اطلاعات بیش از ۶ میلیون سفر مربوط به شرکت حمل‌ونقل اینترنتی تپسی در ایران درز کرده است.

درز  اطلاعات ده‌ها هزار راننده این شرکت به دلیل پایین بودن امنیت بانک اطلاعاتی آن روی داده است.

گفته می‌شود اطلاعات شخصی لو رفته شامل نام، نام خانوادگی، شماره ملی، شماره تلفن همراه و تاریخ صورت‌حساب‌ها بوده است.

خبر درز اطلاعات این شرکت حمل‌ونقل اینترنتی نخستین بار روز پنجشنبه، ۲۹ فروردین از سوی  باب دیاچنکو، کارشناس امنیت سایبری در توییتر منتشر شد.

به گفته او، این اطلاعات در دو مجموعه درز کرده؛ مجموعه‌ نخست به صورت‌حساب‌های سال ۱۳۹۵مربوط می‌شود و شامل ۷۴۰ هزار و ۹۵۲ تراکنش است. مجموعه‌ دوم، صورت‌حساب‌های سال  ۱۳۹۶ را شامل می‌شود و ۶ میلیون و ۳۱ هزار و ۳۱۷  تراکنش را در بر دارد.

[NEW REPORT‏] Here is my quick report on that Iranian database exposure to answer most of the questions so far.‎ It will updated if/when more infor available.‎ Again, more than 6.‎7M records with PII data exposed in MongoDB misconfig https://t.co/57tqg1Uucu

— Bob Diachenko ‪(@MayhemDayOne)‬ April 18, 2019

.

در رابطه با اخبار مطرح شده پیرامون نفوذ به سیستم یکی از تاکسی‌های اینترنتی که در برخی شبکه‌های اجتماعی مطرح شده است، تپ‌سی اعلام می‌دارد:

۱- با بررسی‌های صورت گرفته ۱۰۰ درصد مطمئن هستیم که هیچ نوع حمله یا دسترسی به اطلاعات مسافران یا سفرها صورت نگرفته است. (۱/۲)

— TAP30 تپ‌سی (@TAP30_ir) April 18, 2019

 

تپ‌سی ساعاتی بعد در بیانیه‌ای تکمیلی حمله به یکی از سرورهایش را تایید کرد. با این حال، این شرکت حمل‌ونقل اینترنتی بدون عذرخواهی از کاربران، عنوان کرده که طی هفته‌های اخیر، تپ‌سی همچون دیگر استارت‌آپ‌های اینترنتی با «محدویت‌های ناشی از تحریم‌ها» روبرو بوده است. این شرکت توضیح بیشتری در این زمینه نداده است.

بیانیه‌ی تکمیلی تپ‌سی در ارتباط با اخبار منتشر شده‌ی اخیر پیرامون نفوذ به سیستم‌های یکی از تاکسی‌های اینترنتی: pic.twitter.com/og0xWDnF0U

— TAP30 تپ‌سی (@TAP30_ir) April 18, 2019

بنابر ادعای تپ‌سی، هکرهایی با آدرس آی‌پی از کشور اوکراین به یکی از سرورهای آن نفوذ و به اطلاعات صورت‌حساب‌های ۶۰ هزار راننده این شرکت دسترسی پیدا کرده‌اند. در همین حال تپ‌سی می‌افزاید، «سیستم‌های پیشرفته حفاظتی» این شرکت اجازه نفوذ بیشتر به سرورهای اصلی را نداده است.

در پی  انتشار این خبر، محمد جواد آذری جهرمی، وزیر ارتباطات‌وفناوری اطلاعات ایران روز پنجشنبه، ۲۹ فروردین  وجود «آسیب‌پذیری» در حفظ اطلاعات این شرکت حمل و نقل را تایید کرد و از پیگیری موضوع توسط «مرکز ماهر» خبر داد.

مرکز ماهر، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای کشور هنوز به این موضوع واکنش نشان نداده است.

آذری جهرمی این رویداد را «هشداری جدی» برای کسب‌وکارهای اینترنتی توصیف کرده و خواستار جدی‌تر شدن امنیت اطلاعات کاربران شده است.

 

#گزارش_به_مردم

گزارش منتشر شده در مورد وجود آسیب‌پذیری در نگهداری اطلاعات یک شرکت حمل و نقل اینترنتی، صحت دارد. بررسی تکمیلی در جریان است و گزارش آن رسما از طریق مرکز ماهر منتشر خواهد شد. این یک هشدار جدی برای کسب و کارهای اینترنتی بود. در امنیت اطلاعات کاربران جدی‌تر باشید

— MJ Azari Jahromi ‪(@azarijahromi)‬ April 18, 2019

از سوی دیگر محمد جعفر نعناکار، مدیرکل حقوقی سازمان فناوری ایران افشای اطلاعات کاربران شرکت حمل و نقل اینترنتی تپسی را یک فاجعه خواند خواستار ورود دادستانی به عنوان مدعی‌العموم  به این مساله شد. او «نقص قانونی» را موجب ضعف نظارت فعالیت پلتفرم های اینترنتی خوانده است.

ایرنا به نقل از مدیر کل حقوقی سازمان فناوری اطلاعات ایران نوشت که پيش‌نویس لایحه «صیانت از داده‌های شخصی افراد» سال گذشته از سوی وزارت ارتباطات به کمیسیون فرعی هیات دولت ارسال شده است. 



بررسی درز اطلاعات بیش از ۶ میلیون کاربر تپسی در ایران در گفت‌وگو با طاها یاسری، پژوهشگر پژوهشکده اینترنت دانشگاه آکسفورد