وزیر ارتباطات: «در امنیت اطلاعات کاربران جدی‌تر باشید» / معاون وزیر ارتباطات: «هیچ پیامد نامناسبی در بر نداشت» / ضعف روابط عمومی در کنار ضعف حفاظت از اطلاعات کاربران

همه چیز از توئیت یک محقق آلمانی در روز ۲۹ فروردین ۹۸ در رابطه با درز اطلاعات از یک شرکت حمل‌و‌نقل ایرانی شروع شد.

در ابتدا از گزارشات اینطور برداشت شده بود که اطلاعات درز شده مربوط به ۶.۷ میلیون کاربر در سال‌های گذشته است. کمی نگذشت که گفته شد این اطلاعات مشخصا مربوط به کاربران نبوده و به سفرهای صورت گرفته در یک شرکت حمل و نقل عمومی مرتبط است.

به گزارش وبنا، اطلاعات ذکر شده حاوی نام، شماره کدملی و شماره تلفن بود.

هنوز معلوم نبود که مسئولیت اتفاق رخ داده متوجه کدام شرکت حمل و نقل است که واکنش‌ها به این موضوع در توییتر بالا گرفت.

علیرضا احمدی، برنامه نویس در توییتر در این مورد نوشت: «با توجه به اسم سرویس که doroshke بوده، به نظر میاد اطلاعات لو رفته مربوط به تپ‌سی باشه. یه همچین اسمی در jwtهای تپسی هستش.»

 اطلاعات لو رفته مربوط به اسنپ نیست

در همین اثنا بود که اسنپ به خبر منتشر شده واکنش نشان داد: « طبق بررسی‌های به عمل آمده اطلاعات لورفته کاربران «یک شرکت حمل‌و‌نقل» مربوطه به سامانه اسنپ نیست. تیم امنیت سایبری اسنپ همواره حداکثر تلاش خود را برای حفاظت از اطلاعات کاربران راننده و مسافر این سامانه به می‌گیرد.»

این یک هشدار جدی برای کسب و کارهای اینترنتی بود

آذری جهرمی، وزیر ارتباطات و فناوری اطلاعات صحت خبر منتشر شده را با هشتگ گزارش به مردم تایید کرد: «گزارش منتشر شده در مورد وجود آسیب در نگهداری اطلاعات یک شرکت حمل و نقل اینترنتی، صحت دارد. بررسی تکمیلی در جریان است و گزارش آن رسما از طریق مرکز ماهر منتشر خواهد شد. این یک هشدار جدی برای کسب و کارهای اینترنتی بود. در امنیت اطلاعات کاربران جدی‌تر باشید.»

 تپ‌سی: هیچ نوع حمله یا دسترسی به اطلاعات مسافران یا سفرهای صورت نگرفته است

بعد از تکذیب ارتباط این موضوع با اسنپ این بار نوبت تپ‌سی بود که به گزارش منتشر شده واکنش نشان دهد: « در رابطه با خبر مطرح شده پیرامون نفوذ به سیستم یکی از تاکسی‌های اینترنتی که در برخی شبکه‌های اجتماعی مطرح شده است، تپ‌سی اعلام می‌دارد: ۱- با بررسی‌های صورت گرفته ۱۰۰ درصد مطمئن هستیم که هیچ نوع حمله یا دسترسی به اطلاعات مسافران یا سفرهای صورت نگرفته است. ۲- تعداد رانندگان تپ‌سی ۷۵۰ هزار نفر است و در مورد لو رفتن اطلاعات ۶.۵ میلیون راننده مطرح شده، در حال بررسی ارتباط ادله ذکر شده با تپ‌سی هستیم. ۳- امنیت اطلاعات کاربران (مسافران، رانندگان) مهمترین اولویت شرکت است.»

بیانیه تکمیلی تپ‌سی: یکی از سرورهای جانبی مورد نفوذ هکرها قرار گرفته است

چند ساعت از واکنش تپ‌سی نگذشته بود که این شرکت اقدام به انتشار بیانیه تکمیلی کرد که متن آن به شرح زیر است:

«پس از بررسی های انجام گرفته توسط تیم امنیت تپ سی درباره لو رفتن اطلاعات توسط یک حساب توییتری نتایج زیر به اطلاع کاربران می رسد: همان گونه که در اطلاعیه نخست نیز ذکر شد اولویت اول تپ سی حفاظت از اطلاعات کاربران است.

بررسی های تپ سی ثابت کرد تاکید و سرمایه گذاری این شرکت بر حفاظت اطلاعات کاربران کاملا به جا بوده و در شرایط حیاتی کاملا موثر واقع شده و هیچ گونه دسترسی به هیچ نوع اطلاعات مسافران_مانند اطلاعات سفر، مبدا و مقصد و زمان سفر، اطلاعت هویتی و… صورت نگرفته است.

با بررسی دقیق تر موضوع، تیم امنیت تپ‌سی متوجه تلاش برای تعدادی نفوذ با منشا خارجی به سرورهای این شرکت شد که تنها یکی از سرورهای جانبی مورد نفوذ هکرها با آدرس آی پی متعلق به کشور اوکراین قرار گرفته است که فاکتورهای ۶۰هزار راننده فعال جهات بررسی مالیاتی در سال های ۹۵و ۹۶روی آن نگهداری می شدند. منشا و هدف اصلی این نفوذ خارجی برای تپ سی مشخص نیست و همکاری تیم امنیت تپ سی با پلیس فتا و مرکز ماهر در این زمینه ادامه دارد.

طی هفته های اخیر تپ سی و سایر استارتاپ های ایرانی با محدودیت های ناشی از تحریم های فناوری مواجه بوده اند. به رغم تمامی مشکلات اعم از تحریم ها و تلاش گسترده برای نفوذ اینترنتی، تپ سی همچنان مصمم به ارایه خدمات با کیفیت، امن و مناسب به کاربران است.»

منشا درز این اطلاعات دیتابیس MongoDB بدون پسورد و بی‌دقتی امنیتی است

بیانیه‌ تکمیلی تپ‌سی واکنش‌های زیادی را در پی داشت:

امیر در این رابطه در توییتر نوشته است: «به نظرم بیانیه مسئولانه‌ای نیست. اول اینکه اگر امن نیست و مشکل تحریم است باید توضیح دهید چه چیزی تحریم است که برای شما مشکل امنیتی ایجاد کرده؟ دوم اینکه این اطلاعات به صورت عمومی در اینترنت قابل دسترس است، پس تئوری هک و نفوذ قابل قبول نیست.»

جادی میرمیرانی، هکر و برنامه نویس منشا درز این اطلاعات را دیتابیس MongoDB بدون پسورد و بی‌دقتی امنیتی می‌داند.

میلاد نوری، برنامه نویس در این مورد در توییتر نوشت: «اعلام کردن دیتای منتشر شده متعلق به ما بوده. اما تهش مثل دولتی‌ها تقصیر رو انداخت گردن تحریم‌ها. واقعا چی میشه شرکت‌ها اشتباه رو بپذیرن و تهش عذرخواهی کنن و اعلام کنن مشکل حل شده؟ ضعف روابط عمومی در کنار ضعف حفاظت از اطلاعات کاربران.»

در مجموع واکنش‌های کاربران زیر بیانیه‌ای که از صفحه تپ‌سی در توییتر منتشر شد حاکی از نارضایتی آن‌ها از انتساب آنچه که آن‌ها سهل انگاری امنیتی می‌پنداشتند به تحریم‌ها از سوی این شرکت بود.

رئیس سازمان فناوری اطلاعات: هیچ پیامد نامناسبی در برنداشت

در تازه ترین واکنش‌ها امیر ناظمی، رئیس سازمان فناوری اطلاعات ایران در توییتر نوشت: «درز اطلاعات کسب‌و‌کارهای بزرگ اگرچه باید به صفر برسد ولی در دنیا بی سابقه نیست. این مساله نباید بهانه‌ای برای انتقام جویی و محدودیت‌گذاری برای کسب‌و‌کارها شود. ما باید از این رخدادی که هیچ پیامد نامناسبی هم دربرنداشت، یاد بگیریم که چگونه قوی‌تر شویم و چگونه با بحران مواجه! برندهای بزرگ یک جامعه سرمایه‌های جمعی ان جامعه است. با هیجان و کلنگ با جانشان نخواهیم افتاد، هر چند باید حساسیت خود را در خصوص داده‌های شهروندان نیز فراموش نکنیم و به بهبودها فکر کنیم. آینده ساختنی است، نه تخریب کردنی!»

توئیت رئیس سازمان فناوری اطلاعات نیز واکنش‌هایی را در برداشت.

محمد اصغری، استاد حقوق تکنولوژی در دانشگاه شهید بهشتی در این مورد نوشت: «انتشار اطلاعات خصوصی نظیر کد ملی و نام میلیون‌ها ایرانی پیامد این اتفاق است. بنده متوجه نمی‌شوم منظورتان از بیان پیامد نامناسبی نداشت چیست اما خوب می‌دانم حضرتعالی در انتخاب کلمات دقت به خرج می‌دهید. برای بنده به عنوان حقوق خوان این موضوع چیزی شبیه به فاجعه است.»

در نهایت احتمالا گزارش مرکز ماهر که وزیر ارتباطات وعده آن را داده است می تواند علل حقیقی درز این اطلاعات را روشن کند.