نقض اطلاعات کاربری در یکی از شرکت‌های حمل و نقل شهری ایرانی (تپسی)

چند ساعت پیش، خبر کوتاهی درباره نقض اطلاعات کاربران یکی از شرکت‌های حمل و نقل شهری (تاکسی اینترنتی) منتشر شد که هنوز مشخص نیست که این نقض اطلاعاتی مربوط به کدام یک از شرکت‌های ایرانی است. اما برای اطلاع از جزئیات و روشن شدن ماجرا، در همین مورد، با باب دیاچنکو، محقق امنیتی آلمانی که برای اولین‌بار به این نقض اطلاعاتی اشاره کرده بود، گفت‌وگویی انجام دادیم که در ادامه آن را می‌خوانید.

اما پیش از خواندن این گزارش، لازم است اشاره کنیم که شرکت اسنپ در توییتی اعلام کرده است که این اطلاعات مربوط به شرکت آن‌ها نیست و ساختار داده شناسایی شده، با داده‌های آن‌ها متفاوت است.
 
این اطلاعات را چطور بدست آوردی؟ حجم این اطلاعات دقیقا چقدر است و شامل چه مواردی می‌شود.

عموما برای پیدا کردن سرنخ‌های مرتبط با نقض اطلاعات در اینترنت از موتورهای جستجوی هوشمند نظیر شودان، باینری‌اج و... استفاده می‌کنم و زمانی‌که با پایگاه‌های داده حاوی اطلاعات حساس و در دسترس عموم برخورد می‌کنم، تلاش می‌کنم تا با صاحبان آن‌ها مکاتبه کنم تا دسترسی عمومی به اطلاعات حساس نشت داده شده محدود شود.

در این مورد، پایگاه داده‌‌ای از نوع مانگو دی‌بی (MongoDB) توسط موتورهای جستجو در تاریخ ۱۶ آوریل ۲۰۱۹ (۲۷ فرودین ۱۳۹۷) ثبت شده بود. این پایگاه داده با نام «doroshke-invoice-production» اطلاعات مختلفی را به‌صورت عمومی در دسترس همه قرار داده بود. اطلاعاتی که شامل نام و نام خانوادگی راننده، کد ملی، شماره تلفن و تاریخ فاکتورهای مرتبط با سال‌های ۹۵ و ۹۶ است.

براساس بررسی اولیه من، حدود ۶.۷۲۲.۲۶۹ رکورد حاوی اطلاعات یک شرکت حمل و نقل اینترنتی، در دسترس عموم قرار گرفته بود که ممکن است این تعداد نشان دهنده تعداد کل افرادی که اطلاعاتشان افشاد شده است نباشد. احتمال تکراری بودن اسامی و رکوردها وجود دارد، هرچند بررسی‌های اولیه نشان می‌دهد که با ۶.۷ میلیون رکورد یکتا مواجه هستیم که جزئیات بیشتر را به مرور در وبلاگ خودم به‌روزرسانی خواهم کرد.

در توییتر نوشته بودی که با مرکز ماهر ایران ارتباط برقرار کردی، واکنش آن‌ها چی بود؟ آیا پاسخی به شما دادند؟

من با مرکز ماهر ایران تماس گرفتم که به نظر می‌رسد آن‌ها دو دامنه دارند که به یکدیگر وصل نیستند! برای همین من به هر دو دامنه آن‌ها پیام فرستادم، اما هیچ پاسخی دریافت نکردم.

براساس پیگیری‌هایی که انجام دادی، مشخص نشد که چه کسی صاحب این اطلاعات است؟

از آنجا که دو شرکت فعال و بزرگ در ایران در زمینه حمل و نقل فعالیت دارند، احتمال می‌رفت که این داده‌ها متعلق به شرکت اسنپ یا شرکت تپسی باشد. من به هر دوی این شرکت‌ها برای محدود کردن دسترسی عمومی به این اطلاعات پیام فرستادم، اما مشخص نیست که این اطلاعات مربوط به کدام یک از آن‌ها بوده و چه کسی دسترسی عمومی به آن را محدود کرده است.

آیا در حال حاضر دسترسی به این اطلاعات قطع شده؟

پایگاه داده‌ها هم اکنون امن است اما اینکه چه کسی آن را پایین کشیده (دسترسی عمومی را محدود کرده) است مشخص نیست.

توضیحات تکمیلی:

- دیاچنکو در توییتی تایید کرد که اطلاعات تکراری در این پایگاه داده وجود دارد و ممکن است تعداد دقیق رکوردهای یکتای لو رفته به ۱ تا ۲ میلیون برسد.

- براساس اطلاعات موجود و با در نظر گفتن نام پایگاه داده لو رفته (درشکه - doroshke) و وجود شرکتی فعال در حوزه حمل و نقل اینترنتی با همین نام، احتمال این موضوع وجود دارد که این اطلاعات مربوط به شرکت‌هایی بجز اسنپ و تپسی باشد؛ هرچند این مساله در حال حاضر قابل اثبات نیست. از طرفی شرکت تپسی از همین نام در بخشی از سامانه داخلی سرویس خود استفاده می‌کند.

- شرکت تپسی در توییتی نشت اطلاعات کاربران سرویس خود را تکذیب کرد.

آخرین به‌روزرسانی:

براساس بررسی‌های مستقلی که در آزمایشگاه سرتفا روی پایگاه داده شناسایی شده توسط دیاچنکو و یک مجموعه دیگر از پایگاه‌های داده در معرض خطر قرار گرفته مشابه صورت گرفت، مشخص شده که این اطلاعات مربوط به کاربران خدمات تاکسی تپسی (شرکت پیشگامان فناوری و دانش آرامیس) است.