اطلاعات راننده‌های اپ تاکسی اینترنتی ایران چگونه لو رفتند؟

اطلاعات راننده‌های اپ تاکسی اینترنتی ایران چگونه لو رفتند؟

علی صادقی
نویسنده
چند روز پیش بود که خبر منتشر شدن صدها‌هزار صورتحساب رانندگان یکی از اپ های تاکسی اینترنتی ایران سروصدای زیادی به پا کرد. اما این ماجرا از کجا شروع شد؟
چندی پیش یک فرد آلمانی به نام باب دیاچنگو که یک محقق امنیتی است، ‏اعلام کرد به دیتابیسی دسترسی پیدا کرده که اطلاعات یک سرویس تاکسی اینترنتی ‏ایرانی روی آن قرار دارد.‏
به گفته او تلاش های وی برای گزارش این ماجرا به مرکز ماهر وزارت ارتباطات و خود شرکت مورد نظر ‏بدون نتیجه بوده است و آنها پاسخی به او نداده‌اند.
البته چینی ادعایی پیش از بررسی صحت و سقم آن امری دور از انتظار نبود چرا که پیش از این نیز هک اپلیکیشن ها و سایت های ایرانی خبرساز شده بود که از جمله آن ها می توان به لو رفتن اطلاعات مشترکان یکی از ارایه دهنده خدمات تلفن همراه اشاره کرد. در بهمن ٩٦ ‏هم ١٤٠ سایت ایرانی هک شد و خبری جعلی را به صورت انبوه منتشر کردند. ‏گذشته از این، خبر هک سازمان‌های مهمتر ایران ازجمله مرکز آمار ایران، بانک مرکزی و ... نیز ‏پیش از این روی خروجی رسانه‌ها رفته است. همین موضوع موجب شده است که بحث امنیت اپ‌های ‏ایرانی حالا یک چالش جدی برای ایرانی‌ها و البته توسعه کسب و کارهای فضای مجازی باشد. ‏
به نقل از شهروند، یکی از کارشناسان حوزه فناوری اطلاعات و ارتباطات که پیش از این سروش را نیز هک کرده بود در مصاحبه با این خبرگزاری توضیح داد که امنیت اپلیکیشن این تاکسی اینترنتی در پایین ترین حالت ممکن بوده و با هک این اپلیکیشن امکان سرقت دستمزد راننده‌ها توسط هکرها وجود دارد.
رخ دادن چنین اتفاقی در سایر کشورها، دادگاهی شدن شرکت مذکور و پرداخت جریمه توسط آن را به دنبال داشت اما در ایران ‏هیچ مرجعی برای رسیدگی به این موضوع وجود ندارد. ‏
بنا به گفته باب دیاجینگو اطلاعات شخصی ٦٠‌هزار راننده مثل کد ملی، شماره تماس و شماره ‏حساب که روی یک دیتابیس ثبت شده بودند، لو رفته است. این محقق امنیتی در یکی از توییت‏هایش مدعی شده چند روز به دنبال این بوده که با مرکز ماهر ایران که مسئول امداد و هماهنگی در ‏وقایع سایبری در ایران، است تماس بگیرد، اما موفق نشده است. او تأکید کرده بود در برقراری ارتباط با ‏خود شرکت مورد نظر هم دچار مشکل بوده و ظاهرا خیلی هم ادعایش از طرف این شرکت جدی گرفته نشده ‏است!‏
یکی از نخستین افرادی که نسبت به توییت های این محقق آلمانی واکنش نشان داد وزیر ارتباطات بود. آذری جهرمی، رسما فاش شدن اطلاعات ٦٠‌هزار راننده و آسیب‌پذیری در ‏نگهداری از اطلاعات رانندگان را توسط یکی از دو شرکت بزرگ تاکسی اینترنتی تأیید کرد. وزیر ارتباطات همچنین در توییتر خود به ‏شرکت‌های اینترنتی هشدار داد و نوشت: «بررسی تکمیلی در جریان است و گزارش آن رسما از طریق ‏مرکز ماهر منتشر خواهد شد. این یک هشدار جدی برای کسب و کارهای اینترنتی بود. در امنیت ‏اطلاعات کاربران جدی باشید.»‏
اما شرکت تپسی در واکنش نسبت به این اتفاق دو سیاست متفاوت را در پیش گرفت. در نخستین اقدام تپسی مدعی شد که اطلاعات این شرکت لو نرفته و در توییتی عنوان کرد: «با بررسی‌های صورت‌گرفته صد‌درصد مطمئن هستیم که هیچ نوع ‏حمله یا دسترسی به اطلاعات مسافران یا سفرها صورت نگرفته است. تعداد رانندگان تپسی در حال حاضر ‏‏۷۵۰‌هزار نفر است و در مورد لورفتن اطلاعات ۶.۵‌میلیون راننده مطرح شده، درحال بررسی ‏ارتباط ادله ذکرشده با تپسی هستیم، ضمن این‌که امنیت اطلاعات کاربران (مسافران، رانندگان)‌ مهمترین ‏اولویت شرکت است.»‏
البته ساعاتی پس از منتشر شدن این بیانیه، تپسی در واکنشی دیگر نفوذ به سرورهای جانبی این شرکت ‏را پذیرفت،‎ تپسی در بیانیه دوم خود که در ساعات اولیه بامداد جمعه منتشر کرد، نفوذ به ‏سرورهای جانبی این شرکت را پذیرفت و گفت فاکتور سفر ۶۰‌هزار راننده روی سرور مذکور قرار ‏داشته است. تپسی اعلام کرد که یکی از سرورهای جانبی‌اش که فاکتورهای ۶۰هزار راننده آن در ‏سال‌های ۹۵ و ۹۶ روی آن قرار داشته، مورد نفوذ قرار گرفته است. ‎البته تپسی هنوز جزییاتی از این ‏نفوذ منتشر نکرده اما اشاره کرده که مبدأ نفوذ آی‌پی از اوکراین بوده است‎.‎
به گفته تپسی اطلاعات هک شده مربوط به تراکنش های مالی و پورسانت های رانندگان بوده که به نظر نمی رسد چندان مورد علاقه هکر ها باشد. ‏باید دید این اطلاعات چه کاربردی دارند و برای چه گروهی به کار می‌آیند‎.
بنا به گفته های میلاد نوری، کارشناس ‌آی‌تی لورفتن ‏اطلاعات شرکت‌ها، بحثی نیست که فقط در کشور ما مطرح باشد و برای شرکت‌های بزرگ اینترنتی ‏در سراسر دنیا هم رخ می‌دهد. البته این اتفاق در همه جای دنیا یک فاجعه محسوب می‌شود و معمولا ‏شرکت‌هایی که با چنین دردسری مواجه می‌شوند، باید به نهادهای نظارتی و امنیتی پاسخگو باشند و ‏حتما آنها را به دادگاه می‌کشانند اما متاسفانه این اتفاق نه‌تنها برای شرکت‌های ‏ایرانی رخ نمی‌دهد بلکه آنها وقتی درچنین شرایطی قرار می‌گیرند که با استفاده از واژه‌ها افکار عمومی ‏را به بازی می‌گیرند و از آنجایی که بازخواست هم نمی‌شوند، نه توضیحات شفافی می‌دهند، نه ‏عذرخواهی می‌کنند. در خصوص اتفاق رخ داده برای شرکت تپسی نیز، آنچه که مشخص است این است که دیتابیس اولیه این شرکت باز بوده و امنیت دیتابیس های مذکور بسیار پایین بوده است.
احتمالی که در حال حاضر امکان رخ داده آن وجود داشته و انتظار می رود که هرچه سریعتر حل و فصل شود، سرقت دستمزد رانندگان تپسی توسط هکرهاست. این احتمال وجود دارد که عده ای به قصد سو استفاده با رانندگان تپسی تماس گرفته و از آن ها بخواهند که حساب خود را شارژ کنند و یا رانندگان را به دریافت هزینه سفر تنها به صورت اینترنتی ترغیب کنند و به سادگی آب‌خوردن پول‌ها را به حساب خودشان واریز ‏کنند که امید می رود مسئولین تپسی اقدامات لازم برای جلوگیری از چنین سواستفاده هایی را انجام دهند.
نظرات