی کاربران ایرانی برای استفاده از اپلیکیشنها و استارتاپهای داخلی این است که مبادا اطلاعات خصوصی و شخصیشان لو برود.
در واقع ماجرا اینجاست که حتی خود ما به امنیت اپهایی که درحال استفاده از آنها هستیم، اعتماد نداریم و گاهی حتی ترجیح میدهیم که به جای استفاده از اپلیکیشنهای داخلی به سراغ نمونههای خارجی برویم. بارها هم اتفاقاتی افتاده که این بیاعتمادی را تشدید کرده است. این بار نوبت رسید به یکی از شرکتهای تاکسی اینترنتی که در سالهای اخیر حسابی بین مردم جا باز کرده و مشتریان زیادی دارد.
ماجرا از جایی شروع شد که یک اکانت توییتری متعلق به باب دیاچنگو که یک محقق امنیتی است، اعلام کرد به دیتابیسی دسترسی پیدا کرده که اطلاعات ٦٠هزار راننده یک سرویس تاکسی اینترنتی ایرانی روی آن قرار دارد.
البته دیاچنگو در نخستین توییت خود از لو رفتن اطلاعات ۶.۵میلیون راننده تاکسی اینترنتی صحبت کرد. ولی بعد اعلام کرد تعداد رانندهها ممکن است بین یک تا ۲میلیون نفر باشد. اما درنهایت مشخص شد که این عدد متعلق به تعداد سفرها بوده، چون اطلاعات تکراری در آنها وجود دارد و چند ساعت بعد در توییت دیگری گفت تعداد رکوردهایی که از آن صحبت کرده شامل فاکتورهای تکراری یک راننده میتواند باشد و عدد اعلام شده نمایانگر تعداد کل رانندگان نیست.
در نهایت هم مشخص شد که اطلاعات شخصی ٦٠هزار راننده مثل کد ملی، شماره تماس و شماره حساب که روی یک دیتابیس ثبت شده بودند، لو رفته است.این محقق امنیتی در یکی دیگر از توییتهایش مدعی شده بود چند روز به دنبال این بوده که با مرکز ماهر ایران که مسئول امداد و هماهنگی در وقایع سایبری در ایران، است تماس بگیرد، اما موفق نشده است. او تأکید کرده بود در برقراری ارتباط با خود شرکت تپسی هم دچار مشکل بوده و ظاهرا خیلی هم ادعایش از طرف این شرکت جدی گرفته نشده است!
جهرمی: مشاغل اینترنتی امنیت اطلاعات کاربران را جدی بگیرند
این ماجرا وقتی جدیتر شد که نخستین واکنش به هک شدن اطلاعات رانندگان تپسی را وزیر ارتباطات نشان داد. آذری جهرمی، رسما فاش شدن اطلاعات ٦٠هزار راننده تپسی و آسیبپذیری در نگهداری از اطلاعات رانندگان را توسط تپسی تأیید کرد. وزیر ارتباطات همچنین در توییتر خود به شرکتهای اینترنتی هشدار داد و نوشت: «بررسی تکمیلی در جریان است و گزارش آن رسما از طریق مرکز ماهر منتشر خواهد شد. این یک هشدار جدی برای کسب و کارهای اینترنتی بود. در امنیت اطلاعات کاربران جدی باشید.»
تپسی و دو واکنش متناقض
تصاویر محدودی که از فاششدن اطلاعات این شرکت تاکسی اینترنتی منتشر شد، بهطور واضح نشان میداد که علامتهای دیتابیس لورفته به ساختار کدهای تپسی شباهت بیشتری داشته است. با این حال تپسی در نخستین واکنش خود مدعی شد اطلاعات این شرکت لو نرفته است.
این شرکت در توییتر خود نوشت: «با بررسیهای صورتگرفته صددرصد مطمئن هستیم که هیچ نوع حمله یا دسترسی به اطلاعات مسافران یا سفرها صورت نگرفته است. تعداد رانندگان تپسی در حال حاضر ۷۵۰هزار نفر است و در مورد لورفتن اطلاعات ۶.۵میلیون راننده مطرح شده، درحال بررسی ارتباط ادله ذکرشده با تپسی هستیم، ضمن اینکه امنیت اطلاعات کاربران (مسافران، رانندگان) مهمترین اولویت شرکت است.»
ساعاتی بعد شرکت تپسی بیانیهای دیگر منتشر کرد و اینبار خود نفوذ به سرورهای جانبی این شرکت را پذیرفت،؛تپسی در بیانیه دوم خود که در ساعات اولیه بامداد جمعه (دیروز) منتشر کرد، نفوذ به سرورهای جانبی این شرکت را پذیرفت و گفت فاکتور سفر ۶۰هزار راننده روی سرور مذکور قرار داشته است. تپسی اعلام کرد که یکی از سرورهای جانبیاش که فاکتورهای ۶۰هزار راننده آن در سالهای ۹۵ و ۹۶ روی آن قرار داشته، مورد نفوذ قرار گرفته است. البته تپسی هنوز جزییاتی از این نفوذ منتشر نکرده اما اشاره کرده که مبدأ نفوذ آیپی از اوکراین بوده است.
با این توضیحات مشخص شد اعداد ماجرا که ابتدا با ۶.۵میلیون نفر شروع شد و بسیاری را شوکه کرد، به ۶۰هزار نفر کاهش پیدا کرده است. البته تپسی دراطلاعیه دومش نیز تأکید زیادی روی این داشته که این اطلاعات مربوط به کاربر و جزییات سفر و اطلاعات آنها نمیشود.
چه کسی اطلاعات رانندگان را سرقت کرده؟
اینکه چه کسی یا کسانی پشت حمله به اطلاعات رانندگان تپسی قرار دارند، فعلا مشخص نیست. در واقع باید دید این اطلاعات چه کاربردی دارند و برای چه گروهی به کار میآیند. اینکه تپسی در نگهداری سرور این اطلاعات جوانب ایمنی را رعایت نکرده، شکی نیست اما طبیعتا اطلاعات مالی و پورسانت رانندگان چیزی نیست که خیلی مورد علاقه هکرها باشد. از طرفی هنوز مشخص نیست محل دیتابیس مورد اشاره محقق آلمانی کجاست و خود او هم در توییتر این موضوع را فاش نکرده است. با توجه به توییتهای او، میتوان نتیجه گرفت این سرور در جایی بیرون از شرکت تپسی قرار داشته است.
اپهای ایرانی نه دادگاه میروند و نه عذرخواهی میکنند
میلاد نوری، کارشناس آیتی درباره اتفاق رخداده برای تپسی به «شهروند» میگوید: «بحث لورفتن اطلاعات شرکتها، بحثی نیست که فقط در کشور ما مطرح باشد و برای شرکتهای بزرگ اینترنتی در سراسر دنیا هم رخ میدهد. البته این اتفاق در همه جای دنیا یک فاجعه محسوب میشود و معمولا شرکتهایی که با چنین دردسری مواجه میشوند، باید به نهادهای نظارتی و امنیتی پاسخگو باشند و حتما آنها را به دادگاه میکشانند اما متاسفانه این اتفاق نهتنها برای شرکتهای ایرانی رخ نمیدهد بلکه آنها وقتی درچنین شرایطی قرار میگیرند که با استفاده از واژهها افکار عمومی را به بازی میگیرند و از آنجایی که بازخواست هم نمیشوند، نه توضیحات شفافی میدهند، نه عذرخواهی میکنند.»
او ادامه میدهد: «اتفاقی که برای شرکت تپسی رخ داده، ناشی از بازبودن دیتابیس اولیه این شرکت بوده که نشان از امنیت ضعیف دیتابیس این شرکت در سطح بسیار معمولی دارد.»
هکرها میتوانند دستمزد رانندههای تپسی را سرقت کنند
این کارشناس آیتی درباره اینکه آیا ممکن است درز پیداکردن اطلاعات شخصی رانندههای تپسی برای آنها دردسرساز شود، میگوید: «حتما چنین احتمالی وجود دارد. فرض کنید با رانندهای در یک شهر دور که شاید اصلا حتی این خبر را نشنیده باشد، هم تماسی گرفته شود و مثلا به او بگویند برای غیرفعالنشدن حساب شما در تپسی باید مبلغی پرداخت کنید تا حساب شما شارژ شود یا اینکه حتما باید پرداختی مسافران اینترنتی باشد که هکرها میتوانند به سادگی آبخوردن پولها را به حساب خودشان واریز کنند. در واقع با سادهترین راهها میتوان چنین کلاهبرداریهایی کرد که امیدوارم قبل از بروز چنین اتفاقاتی ماجرا حلوفصل شود و امنیت این اپلیکیشن و همه اپهای ایرانی بالاتر برود.»