تایید آسیب‌پذیری امنیتی یک تاکسی آنلاین ایرانی؛ هرآنچه تا اینجا می‌دانیم

بعضی از مشخصات سفر و شناسه‌های هویتی (ID) تعداد نامشخصی کاربر (راننده) ایرانی یکی از تاکسی‌های آنلاین ایرانی آسیب‌پذیر و قابل مشاهده بوده است. این آسیب‌پذیری امنیتی برای مدت دست کم 3 روز در دیتابیس (مانگودی‌بی) این تاکسی آنلاین گم‌نام، وجود داشته اما اکنون دیتابیس به حالت امن برگشته است. این خبری است که یک پژوهشگر امنیتی از شرکت «Security Discovery» به نام «باب دیاچنکو» منتشر کرد؛ خبری که «محمدجواد آذری جهرمی»، وزیر ارتباطات نیز آن را تایید کرد.

تعداد شناسه‌هایی که در این دیتابیسِ بدون رمزگذاری قابل مشاهده بوده‌اند هنوز دقیقاً مشخص نیست. در ابتدای انتشار گزارش، دیاچنکو خبر داده بود که حدود 6 میلیون 800 هزار شناسه در دیتابیس وجود دارند اما گفته بود که شاید شناسه‌های تکراری هم وجود داشته باشند و این عدد کمتر باشد.

او اندکی پیش تایید کرده است که تعداد شناسه‌های تکراری زیاد بوده و احتمال می‌دهد که اطلاعات درز شده به 1 الی 2 میلیون شناسه و تراکنش مربوط باشد. این دیتابیس شامل تراکنش‌های سفر بوده و این عدد‌های میلیونی، نشان‌دهنده تعداد افرادی که اطلاعاتشان در معرض خطر بوده، نیست.

این شناسه‌ها شامل اطلاعاتی مانند «نام و نام خانوادگی راننده تاکسی آنلاین، کد ملی 10 رقمی، شماره موبایل و همچنین تاریخ تراکنش (فاکتور)» است. پژوهشگر Security Discovery می‌گوید که این دیتابیس رمزگذاری نشده، «doroshke-invoice-production» نام داشته و همچنان مشخص نیست که مربوط به کدام‌یک از شرکت‌های تاکسی‌ اینترنتی است.

اما مسئله زمانی جدی شد که وزیر ارتباطات رسماً به این گزارش واکنش نشان داد و آسیب‌پذیری در نگهداری از اطلاعات را تایید کرد. هرچند او نیز اطلاعات تکمیلی را به انتشار گزارش مرکز ماهر موکول نمود. تا این لحظه نیز مرکز ماهر هیچ واکنشی به این خبر نشان نداده است.

این در حالیست که شرکت‌های اسنپ و تپسی هم به شکل جداگانه گفته‌اند که این آسیب‌پذیری مربوط به دیتابیس آنها نبوده است. اسنپ در همین رابطه در توییتر می‌نویسد:‌

«طبق بررسی‌های به‌ عمل‌ آمده اطلاعات لو رفته کاربران «یک شرکت حمل‌ونقل» مربوط به سامانه اسنپ نیست. تیم امنیت سایبری اسنپ همواره حداکثر تلاش خود را برای حفاظت از اطلاعات کاربران راننده و مسافر این سامانه به کار می‌گیرد.»

در این بین عده‌ای نیز عقیده داشتند که آسیب‌پذیری مربوط به شرکت تپسی بوده است چراکه چند تصویری که به شکل محدود از این دیتابیس منتشر شده بود، به ساختار کدهای تپسی شباهت بیشتری داشته است. اما تپسی نیز با انتشار بیانیه‌ای در توییتر به این شایعات پایان داد و نوشت:

«1- با بررسی‌های صورت گرفته 100 درصد مطمئن هستیم که هیچ نوع حمله یا دسترسی به اطلاعات مسافران یا سفرها صورت نگرفته است. 2- تعداد رانندگان تپ‌سی امروز 750 هزار نفر است و در مورد لو رفتن اطلاعات 6.5 میلیون راننده مطرح شده، در حال بررسی ارتباط ادله ذکر شده با تپ‌سی هستیم. 3- امنیت اطلاعات کاربران (مسافران، رانندگان)‌ مهم‌ترین اولویت شرکت است.»

دیاچنکو تاکید می‌کند که هنوز هیچ نشانه‌ای وجود ندارد که آسیب‌پذیری مربوط به اسنپ است یا تپسی. او همچنین می‌گوید تعداد تراکنش‌ها به مفهوم تعداد کاربرانی که اطلاعاتشان در معرض خطر بوده، نیست.

نکته قابل توجه و بسیار مهم اینجاست که این دیتابیس به شکل عمومی منتشر نشده بلکه یک آسیب‌پذیری در یکی از دیتابیس‌های یک شرکت‌ تاکسی آنلاین ایرانی وجود داشته که پژوهشگر Security Discovery، طی پایش‌ها و سنجش میزان مقاومت دیتابیس‌های مختلف، توسط سرویس «BinaryEdge» آن را کشف کرده و آنطور که خودش می‌گوید در تلاش است تا آن را در اختیار مرکز ماهر ایران قرار دهد. او همچنین خبر داده است که در حال حاضر، آسیب‌پذیری دیتابیس برطرف شده است.

با توجه به اینکه اسنپ و تپسی به عنوان رهبران بازار تاکسی آنلاین ایران وجود آسیب‌پذیری در دیتابیس خود را رد کرده‌اند، اکنون صرفاً باید انتظار گزارش مرکز ماهر را کشید.