اطلاعات حساس رانندگان یک تاکسی اینترنتی ایرانی فاش شده است

برخی خبرگزاری ها اخیرا از فاش شدن اطلاعات رانندگان یک تاکسی اینترنتی ایرانی خبر داده اند و وزیر ارتباطات هم این خبر را تأیید کرده است.

  1. ۱ ماه قبل
اطلاعات حساس رانندگان یک تاکسی اینترنتی ایرانی فاش شده است
به گزارش نوداد (سکوی اجتماعی خبر)

کارشناسان مؤسسه ی Security Discovery مدعی شده اند که در روز هجدهم آوریل ۲۰۱۹ (مصادف با ۲۹ فروردین ماه ۱۳۹۸) در جریان برررسی هایشان ازطریق موتور جست و جوی BinaryEdge متوجه شده اند که یک دیتابیس مونگودی بی (MongoDB) به صورت عمومی در دسترس قرار گرفته است؛ این کارشناسان می گویند در دیتابیس یادشده، اطلاعات بسیار حساس رانندگان یکی از تاکسی های اینترنتی ایرانی وجود داشته است.

مونگودی بی / MongoDB

ظاهرا این اطلاعات شامل چنین مواردی بوده اند: نام و نام خانوادگی ، کد ملی ده رقمی و شماره ی موبایل راننده ها به همراه تاریخ دقیق تسویه حساب آن ها با تاکسی اینترنتی شان. این دیتابیس که طبق ادعای مؤسسه ی سکیوریتی دیسکاوری، «doroshke-invoice-production» نام داشته است، شامل دو مجموعه ی اصلی بوده و در هر کدام از آن ها تاریخ تراکنش ها از هم جدا شده اند که جزئیات آن ها در زیر این پاراگراف آمده است:

مجموعه ی اول invoice۹۵ نام داشته و تمامی تراکنش های سال ۱۳۹۵ شمسی (شامل ۷۴۰ هزار و ۹۵۲ تراکنش) را شامل شده است. مجموعه ی دوم invoice۹۶ نام دارد و به تراکنش های سال ۱۳۹۶ اشاره می کند؛ رقم این تراکنش ها، ۶ میلیون و ۳۱ هزار و ۳۱۷ عدد اعلام شده است.

مونگودی بی / MongoDB

البته ذکر این نکته ضروری است که تعداد دقیق تراکنش ها نمی تواند لزوما تعداد دقیق افرادی را نشان دهد که اطلاعات شان فاش شده است؛ زیرا آن طور که محقق سکیوریتی دیسکاوری می نویسد، ممکن است از برخی شناسه های مربوط به تراکنش ها، دو عدد در دیتابیس قرار گرفته باشد. او پس از بررسی های بیشتر متوجه شده است که در دیتابیس، برخی از تراکنش ها تکرار شده اند. او تخمین می زند که به طور کلی یک تا دو میلیون فاکتور منحصربه فرد وجود داشته باشد و این یعنی احتمالا یک تا دو میلیون راننده متأثر شده اند.

توجه داشته باشید که تا این لحظه از هیچ شرکتی اسمی آورده نشده است و شایعات فضای مجازی حقیقت ندارند. محققان سکیوریتی دیسکاوری می گویند که در داخل این تراکنش ها، هیچ گونه اسمی از شرکت ها پیدا نکرده اند.

مونگودی بی / MongoDB

محقق مؤسسه ی سکیوریتی دیسکاوری می گوید که پس از فهمیدن این موضوع، سریعا آن را به گروه پاسخ گویی حوادث رایانه ای ایران (موسوم به CERT) گزارش داده و خودش نیز تحقیقاتش را با همکاری چند محقق امنیتی در این رابطه آغاز کرده است. او می گوید توانسته با برخی رانندگان ارتباط برقرار کند و همچنین تلاش هایی برای شناسایی صاحب این دیتابیس انجام داده است. از طرفی دیگر محققان مؤسسه ی سکیوریتی دیسکاوری نیز با تاکسی های اینترنتی بزرگ ایرانی تماس گرفته اند تا از جزئیات این قضیه مطلع شوند.

اهمیتی ندارد که دیتابیس موردبحث متعلق به کدام شرکت بوده؛ دانستن این حقیقت که به مدت حداقل سه روز کامل اطلاعات بسیار حساس رانندگان ایرانی به صورت عمومی قابل دسترسی بوده، ترسناک و نگران کننده است. این احتمال وجود دارد که داده های فاش شده پیش تر توسط برخی افراد از تاکسی های اینترنتی ایران سرقت شده و هم اکنون دوباره ظاهر شده باشند. بروز خطای انسانی می تواند چنین اتفاقاتی را در پی داشته باشد.

در پی رسانه ای شدن این موضوع، محمدجواد آذری جهرمی نیز در واکنش اعلام کرد که اخبار منتشره حقیقت دارند. جهرمی در توییت خود نوشته است:

گزارش منتشر شده در مورد وجود آسیب پذیری در نگه داری اطلاعات یک شرکت حمل و نقل اینترنتی، صحت دارد. بررسی تکمیلی در جریان است و گزارش آن رسما ازطریق مرکز ماهر منتشر خواهد شد. این یک هشدار جدی برای کسب و کارهای اینترنتی بود. در امنیت اطلاعات کاربران جدی تر باشید.

گفتنی است تاکنون مرکز ماهر به این موضوع واکنش نشان نداده است. درضمن طبق اعلام محققان، این آسیب پذیری هم اکنون رفع شده است.

اسنپ و تپ سی به عنوان بزرگ ترین تاکسی های اینترنتی ایرانی با انتشار توییت هایی جداگانه، اعلام کرده اند که این آسیب پذیری مربوط به دیتابیس آن ها نیست.

این خبر در صورت انتشار جزئیات بیشتر، به روزرسانی خواهد شد.





همرسانی نوشتار: