بعضی از مشخصات سفر و شناسههای هویتی (ID) تعداد نامشخصی کاربر (راننده) ایرانی یکی از تاکسیهای آنلاین ایرانی آسیبپذیر و قابل مشاهده بوده است. این آسیبپذیری امنیتی برای مدت دست کم ۳ روز در دیتابیس (مانگودیبی) این تاکسی آنلاین گمنام، وجود داشته اما اکنون دیتابیس به حالت امن برگشته است. این خبری است که یک پژوهشگر امنیتی از شرکت «Security Discovery» به نام «باب دیاچنکو» منتشر کرد؛ خبری که «محمدجواد آذری جهرمی»، وزیر ارتباطات نیز آن را تایید کرد.
تعداد شناسههایی که در این دیتابیسِ بدون رمزگذاری قابل مشاهده بودهاند هنوز دقیقاً مشخص نیست. در ابتدای انتشار گزارش، دیاچنکو خبر داده بود که حدود ۶ میلیون ۸۰۰ هزار شناسه در دیتابیس وجود دارند اما گفته بود که شاید شناسههای تکراری هم وجود داشته باشند و این عدد کمتر باشد.
او اندکی پیش تایید کرده است که تعداد شناسههای تکراری زیاد بوده و احتمال میدهد که اطلاعات درز شده به ۱ الی ۲ میلیون شناسه و تراکنش مربوط باشد. این دیتابیس شامل تراکنشهای سفر بوده و این عددهای میلیونی، نشاندهنده تعداد افرادی که اطلاعاتشان در معرض خطر بوده، نیست.
این شناسهها شامل اطلاعاتی مانند «نام و نام خانوادگی راننده تاکسی آنلاین، کد ملی ۱۰ رقمی، شماره موبایل و همچنین تاریخ تراکنش (فاکتور)» است. پژوهشگر Security Discovery میگوید که این دیتابیس رمزگذاری نشده، «doroshke-invoice-production» نام داشته و همچنان مشخص نیست که مربوط به کدامیک از شرکتهای تاکسی اینترنتی است.
اما مسئله زمانی جدی شد که وزیر ارتباطات رسماً به این گزارش واکنش نشان داد و آسیبپذیری در نگهداری از اطلاعات را تایید کرد. هرچند او نیز اطلاعات تکمیلی را به انتشار گزارش مرکز ماهر موکول نمود. تا این لحظه نیز مرکز ماهر هیچ واکنشی به این خبر نشان نداده است.
این در حالیست که شرکتهای اسنپ و تپسی هم به شکل جداگانه گفتهاند که این آسیبپذیری مربوط به دیتابیس آنها نبوده است. اسنپ در همین رابطه در توییتر مینویسد:
«طبق بررسیهای به عمل آمده اطلاعات لو رفته کاربران «یک شرکت حملونقل» مربوط به سامانه اسنپ نیست. تیم امنیت سایبری اسنپ همواره حداکثر تلاش خود را برای حفاظت از اطلاعات کاربران راننده و مسافر این سامانه به کار میگیرد.»
در این بین عدهای نیز عقیده داشتند که آسیبپذیری مربوط به شرکت تپسی بوده است چراکه چند تصویری که به شکل محدود از این دیتابیس منتشر شده بود، به ساختار کدهای تپسی شباهت بیشتری داشته است. اما تپسی نیز با انتشار بیانیهای در توییتر به این شایعات پایان داد و نوشت:
«۱- با بررسیهای صورت گرفته ۱۰۰ درصد مطمئن هستیم که هیچ نوع حمله یا دسترسی به اطلاعات مسافران یا سفرها صورت نگرفته است. ۲- تعداد رانندگان تپسی امروز ۷۵۰ هزار نفر است و در مورد لو رفتن اطلاعات ۶.۵ میلیون راننده مطرح شده، در حال بررسی ارتباط ادله ذکر شده با تپسی هستیم. ۳- امنیت اطلاعات کاربران (مسافران، رانندگان) مهمترین اولویت شرکت است.»
دیاچنکو تاکید میکند که هنوز هیچ نشانهای وجود ندارد که آسیبپذیری مربوط به اسنپ است یا تپسی. او همچنین میگوید تعداد تراکنشها به مفهوم تعداد کاربرانی که اطلاعاتشان در معرض خطر بوده، نیست.
نکته قابل توجه و بسیار مهم اینجاست که این دیتابیس به شکل عمومی منتشر نشده بلکه یک آسیبپذیری در یکی از دیتابیسهای یک شرکت تاکسی آنلاین ایرانی وجود داشته که پژوهشگر Security Discovery، طی پایشها و سنجش میزان مقاومت دیتابیسهای مختلف، توسط سرویس «BinaryEdge» آن را کشف کرده و آنطور که خودش میگوید در تلاش است تا آن را در اختیار مرکز ماهر ایران قرار دهد. او همچنین خبر داده است که در حال حاضر، آسیبپذیری دیتابیس برطرف شده است.
با توجه به اینکه اسنپ و تپسی به عنوان رهبران بازار تاکسی آنلاین ایران وجود آسیبپذیری در دیتابیس خود را رد کردهاند، اکنون صرفاً باید انتظار گزارش مرکز ماهر را کشید.
نظرات کاربران