راننده‌های تپسی چگونه لو رفتند؟

توضیحات

هکر پیام‌رسان سروش به «شهروند» می‌گوید که هک تپسی در پایین‌ترین لایه‌های امنیتی رخ داده و نشان‌دهنده امنیت ضعیف آن است اپ‌های ایرانی بابت امنیت ضعیف‌شان نه دادگاهی می‌شوند و نه خسارت می‌دهند

صدها‌هزار صورتحساب رانندگان تپسی در ایران لو رفت. این توییت یک پژوهشگر آلمانی ‏است که روز گذشته سر و صدای زیادی برپا کرد. جالب است که بدانید این پژوهشگر آلمانی مدعی شده ‏است که تلاش‌هایش برای گزارش این ماجرا به مرکز ماهر وزارت ارتباطات و خود شرکت تپسی ‏بدون نتیجه بوده است و آنها پاسخی به او نداده‌اند! البته این نخستین بار نیست که هک سایت‌ها و ‏اپلیکیشن‌های ایرانی خبرساز می‌شود. لو رفتن اطلاعات مشترکان ایرانسل و لو رفتن اطلاعات شرکت ‏به پرداخت تنها دو نمونه این اتفاق در سال‌های گذشته هستند که البته به سادگی فراموش شد. در بهمن ٩٦ ‏هم ١٤٠ سایت ایرانی هک شد و خبری جعلی را به صورت انبوه منتشر کردند. ‏گذشته از این، خبر هک سازمان‌های مهمتر ایران ازجمله مرکز آمار ایران، بانک مرکزی و ... نیز ‏پیش از این روی خروجی رسانه‌ها رفته است. همین موضوع موجب شده است که بحث امنیت اپ‌های ‏ایرانی حالا یک چالش جدی برای ایرانی‌ها و البته توسعه کسب و کارهای فضای مجازی باشد. ‏
میلاد نوری، کارشناس فناوری اطلاعات و ارتباطات که پیش از این سروش را هک کرده بود، به «شهروند»می‌گوید: «هک تپسی در پایین‌ترین لایه‌های امنیتی بوده و این نشان می‌دهد که امنیت ‏این اپلیکیشن چقدر پایین است.‏»
او تأکید می‌کند که با این اتفاق امکان سرقت دستمزد راننده‌های تپسی توسط هکرها وجود دارد و اگر ‏هرجای دنیا این اتفاق رخ می‌داد، آن شرکت دادگاهی و مجبور به پرداخت خسارت می‌شد اما در ایران ‏هیچ مرجعی برای رسیدگی به این موضوع وجود ندارد. ‏

ماجرا از کجا شروع شد؟
یکی از نگرانی‌های همیشگی کاربران ایرانی برای استفاده از اپلیکیشن‌ها و استارتاپ‌های داخلی این ‏است که مبادا اطلاعات خصوصی و شخصی‌شان لو برود.‏
در واقع ماجرا اینجاست که حتی خود ما به امنیت اپ‌هایی که درحال استفاده از آنها هستیم، اعتماد ‏نداریم و گاهی حتی ترجیح می‌دهیم که به جای استفاده از اپلیکیشن‌های داخلی به سراغ نمونه‌های ‏خارجی برویم. بارها هم اتفاقاتی افتاده که این بی‌اعتمادی را تشدید کرده است. این بار نوبت رسید به ‏یکی از شرکت‌های تاکسی اینترنتی که در سال‌های اخیر حسابی بین مردم جا باز کرده و مشتریان ‏زیادی دارد.‏
ماجرا از ‌جایی شروع شد که یک اکانت توییتری متعلق به باب دیاچنگو که یک محقق امنیتی است، ‏اعلام کرد به دیتابیسی دسترسی پیدا کرده که اطلاعات ٦٠‌هزار راننده یک سرویس تاکسی اینترنتی ‏ایرانی روی آن قرار دارد.‏
البته دیاچنگو در نخستین توییت خود از لو رفتن اطلاعات ۶.۵‌میلیون راننده تاکسی اینترنتی صحبت کرد. ‏ولی بعد اعلام کرد تعداد راننده‌ها ممکن است بین یک تا ۲‌میلیون نفر باشد. اما درنهایت مشخص شد که ‏این عدد متعلق به تعداد سفرها بوده، چون اطلاعات تکراری در آنها وجود دارد و چند ساعت بعد در ‏توییت دیگری گفت تعداد رکوردهایی که از آن صحبت کرده شامل فاکتورهای تکراری یک راننده ‏می‌تواند باشد و عدد اعلام شده نمایانگر تعداد کل رانندگان نیست. ‏
در نهایت هم مشخص شد که اطلاعات شخصی ٦٠‌هزار راننده مثل کد ملی، شماره تماس و شماره ‏حساب که روی یک دیتابیس ثبت شده بودند، لو رفته است.این محقق امنیتی در یکی دیگر از توییت‏هایش مدعی شده بود چند روز به دنبال این بوده که با مرکز ماهر ایران که مسئول امداد و هماهنگی در ‏وقایع سایبری در ایران، است تماس بگیرد، اما موفق نشده است. او تأکید کرده بود در برقراری ارتباط با ‏خود شرکت تپسی هم دچار مشکل بوده و ظاهرا خیلی هم ادعایش از طرف این شرکت جدی گرفته نشده ‏است!‏

جهرمی: مشاغل اینترنتی
امنیت اطلاعات کاربران را جدی بگیرند
این ماجرا وقتی جدی‌تر شد که نخستین واکنش به هک شدن اطلاعات رانندگان تپسی را وزیر ارتباطات ‏نشان داد. آذری جهرمی، رسما فاش شدن اطلاعات ٦٠‌هزار راننده تپسی و آسیب‌پذیری در ‏نگهداری از اطلاعات رانندگان را توسط تپسی تأیید کرد. وزیر ارتباطات همچنین در توییتر خود به ‏شرکت‌های اینترنتی هشدار داد و نوشت: «بررسی تکمیلی در جریان است و گزارش آن رسما از طریق ‏مرکز ماهر منتشر خواهد شد. این یک هشدار جدی برای کسب و کارهای اینترنتی بود. در امنیت ‏اطلاعات کاربران جدی باشید.»‏

تپسی و دو واکنش متناقض
تصاویر محدودی که از فاش‌شدن اطلاعات این شرکت تاکسی اینترنتی منتشر شد، به‌طور واضح نشان ‏می‌داد که علامت‌های دیتابیس لورفته به ساختار کدهای تپسی شباهت بیشتری داشته است. با این حال ‏تپسی در نخستین واکنش خود مدعی شد اطلاعات این شرکت لو نرفته است.‏
این شرکت در توییتر خود نوشت: «با بررسی‌های صورت‌گرفته صد‌درصد مطمئن هستیم که هیچ نوع ‏حمله یا دسترسی به اطلاعات مسافران یا سفرها صورت نگرفته است. تعداد رانندگان تپسی در حال حاضر ‏‏۷۵۰‌هزار نفر است و در مورد لورفتن اطلاعات ۶.۵‌میلیون راننده مطرح شده، درحال بررسی ‏ارتباط ادله ذکرشده با تپسی هستیم، ضمن این‌که امنیت اطلاعات کاربران (مسافران، رانندگان)‌ مهمترین ‏اولویت شرکت است.»‏
ساعاتی بعد شرکت تپسی بیانیه‌ای دیگر منتشر کرد و این‌بار خود نفوذ به سرورهای جانبی این شرکت ‏را پذیرفت،‎؛‎تپسی در بیانیه دوم خود که در ساعات اولیه بامداد جمعه (دیروز) منتشر کرد، نفوذ به ‏سرورهای جانبی این شرکت را پذیرفت و گفت فاکتور سفر ۶۰‌هزار راننده روی سرور مذکور قرار ‏داشته است. تپسی اعلام کرد که یکی از سرورهای جانبی‌اش که فاکتورهای ۶۰هزار راننده آن در ‏سال‌های ۹۵ و ۹۶ روی آن قرار داشته، مورد نفوذ قرار گرفته است. ‎البته تپسی هنوز جزییاتی از این ‏نفوذ منتشر نکرده اما اشاره کرده که مبدأ نفوذ آی‌پی از اوکراین بوده است‎.‎
با این توضیحات مشخص شد اعداد ماجرا که ابتدا با ۶.۵‌میلیون نفر شروع شد و بسیاری را شوکه کرد، ‏به ۶۰‌هزار نفر کاهش پیدا کرده است. البته تپسی دراطلاعیه دومش نیز تأکید زیادی روی این داشته که ‏این اطلاعات مربوط به کاربر و جزییات سفر و اطلاعات آنها نمی‌شود‎.‎

چه کسی اطلاعات رانندگان را سرقت کرده؟
اینکه چه کسی یا کسانی پشت حمله به اطلاعات رانندگان تپسی قرار دارند، فعلا مشخص نیست. در واقع ‏باید دید این اطلاعات چه کاربردی دارند و برای چه گروهی به کار می‌آیند‎.‎ اینکه تپسی در نگهداری ‏سرور این اطلاعات جوانب ایمنی را رعایت نکرده، شکی نیست اما طبیعتا اطلاعات مالی و پورسانت ‏رانندگان چیزی نیست که خیلی مورد علاقه هکرها باشد‎.‎ از طرفی هنوز مشخص نیست محل دیتابیس ‏مورد اشاره محقق آلمانی کجاست و خود او هم در توییتر این موضوع را فاش نکرده است. با توجه به ‏توییت‌های او، می‌توان نتیجه گرفت این سرور در جایی بیرون از شرکت تپسی قرار داشته است‎.‎

اپ‌های ایرانی
نه دادگاه می‌روند و نه عذرخواهی می‌کنند
میلاد نوری، کارشناس ‌آی‌تی درباره اتفاق رخ‌داده برای تپسی به «شهروند» می‌گوید: «بحث لورفتن ‏اطلاعات شرکت‌ها، بحثی نیست که فقط در کشور ما مطرح باشد و برای شرکت‌های بزرگ اینترنتی ‏در سراسر دنیا هم رخ می‌دهد. البته این اتفاق در همه جای دنیا یک فاجعه محسوب می‌شود و معمولا ‏شرکت‌هایی که با چنین دردسری مواجه می‌شوند، باید به نهادهای نظارتی و امنیتی پاسخگو باشند و ‏حتما آنها را به دادگاه می‌کشانند اما متاسفانه این اتفاق نه‌تنها برای شرکت‌های ‏ایرانی رخ نمی‌دهد بلکه آنها وقتی درچنین شرایطی قرار می‌گیرند که با استفاده از واژه‌ها افکار عمومی ‏را به بازی می‌گیرند و از آنجایی که بازخواست هم نمی‌شوند، نه توضیحات شفافی می‌دهند، نه ‏عذرخواهی می‌کنند.»‏
او ادامه می‌دهد: «اتفاقی که برای شرکت تپسی رخ داده، ناشی از بازبودن دیتابیس اولیه این شرکت ‏بوده که نشان از امنیت ضعیف دیتابیس این شرکت در سطح بسیار معمولی دارد.‏»
هکرها می‌توانند

دستمزد راننده‌های تپسی را سرقت کنند
این کارشناس ‌آی‌تی درباره این‌که آیا ممکن است درز پیداکردن اطلاعات شخصی راننده‌های تپسی ‏برای آنها دردسرساز شود، می‌گوید: «حتما چنین احتمالی وجود دارد. فرض کنید با راننده‌ای در یک شهر ‏دور که شاید اصلا حتی این خبر را نشنیده باشد، هم تماسی گرفته شود و مثلا به او بگویند برای غیرفعال‌‏نشدن حساب شما در تپسی باید مبلغی پرداخت کنید تا حساب شما شارژ شود یا این‌که حتما باید پرداختی ‏مسافران اینترنتی باشد که هکرها می‌توانند به سادگی آب‌خوردن پول‌ها را به حساب خودشان واریز ‏کنند. در واقع با ساده‌ترین راه‌ها می‌توان چنین کلاهبرداری‌هایی کرد که امیدوارم قبل از بروز چنین ‏اتفاقاتی ماجرا حل‌وفصل شود و امنیت این اپلیکیشن و همه اپ‌های ایرانی بالاتر برود.»

نوشتن دیدگاه

JComments