(به‌روزرسانی: عذرخواهی تپ‌سی) افشای اطلاعات بیش از 6 میلیون کاربر – اسنپ و تپ‌سی زیر بار نرفتند

ماجرا از آنجایی آغاز شد که روز گذشته یکی از کارشناسان امنیتی سایت securitydiscovery با نام Bob Diachenko در حساب توئیتر خود اعلام کرد که اطلاعات حساس بیش از 6.7 میلیو کاربر ایرانی افشا شده است. این اطلاعات شامل نام، نام خانوادگی، کد ملی، شماره تلفن و اطلاعات دقیق تسویه حساب آنها می‌باشد. این خبر با بازتاب گسترده‌ای روبه‌رو شد و سریعاً انگشت اتهام به سمت سرویس‌های تاکسی آنلاین اسنپ و تپ‌سی نشانه رفت.

وزیر اطلاعات وجود آسیب‌پذیری را تأیید کرد

در گزارشی که سکیوریتی دیسکاوری منتشر کرده، نام دیتابیس doroshke-invoice-production اعلام شده است، این احتمال که اطلاعات لو رفته مربوط به سرویس تاکسی آنلاین باشد قوت گرفت. ساعاتی بعد از این ماجرا هم محمدجواد  آذری جهرمی، وزیر اطلاعات و فناوری اطلاعات در حساب خود در توئیتر این آسیب‌پذیری امنیتی که متعلق به یک سرویس حمل و نقل است را تأیید کرد و گفت:

گزارش منتشر شده در مورد وجود آسیب‌پذیری در نگهداری اطلاعات یک شرکت حمل و نقل اینترنتی، صحت دارد. بررسی تکمیلی در جریان است و گزارش آن رسما از طریق مرکز ماهر منتشر خواهد شد. این یک هشدار جدی برای کسب و کارهای اینترنتی بود. در امنیت اطلاعات کاربران جدی‌تر باشید.

از شما اصرار و از ما انکار

پس از آنکه تأیید شد اطلاعات رانندگان یک سرویس تاکسی آنلاین افشا شده است، نوبت به بزرگترین خدمات‌دهندگان بود که خودشان را از ماجرا مبرا کنند. اسنپ سرعت عمل بیشتری از خود نشان داد و با صراحت اعلام کرد که اطلاعات لو رفته متعلق به آنها نمی‌باشد. اسنپ در حساب توئیتر خود گفت:

طبق بررسی‌های به‌ عمل‌ آمده اطلاعات لورفته کاربران «یک شرکت حمل‌ونقل» مربوط به سامانه اسنپ نیست. تیم امنیت سایبری اسنپ همواره حداکثر تلاش خود را برای حفاظت از اطلاعات کاربران راننده و مسافر این سامانه به کار می‌گیرد.

پس از آنکه اسنپ اعلام کرد که این اطلاعات متعلق به سامانه آنها نمی‌باشد، فقط یک سرویس دیگر باقیمانده بود که احتمال نشت اطلاعات از آن می‌رفت؛ تپ‌سی. این سرویس حمل و نقل اینترنتی هم ساعتی بعد با اطمینان اعلام کرد که این اطلاعات متعلق به آنها نمی‌باشد. تپ‌سی در 2 توئیت اینگونه توضیح داد:

در رابطه با اخبار مطرح شده پیرامون نفوذ به سیستم یکی از تاکسی‌های اینترنتی که در برخی شبکه‌های اجتماعی مطرح شده است، تپ‌سی اعلام می‌دارد:

1-با بررسی‌های صورت گرفته 100 درصد مطمئن هستیم که هیچ نوع حمله یا دسترسی به اطلاعات مسافران یا سفرها صورت نگرفته است.

2- تعداد رانندگان تپ‌سی امروز 750 هزار نفر است و در مورد لو رفتن اطلاعات 6.5 میلیون راننده مطرح شده، در حال بررسی ارتباط ادله ذکر شده با تپ‌سی هستیم.

3- امنیت اطلاعات کاربران (مسافران، رانندگان)‌ مهم‌ترین اولویت شرکت است.

اما ساعاتی بعد از اطمینان 100 درصدی تپ‌سی از عدم حمله به سامانه آنها، این شرکت بیانیه‌ی کامل‌تری منتشر کرد. در بخشی از این بیانیه آمده است:

تنها یکی از سرورهای جانبی مورد نفوذ هکرها، با آدرس IP متعلق به کشور اوکراین قرار گرفته است که فاکتورهای 60 هزار راننده فعال جهت حسابرسی مالیاتی در سال‌های 95 و 96 بر روی آن نگهداری می‌شدند.

در بخش پایانی این بیانیه هم به محدودیت‌هایی مانند تحریم‌های فناوری اشاره شده است که بیشتر شبیه به توجیهی برای این آسیب‌پذیری امنیتی به نظر می‌رسد.

اما آنچه که نبود آن بیش از هر چیز باعث آزردگی خاطر کاربران و مخاطبین شده است، نپذیرفتن اشتباه و یک عذرخواهی صادقانه است. واضح است که حتی با استناد به اظهارات تپ‌سی نفوذ به یک سرور انجام گرفته است و این در خوشبینانه‌ترین حالت منجر به افشای اطلاعات 60 هزار کاربر شده است. لو رفتن اطلاعات 6 میلیون یا 60 هزار کاربر نشان از ضعف امنیتی در سامانه دارد و در این شرایط یک عذرخواهی صادقانه و پذیرفتن اشتباه بدون توجیه، حداقل کاری است که می‌توان برای رضایت مخاطبین انجام داد.

به‌روزرسانی:

میلاد منشی‌پور، مدیرعامل و یکی از بنیانگذاران تپ‌سی ساعتی پیش در حساب توئیتر خود، با ابراز تأسف از مشکل پیش آمده، از کاربران عذرخواهی کرد. او گفت:

از اتفاقی که افتاده ناراحتم، مسئولیت آن را پذیرفته و عذرخواهی می‌کنم. به زودی اقدامات و برنامه عملی خودمان برای جلوگیری از بروز چنین اتفاقاتی را منتشر خواهیم کرد. این اطلاعات مربوط به بخشی از مشخصات 60 هزار راننده فعال و 180 هزار راننده غیر فعال است؛ شامل اطلاعات مسافران و سفرها نمی‌شود. اطلاعات فوق فقط در اختیار یک فرد بوده که با هدف شناسایی نقاط نفوذ صورت گرفته و نشر پیدا نکرده است. تپسی در جهت حفظ داده‌ها با فرد مورد نظر در تعامل است.